Tu antivirus no puede detectar este nuevo virus

Software

Los antivirus que usamos en Windows son cada vez más seguros. En el listado de mejores antivirus de 2019 podemos ver que muchos de ellos obtienen un 6 sobre 6 en todas las protecciones, analizando miles de virus en el proceso. Sin embargo, hay algunos virus que no son detectados; sobre todo los que usan vulnerabilidades de día cero. Hoy estamos ante uno de ellos.

Nodersok: el nuevo virus que no se instala en tu PC y reside en la memoria

Esta nueva “cepa” de virus ha infectado ya a miles de ordenadores en el mundo, y no ha sido detectado todavía por ningún antivirus. La clave radica en que es un tipo de malware que no utiliza archivos, además de que utiliza herramientas legítimas del sistema y otras herramientas de terceros para extender su funcionalidad en el sistema en lugar de usar código malicioso.

windows 10 virus

El malware, bautizado como Nodersok y Divergent, se distribuye a través de anuncios online e infecta ordenadores para convertirlos en proxies para esconder tráfico malicioso y usarlo para hacer clicks en anuncios para generar dinero sin que el usuario se dé cuenta.

El proceso de infección arranca cuando un anuncio malicioso descarga una aplicación HTML (HTA) en le ordenador, y una vez se hace click en él, ejecuta una serie de JavaScripts y scripts de PowerShell maliciosos para descargar a instalar el malware más potente (Nodersok en este caso).

A través de los scripts de PowerShell, el malware intenta desactivar Windows Defender y Windows Update, mientras que mediante shellcode binario intenta escalar privilegios. Para ejecutarse de manera segura con el “permiso” del sistema, se aprovecha de la implementación de Windows del framework Node.js, que es fiable para el sistema y tiene certificado de confianza. Gracias a ello, el malware puede ejecutarse en un entorno de confianza como si fuera un proceso seguro. Por último, otro de los elementos del malware es WinDivert, que captura paquetes de red para filtrar y modificar determinados paquetes que salgan del PC.

Una vez ha completado ese proceso, el malware suelta la carga JavaScript final para el framework Node.js que convierte el ordenador en un proxy, de tal manera que un atacante puede usar el ordenador como un punto de acceso a webs o servidores de control para realizar operaciones maliciosas de manera oculta. Básicamente, convierte tu ordenador en un VPN que va a ser usado con fines espurios.

Microsoft dice que Windows Defender puede detectarlo, pero el malware lo desactivaba

Según dice Microsoft, ahora mismo el malware está siendo usado para conectar un ordenador a un servidor de control y recibir solicitudes HTTP desde ese servidor. Cisco, por su parte, ha detectado que se está usando para navegar por páginas web arbitrarias para monetización, además de fraude haciendo clicks falsos de anuncios.

Todas las funciones importantes del malware se ejecutan a través de elementos cifrados, que sólo se descifran para ser ejecutados desde la memoria RAM, de manera que nunca llegan a tocar ni siquiera un disco duro o un SSD. Actualmente la mayoría de usuarios afectados se encuentran en Estados Unidos y Europa (España apenas se ha visto afectada), atacando sobre todo a ordenadores personales; aunque hay un 3% de dispositivos afectados dentro de empresas.

Microsoft, por su parte, afirma que Windows Defender es capaz de detectar la ejecución de scripts como las que usa este malware, aunque no explica cómo ha podido infectar entonces a miles de ordenadores sin ser visto. Una campaña parecida en el mes de julio bajo el nombre de Astaroth buscaba robar datos personales de usuarios.

Escrito por Alberto García

Fuente > THN

Continúa leyendo
  • Javascript será muy bueno en lo que se quiera, pero entre el malware que se genera con este lenguaje y los scripts de minado y similares que cargan el procesador y la memoria, cada vez da más asco su uso.

    Salu2

    • Eduardo Miñana

      Y si desinstalamos JAVA, y reiniciamos, o mejor dicho, y si no tenemos el Java en el sistema, serviría de algo?

      • Samuel Pedrosa

        No nos liemos. Java y javascript son 2 mundos diferentes. Nada que ver una cosa con otra. Y respecto al primer comentario, tambien anda muy confundido, pero para no quemar el coco. Andar y leer un poco antes de comentar.

        • ¿Qué se supone que tengo que leer? A lo mejor es que los archivos que veo indicados en el código fuente de páginas web con extensión .js, son Jamón Serrano y no Javascript, puede ser no lo se…

          Salu2

          • Luis M. Jiménez Carrasco

            No mucho, de la wiki:

            JavaScript se diseñó con una sintaxis similar a C, aunque adopta nombres y convenciones del lenguaje de programación Java. Sin embargo, Java y JavaScript tienen semánticas y propósitos diferentes.

