Cómo eliminar el RAT (troyano de acceso remoto) "Woody" del sistema operativo
Escrito por Tomas Meskauskas el
¿Qué es el RAT Woody?
Woody es el nombre de un troyano de acceso remoto (RAT). El malware de esta categoría permite el acceso y el control remotos de los ordenadores comprometidos. Woody es un software malicioso muy sofisticado, y tiene una gran variedad de funcionalidades.
La investigación realizada por el equipo de Inteligencia de Amenazas de Malwarebytes indica que los ciberdelincuentes que están detrás de Woody tienen como objetivo varias entidades rusas, como la United Aircraft Corporation (OAK).
Resumen del malware Woody
El RAT Woody permite el acceso/control remoto sobre los dispositivos infectados; puede realizar una amplia gama de comandos y funciones, incluidas las relacionadas con la recopilación de datos, la infiltración de contenidos y la exfiltración.
Para detallar algunas de estas funcionalidades, Woody es capaz de extraer una amplia variedad de datos del sistema, por ejemplo, la versión y arquitectura del sistema operativo, el nombre del ordenador, información de PowerShell, cuentas de usuario y privilegios, datos de red, procesos en ejecución, antivirus instalados, etc.
Este troyano también tiene como objetivo la información personal. Puede recopilar datos de directorios, es decir, recoger archivos: nombres, tipos, formatos, tiempos de creación/modificación/acceso, tamaño, permisos, etc. El RAT también puede exfiltrar (descargar) archivos. Además, es capaz de realizar capturas de pantalla.
Además, Woody tiene la capacidad de infiltrarse (subir) archivos y ejecutarlos. Esto significa que este programa malicioso puede ser utilizado para descargar/instalar troyanos adicionales, ransomware, y otro malware. La capacidad de causar infecciones en cadena crea otra capa de riesgo asociada al RAT Woody.
Por otro lado, el uso de los datos/contenidos obtenidos a través de este troyano puede variar en función de la propia información y de los objetivos de los ciberdelincuentes, que pueden ir desde la extorsión hasta el espionaje.
En resumen, Woody puede causar múltiples infecciones en el sistema, graves problemas de privacidad, pérdidas financieras y llevar al robo de identidad. Si sospecha que su sistema está infectado con el RAT Woody (u otro malware), le recomendamos encarecidamente que utilice inmediatamente un antivirus y elimine esta amenaza.
Nombre | El troyano de acceso remoto Woody |
Tipo de amenaza | Troyano, virus que roba contraseñas, malware bancario, spyware. |
Nombres de detección | Avast (Win64:DropperX-gen [Drp]), Combo Cleaner (Trojan.GenericKD.39756987), ESET-NOD32 (Una variante de Win64/Agent.OS), Kaspersky (Trojan.MSIL.DOTHETUK.yts), Microsoft (Trojan:Win32/Casdet!rfn), Lista completa de detecciones (VirusTotal) |
Nombres de detección (doc malicioso) | Avast (OLE:RemoteTemplateInj [Trj]), Combo Cleaner (Trojan.GenericKD.39762341), ESET-NOD32 (DOC/TrojanDownloader.Agent.AAP), Kaspersky (HEUR:Exploit.MSOffice.Agent.n), Microsoft (Exploit:O97M/CVE-2017-0199.AM!MTB), Lista completa de detecciones (VirusTotal) |
Síntomas | Los troyanos están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer ocultos, por lo que no hay síntomas particulares claramente visibles en una máquina infectada. |
Métodos de distribución | Adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, "cracks" de software. |
Daños | Robo de contraseñas e información bancaria, robo de identidad, incorporación del ordenador de la víctima a una red de bots. |
Eliminación de Malware | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Ejemplos de troyanos de acceso remoto
Hemos analizado innumerables RAT; ApolloRAT, PingPull, PowerShell RAT, NetDooka, y Nerbian son sólo algunos ejemplos.
