Cómo eliminar el malware propagado por archivos maliciosos de Microsoft OneNote
Escrito por Tomas Meskauskas el
¿Qué es el malware de Microsoft OneNote?
El malware de Microsoft OneNote hace referencia al software malicioso distribuido mediante archivos OneNote (.one) troyanizados. Los documentos de formato legítimo se modifican para la proliferación de malware incrustándoles contenido virulento, que activa el proceso de descarga/instalación del malware cuando se interactúa con él.
El auge de los archivos OneNote infecciosos coincide con la decisión de Microsoft de bloquear automáticamente las macros de Internet en los documentos de MS Office. Durante muchos años, los ciberdelincuentes habían confiado en los comandos de macros maliciosos para distribuir malware; sin embargo, estos nuevos avances habían cerrado esta vía y probablemente dieron lugar al uso de archivos OneNote.
Resumen del malware de Microsoft OneNote
En la mayoría de los casos, los archivos maliciosos OneNote se promueven a través de campañas de spam. Estos archivos se distribuyen como archivos adjuntos o a través de enlaces de descarga.
En el momento de escribir estas líneas, se ha observado la proliferación de dos programas maliciosos de esta forma: el troyano bancario Qakbot dirigido a información relacionada con las finanzas y capaz de causar infecciones en cadena (es decir, instalar troyanos adicionales, ransomware, criptomineros, etc.), y el RedLine Stealer, diseñado para extraer diversos datos confidenciales de los dispositivos infectados.
Las campañas investigadas que difundían Qakbot se dirigían a las víctimas al azar o utilizaban cuentas de correo electrónico robadas y respondían a todos los participantes en un hilo de correo electrónico existente. Los correos spam en sí solían ser impersonales, y el único detalle personal era el apellido del destinatario escrito en el asunto de algunos de los correos.
Los archivos OneNote virulentos inspeccionados tenían una aplicación HTML (archivo HTA) incrustada, que (tras hacer clic) aprovechaba una aplicación legítima para descargar/instalar el malware (en este caso, Qakbot). Sin embargo, casi cualquier tipo de archivo puede incrustarse en OneNote.
Los formatos de documentos suelen requerir una interacción adicional del usuario para poner en marcha las cadenas de infección (es decir, la descarga/instalación del malware no comienza nada más abrirse), y esto se aplica a los archivos maliciosos de OneNote.
Los documentos infecciosos de Microsoft Office requieren que los usuarios permitan sus macrocomandos (es decir, que habiliten la edición/el contenido), mientras que los archivos de OneNote necesitan que los usuarios hagan clic en el contenido incrustado. Para conseguirlo, los ciberdelincuentes suelen recurrir a la ingeniería social. Por ejemplo, los archivos OneNote analizados contenían botones falsos como "Abrir", que supuestamente descarga el archivo del almacenamiento en la nube, o "Doble clic para ver el archivo", que implica el acceso a cualquier contenido inexistente.
En teoría, los archivos virulentos de OneNote podrían utilizarse para hacer proliferar cualquier tipo de malware. Las amenazas que plantea una infección dependen de las capacidades del programa y de los objetivos de los ciberdelincuentes.
Por lo general, las infecciones de malware pueden provocar una disminución del rendimiento o fallos del sistema, pérdida de datos, daños en el hardware, graves problemas de privacidad, pérdidas económicas y robo de identidad.
Si cree que su dispositivo ya está infectado, le recomendamos encarecidamente que utilice un antivirus para realizar un análisis completo del sistema y eliminar sin demora las amenazas detectadas.
Nombre | Virus Microsoft OneNote |
Tipo de amenaza | Troyano, virus ladrón de contraseñas, malware bancario, spyware. |
Nombres de detección (propagación de Qakbot) | Avast (Other:Malware-gen [Trj]), Combo Cleaner (Trojan.GenericKD.65264047), ESET-NOD32 (Múltiples detecciones), Kaspersky (Trojan.Script.Agent.jr), Microsoft (TrojanDownloader:O97M/Qakbot.SS!MTB), Lista completa de detecciones (VirusTotal) |
Nombres de detección (propagación de RedLine) | Avast (Other:Malware-gen [Trj]), Combo Cleaner (Trojan.Generic.33194109), ESET-NOD32 (BAT/Agent.PLI), Kaspersky (Trojan.Script.Agent.jq), Microsoft (Trojan:Win32/Leonem), Lista completa de detecciones (VirusTotal) |
Carga útil | Qakbot, RedLine |
Síntomas | Los troyanos están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer ocultos, por lo que no hay síntomas particulares claramente visibles en una máquina infectada. |
Métodos de distribución | Adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social. |
Daños | Robo de contraseñas e información bancaria, suplantación de identidad, incorporación del ordenador de la víctima a una botnet. |
Eliminación de Malware | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
El malware en general
Los archivos OneNote troyanizados pueden utilizarse para distribuir casi cualquier tipo de software malicioso. El software malicioso puede tener una amplia gama de funcionalidades y usos.