            • Samuel Pedrosa

              Dios. La sintaxis de javascript y c es como el mar o las montañas, nada que ver. Si hubieras dicho al menos typescript, diria bueno. La sintaxis de C es tipado estricto, cosa que en javascript te lo pasas por el arco de triunfo. Solo por eso, ya es mar y montañas.

            • Sigo sin entender que me quieres decir. ¿Qué Java y Javascript son distintos? Ya lo sabía, yo nunca dije que Java y Javascript sean iguales. Es que en realidad no hablé de Java para nada.

              Salu2

              • Samuel Pedrosa

                Tino, lo de JAVA dijo Eduardo. Mi comentario iba dirigido a él.

        • Luis M. Jiménez Carrasco

          Efectivamente Java y javascript se parecen lo que un huevo a una castaña, hay alguna forma de que el navegador no ejecute los javascripts o dejarían de funcionar las paginas?.

          • lookmeandnotouchme

            Ambos. Se puede evitar la carga de Javascript, y también puede haber páginas cuyo contenido no se muestre correctamente si se desactiva

          • Samuel Pedrosa

            Hoy en dia es practicamente imposible porque dejarias de visual parcial o completa las paginas, cosa que irá extiendiendo mas con las tecnologias como angular, react js o vue.

        • manolito74

          Cierto. En todo caso ambos 2 son un lastre importante y un coladero de Virus. 😉

          "Andar y leer un poco antes de comentar." –> Andad y leed un poco antes de comentar.

          • Samuel Pedrosa

            Pero que tiene que ver el virus aquí con un lenguaje? Todos son docentes y académicos de la RAE pero no saben lo que hablan y lo digo con todo el cariño del mundo. Si me pongo a escribir no terminamos hoy pero por favor no monten una ensalada rusa sin saber la receta.

            • manolito74

              Pues hombre, por tu forma de expresarte muy «cariñoso» no suenas… Más bien todo lo contrario: suenas a «sobrao» por la forma que te expresas («andar y leer un poco antes de comentar», «no saben de lo que hablan», «no monten una ensalada rusa sin saber la receta»….)

              Con decir que alguien ha cometido un error y/o lo que afirma no es cierto y corregirle, aclarar el error, explicarlo, etc bastaría. ¿No te parece?

              Saludetes. 😉

  • juan

    supongo que con gnu/linux servirá

  • Fernand0

    A este paso tendremos que volver a poner todo escrito en papel para que la información este segura jajaja (y puede que ni así con tantas cámaras rondando por ahí)

  • Raul Carlin

    Os recomiendo el avg antivirus porque cada cosa mala que detecta la bloquea y aveces lo pone en su zona de cuarentena por ejemplo al meterte en una página puedes generar otra página sin querer pues si esa página no es segura y es un virus pues directamente lo bloquea y lo envía a la zona de cuarentena y te indica el enlace que bloqueo y todo así que la verdad os lo recomiendo pero como entre un virus a vuestro ordenador y no carga la página oficial de avg o otras páginas oficiales de antivirus es porque dicho virus o algunos virus os bloquea la página para que no lo podáis descargar el antivirus que queráis descargar dicho todo esto os obliga a formatear el disco duro donde esté el sistema operativo para poder eliminar el virus si tenéis un antivirus podréis eliminarlo desde el antivirus pero si no lo más recomendable es formatear el disco duro donde está ubicado el sistema operativo bueno espero que os sirva de algo cracks 😋👍🤘

    • manolito74

      Os recomiendo el AVG antivirus porque cada cosa mala que detecta la bloquea y aveces lo pone en su zona de cuarentena. Por ejemplo, al meterte en una página puedes generar otra página sin querer. Si esa página no es segura y es un virus pues directamente lo bloquea, lo envía a la zona de cuarentena y te indica el enlace que bloqueo y todo.

      Así que la verdad os lo recomiendo. Pero cuando entra un virus a vuestro ordenador y no carga la página oficial de AVG u otras páginas oficiales de antivirus es porque dicho virus, o algún otro virus, os bloquea la página para que no podáis descargar el antivirus que queráis descargar. Dicho todo esto os obliga a formatear el disco duro donde esté el sistema operativo para poder eliminar el virus.

      Si tenéis un antivirus podréis eliminarlo desde el antivirus pero si no lo más recomendable es formatear el disco duro donde está ubicado el sistema operativo.

      Bueno, espero que os sirva de algo ¡cracks!