Estos troyanos suelen ser sorprendentemente multifuncionales; sus amenazas y usos son excepcionalmente variados. Sin embargo, independientemente de la versatilidad o no de un programa malicioso, la presencia de malware en un sistema pone en peligro la seguridad del dispositivo y del usuario.
¿Cómo se ha infiltrado Woody en mi ordenador?
El equipo de Inteligencia de Amenazas de Malwarebytes ha observado dos métodos utilizados principalmente en la distribución de Woody. Los primeros casos consistían en archivos comprimidos maliciosos, mientras que los documentos infecciosos de Microsoft Office que abusan de la vulnerabilidad Follina aparecieron más tarde.
Estos archivos tenían nombres en ruso (no necesariamente en escritura cirílica) y estaban relacionados con la seguridad, los formularios, la documentación, etc. Es muy probable que estos archivos maliciosos se distribuyeran como archivos adjuntos o enlaces de descarga en correos electrónicos de spam.
Cabe destacar que los archivos virulentos pueden estar en varios formatos, por ejemplo, documentos de Microsoft Office y PDF, archivos (ZIP, RAR, etc.), ejecutables (.exe, .run, etc.), JavaScript, etc. Cuando se abre un archivo infeccioso, se inician los procesos de descarga/instalación de malware.
Además, el software malicioso no se propaga exclusivamente a través del correo spam. Los programas maliciosos también suelen proliferar a través de estafas en línea, descargas "drive-by" (sigilosas y engañosas), fuentes de descarga dudosas (por ejemplo, sitios web de alojamiento de archivos no oficiales y gratuitos, redes de intercambio P2P, etc.), herramientas ilegales de activación de software ("cracking"), actualizaciones falsas y malvertising (anuncios maliciosos).
¿Cómo evitar la instalación de programas maliciosos?
Aconsejamos no abrir los archivos adjuntos ni los enlaces que se encuentran en los correos electrónicos y mensajes sospechosos, ya que eso puede dar lugar a una infección del sistema. Además, se recomienda utilizar las últimas versiones de Microsoft Office, especialmente las lanzadas después de 2010, ya que cuentan con el modo "Vista protegida" que impide la ejecución automática de macrocomandos.
Además, todas las descargas deben realizarse desde canales oficiales y verificados. Igual de importante es activar y actualizar los programas utilizando funciones/herramientas proporcionadas por desarrolladores auténticos, ya que las herramientas de activación ilegales ("cracking") y las actualizaciones falsas pueden contener malware.
Es fundamental tener instalado un antivirus fiable y mantenerlo actualizado. Este software debe utilizarse para realizar análisis regulares del sistema y eliminar las amenazas y los problemas detectados. Si cree que su ordenador ya está infectado, le recomendamos que ejecute un análisis con Combo Cleaner para eliminar automáticamente el malware infiltrado.
Captura de pantalla de un documento malicioso que distribuye el RAT Woody:
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú de acceso rápido:
- ¿Qué es Woody?
- PASO 1. Eliminación manual del malware Woody.
- PASO 2. Comprobar si su ordenador está libre de virus.
¿Cómo eliminar el malware manualmente?
La eliminación manual del malware es una tarea complicada - normalmente es mejor dejar que los programas antivirus o anti-malware lo hagan automáticamente. Para eliminar este malware recomendamos utilizar Combo Cleaner.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Este es un ejemplo de un programa sospechoso que se ejecuta en el ordenador de un usuario:
Si ha comprobado la lista de programas que se ejecutan en su ordenador, por ejemplo, utilizando el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:
Descargar un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:
Reiniciar el ordenador en Modo seguro:
Usuarios de Windows XP y Windows 7: Inicie su ordenador en Modo seguro. Haga clic en Inicio, en Apagar, en Reiniciar y en Aceptar. Durante el proceso de inicio de su ordenador, pulse la tecla F8 de su teclado varias veces hasta que vea el menú de opciones avanzadas de Windows y, a continuación, seleccione el Modo seguro con funciones de red de la lista.