Entre los tipos más populares se encuentran: backdoors/loaders (causan infecciones en cadena), stealers (roban datos/contenido), spyware (hacen capturas de pantalla, graban pulsaciones de teclas, audio/vídeo, etc.), clippers (sustituyen los datos del portapapeles), ransomware (cifran datos/bloquean la pantalla del dispositivo para pedir un rescate), cryptominers (abusan de los recursos del sistema para generar criptomonedas), etc.
Sin embargo, independientemente de cómo opere el malware, su presencia en un sistema pone en peligro la seguridad del dispositivo/usuario. Por lo tanto, es primordial eliminar todas las amenazas inmediatamente después de su detección.
¿Cómo se infiltró el malware Microsoft OneNote en mi ordenador?
Los archivos maliciosos de OneNote suelen distribuirse a través de campañas de spam por correo electrónico, como archivos adjuntos o mediante enlaces de descarga. Estos correos electrónicos pueden estar disfrazados de diversas formas, a menudo como mensajes de empresas legítimas, proveedores de servicios, instituciones, autoridades y otras entidades.
El proceso de infección se desencadena cuando se hace clic en el contenido incrustado en el archivo OneNote. Se puede utilizar la ingeniería social para engañar a los usuarios para que lo hagan (por ejemplo, solicitudes de hacer clic en un botón para descargar/abrir un archivo, etc.).
Sin embargo, es posible que los archivos infecciosos de OneNote se distribuyan empleando otros métodos. Se puede engañar a los usuarios para que descarguen un archivo de este tipo mediante técnicas de envenenamiento de motores de búsqueda o malvertising, en las que el archivo malicioso se presenta como contenido ordinario. También pueden utilizarse diversas estafas en línea para hacer proliferar archivos virulentos de OneNote.
¿Cómo evitar la instalación de malware?
Le recomendamos encarecidamente que sea precavido con los correos electrónicos entrantes, PMs/DMs, SMS y otros mensajes. No se deben abrir los archivos adjuntos o enlaces que se encuentren en correos sospechosos/irrelevantes, ya que pueden ser infecciosos.
La misma vigilancia debe extenderse a la navegación, ya que los contenidos fraudulentos y maliciosos en línea suelen parecer legítimos e inofensivos.
Aconsejamos descargar sólo de canales oficiales y verificados. Además, todos los programas deben activarse y actualizarse utilizando funciones/herramientas proporcionadas por desarrolladores genuinos, ya que las herramientas de activación ilegales ("cracks") y las actualizaciones de terceros pueden contener malware.
Es fundamental tener instalado y actualizado un antivirus de confianza. El software de seguridad debe utilizarse para realizar análisis periódicos del sistema y eliminar las amenazas y problemas detectados. Si cree que su ordenador ya está infectado, le recomendamos que ejecute un análisis con Combo Cleaner para eliminar automáticamente el malware infiltrado.
Captura de pantalla de un archivo OneNote malicioso propagando el RedLine Stealer:
Captura de pantalla de un correo electrónico de spam que distribuye un archivo malicioso de OneNote:
Texto que aparece en este correo electrónico:
Subject: DOC Lester
Hello,
A llist of the required documents for a contract in one doc:-
Captura de pantalla de otro correo spam que distribuye un archivo malicioso de OneNote:
Texto que aparece en este correo electrónico:
Subject: Automatic reply
Good morning,
Please look into this as a matter of urgency
My thanks and appreciation
Good day,
I will be out of the office for today.
Please contact - for assistance.
Have a great day
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú de acceso rápido:
- ¿Qué es Microsoft OneNote malware?
- PASO 1. Eliminación manual del malware Microsoft OneNote.
- PASO 2. Comprobar si su ordenador está libre de malware.
¿Cómo eliminar malware manualmente?
La eliminación manual de malware es una tarea complicada - normalmente es mejor dejar que los programas antivirus o anti-malware lo hagan automáticamente. Para eliminar este malware recomendamos utilizar Combo Cleaner.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. He aquí un ejemplo de un programa sospechoso ejecutándose en el ordenador de un usuario:
Si ha comprobado la lista de programas que se ejecutan en su ordenador, por ejemplo, utilizando el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:
Descargar un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:
Reiniciar su ordenador en Modo Seguro:
Usuarios de Windows XP y Windows 7: Inicie su ordenador en Modo Seguro. Haga clic en Inicio, en Apagar, en Reiniciar y en Aceptar. Durante el proceso de inicio del ordenador, pulse la tecla F8 del teclado varias veces hasta que aparezca el menú de opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red en la lista.