Vídeo que demuestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":
Usuarios de Windows 8: Inicie Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de la búsqueda seleccione Configuración. Haga clic en Opciones avanzadas de inicio, en la ventana abierta "Configuración general del PC", seleccione Inicio avanzado.
Haga clic en el botón "Reiniciar ahora". Su ordenador se reiniciará en el "Menú de opciones avanzadas de inicio". Haga clic en el botón "Solucionar problemas" y, a continuación, en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio".
Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de configuración de inicio. Pulse F5 para arrancar en modo seguro con funciones de red.
Vídeo que demuestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de encendido. En el menú abierto, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "Shift" del teclado. En la ventana "elige una opción" haga clic en "Solucionar problemas", a continuación seleccione "Opciones avanzadas".
En el menú de opciones avanzadas seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana deberá pulsar la tecla "F5" de su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.
Vídeo que demuestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":
Extraer el archivo descargado y ejecutar el archivo Autoruns.exee.
En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desmarque las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".
Revisar la lista proporcionada por la aplicación Autoruns y localizar el archivo de malware que desea eliminar.
Deberá anotar su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan los nombres de los procesos bajo los nombres legítimos de los procesos de Windows. En esta fase, es muy importante evitar la eliminación de archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione "Eliminar".
Tras eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el siguiente arranque del sistema), debe buscar el nombre del malware en su ordenador. Asegúrese de habilitar los archivos y carpetas ocultos antes de proceder. Si encuentra el nombre del malware, asegúrese de eliminarlo.
Reinicie su ordenador en modo normal. Al seguir estos pasos se debería eliminar el malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos informáticos avanzados. Si no dispone de estos conocimientos, deje la eliminación del malware en manos de los programas antivirus y antimalware.
Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware después. Para mantener su ordenador seguro, instale las últimas actualizaciones del sistema operativo y utilice software antivirus. Para asegurarse de que su ordenador está libre de infecciones de malware, le recomendamos que lo analice con Combo Cleaner.
Preguntas frecuentes (FAQ)
Mi ordenador está infectado con el malware Woody, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
No, la eliminación de Woody no requiere el formateo.
¿Cuáles son los principales problemas que puede causar el malware Woody?
Woody es un RAT, es decir, un malware diseñado para permitir el acceso/control remoto de los dispositivos. Puede realizar una gran variedad de acciones en los sistemas infectados, incluyendo la descarga/instalación de programas maliciosos adicionales y la recopilación de datos sensibles/personales. Por lo tanto, las amenazas que plantea Woody son especialmente amplias, y consisten principalmente en múltiples infecciones del sistema, graves problemas de privacidad, pérdidas financieras y robo de identidad.
¿Cuál es el objetivo del malware Woody?
La mayoría de los programas maliciosos tienen como objetivo generar ingresos para los atacantes. Sin embargo, los ciberdelincuentes también pueden utilizar el malware para divertirse, llevar a cabo rencillas personales, interrumpir procesos (por ejemplo, sitios, servicios, empresas, instituciones, etc.), e incluso lanzar ataques por motivos políticos/geopolíticos.
¿Cómo se ha infiltrado el malware Woody en mi ordenador?
El malware se propaga principalmente a través de descargas "drive-by", correo spam, estafas en línea, fuentes de descarga poco fiables (por ejemplo, sitios de software gratuito y de terceros, redes de intercambio P2P, etc.), herramientas ilegales de activación de software ("cracks") y actualizaciones falsas. Además, algunos programas maliciosos pueden autoproliferarse a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, memorias USB, etc.).
¿Me protegerá Combo Cleaner del malware?
Sí, Combo Cleaner es capaz de detectar y eliminar prácticamente todas las infecciones de malware conocidas. Tenga en cuenta que, dado que los programas maliciosos de alto nivel suelen esconderse en lo más profundo de los sistemas, es fundamental realizar un análisis completo del sistema.
▼ Mostrar discusión.