Vídeo que demuestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":
Usuarios de Windows 8: Inicie Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de la búsqueda seleccione Configuración. Haga clic en Opciones avanzadas de inicio, en la ventana abierta "Configuración general del PC", seleccione Inicio avanzado.
Haga clic en el botón "Reiniciar ahora". Su ordenador se reiniciará en el menú "Opciones avanzadas de inicio". Haga clic en el botón "Solucionar problemas" y, a continuación, en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio".
Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.
Vídeo que demuestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú que se abre, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "Mayús" del teclado. En la ventana "elegir una opción" haga clic en "Solucionar problemas", a continuación seleccione "Opciones avanzadas".
En el menú de opciones avanzadas seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana pulse la tecla "F5" de su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.
Vídeo que demuestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":
Extraer el archivo descargado y ejecutar el archivo Autoruns.exe
En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desmarque las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".
Revisar la lista proporcionada por la aplicación Autoruns y localizar el archivo de malware que desea eliminar.
Anote su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y elija "Eliminar".
Tras eliminar el malware a través de la aplicación Autoruns (esto garantiza que el malware no se ejecutará automáticamente en el siguiente inicio del sistema), debe buscar el nombre del malware en su ordenador. Asegúrese de activar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.
Reinicie su ordenador en modo normal. Al seguir estos pasos se debería eliminar cualquier malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos informáticos avanzados. Si no dispone de estos conocimientos, deje la eliminación de malware en manos de programas antivirus y antimalware.
Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener el ordenador seguro, instale las últimas actualizaciones del sistema operativo y utilice software antivirus. Para asegurarse de que su ordenador está libre de infecciones de malware, le recomendamos que lo analice con Combo Cleaner.
Preguntas frecuentes (FAQ)
¿Para qué sirven los archivos maliciosos de OneNote?
El formato legítimo de archivo OneNote puede ser troyanizado por ciberdelincuentes para infectar con malware los dispositivos de las víctimas. Estos archivos infecciosos pueden utilizarse para hacer proliferar casi cualquier tipo de programa malicioso. La descarga/instalación del malware se activa cuando la víctima interactúa con el contenido incluido en el archivo OneNote.
¿Cuáles son los principales problemas que puede causar el malware de OneNote?
Las amenazas que plantea una infección dependen de las capacidades del malware y del modus operandi de los ciberdelincuentes. Como se menciona en la respuesta anterior, los archivos de OneNote virulentos pueden utilizarse para propagar diversos tipos de malware, como troyanos, ransomware, criptomineros, etc. Por lo general, las infecciones de alto riesgo pueden provocar una disminución del rendimiento o fallos del sistema, graves problemas de privacidad, pérdida de datos, daños en el hardware, pérdidas económicas y robo de identidad.
¿Cómo se infiltró el malware OneNote en mi ordenador?
Los archivos maliciosos de OneNote se distribuyen principalmente como archivos adjuntos o a través de enlaces de descarga en correos electrónicos de spam. Sin embargo, estos archivos también pueden propagarse mediante técnicas de envenenamiento de motores de búsqueda, publicidad maliciosa y estafas en línea, entre otras.
He leído un correo spam pero no he abierto el archivo OneNote, ¿está infectado mi ordenador?
No, la mera lectura de un correo electrónico no inicia ningún proceso de descarga/instalación de malware. Los dispositivos se infectan cuando se abren o se hace clic en archivos adjuntos o enlaces maliciosos que se encuentran en el correo spam, y esto se aplica a los archivos maliciosos de OneNote.
He descargado y abierto el archivo de OneNote promocionado por un correo spam, ¿está infectado mi ordenador?
Los archivos maliciosos de OneNote comienzan a descargar/instalar malware cuando se hace clic en el contenido incrustado en ellos (por ejemplo, archivos como HTA, LNK, VBS, etc.). Tenga en cuenta que estos archivos suelen contener instrucciones engañosas destinadas a engañar a los usuarios para que interactúen con el contenido.
¿Me protegerá Combo Cleaner del malware?
Sí, Combo Cleaner puede escanear sistemas y detectar y eliminar prácticamente todas las infecciones de malware conocidas. Cabe destacar que es fundamental realizar un análisis completo del sistema, ya que los programas maliciosos más sofisticados suelen esconderse en las profundidades de los sistemas.
▼ Mostrar discusión.