¿Cómo eliminar el malware JSSLOADER del sistema operativo?

Cómo eliminar JSSLOADER RAT - instrucciones para eliminar virus



Guía de eliminación del virus JSSLOADER

¿Qué es JSSLOADER?

JSSLOADER es el nombre de un troyano de acceso remoto (RAT) que es capaz de filtrar datos, ejecutar comandos, descargar otro malware, actualizarse automáticamente y evitar ser depurado (analizado). Se sabe que JSSLOADER es utilizado principalmente por el grupo de ciberdelincuentes llamado FIN7.

Malware JSSLOADER





Al principio, JSSLOADER recopila (filtra) datos como información de AD (Active Directory), nombre de dominio, archivos de escritorio, nombre de host, unidades lógicas, información de red, procesos en ejecución, información del sistema, nombre de usuario y los envía a una determinada dirección URL. Luego, los atacantes lo usan para enviar comandos CMD desde C2 (servidor de comando y control), que podrían incluir comandos para escribir y ejecutar archivos ejecutables, reescribir JSSLOADER con su versión actualizada, desinstalar JSSLOADER (y eliminar la persistencia, terminar su proceso), ejecutar un Comando de PowerShell, escriba y ejecute un archivo DLL. La investigación muestra que uno de los principales comandos que los atacantes ejecutan a través de JSSLOADER es 'Cmd_RAT' que ejecuta un script Takeout que carga y ejecuta Carbanak, malware bancario que roba datos. Por lo general, este tipo de malware se utiliza para robar información financiera (como los datos del vehículo de crédito, los números de cuentas bancarias), las credenciales de inicio de sesión y / u otra información confidencial.

Resumen de amenazas:
Nombre Troyano de acceso remoto JSSLOADER
Tipo de amenaza Troyano de acceso remoto
Nombres de detección Avast (Otro: Malware-gen [Trj]), BitDefender (VBS.Heur.Maltzur.1.013F4BB5.Gen), Emsisoft (VBS.Heur.Maltzur.1.013F4BB5.Gen (B)), Kaspersky (HEUR: Trojan-Downloader .Script.Generic), Microsoft (TrojanDownloader: VBS / Qakbot.AR! MTB), Lista completa ( VirusTotal )
Nombre (s) de proceso malicioso MimiHealth (su nombre puede variar)
Carga útil Carbanak
Síntomas Los troyanos de administración remota están diseñados para infiltrarse sigilosamente en la computadora de la víctima y permanecer en silencio, por lo que ningún síntoma particular es claramente visible en una máquina infectada.
Métodos de distribución Archivos adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, 'grietas' de software.
Daño Contraseñas robadas e información bancaria, robo de identidad, la computadora de la víctima agregada a una botnet.
Eliminación de malware (Windows)

Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan utilizar Malwarebytes.
▼ Descargar Malwarebytes
Para utilizar un producto con todas las funciones, debe adquirir una licencia de Malwarebytes. 14 días de prueba gratuita disponible.



En conclusión, los ciberdelincuentes detrás de JSSLOADER pueden usarlo para recopilar ciertos datos (incluidos los archivos colocados en el escritorio) y ejecutar comandos que podrían usarse para instalar no solo el malware bancario mencionado anteriormente, sino también algún otro software malicioso. Más ejemplos de RAT son VoidRAT , IceRAT y PyXie . En la mayoría de los casos, las RAT se utilizan para acceder de forma remota a las computadoras infectadas y luego robar información confidencial y / o infectar las computadoras con algún otro malware.

¿Cómo se infiltró JSSLOADER en mi computadora?

Se sabe que JSSLOADER se distribuye a través de correos electrónicos malspam. Por lo general, estos correos electrónicos contienen algún archivo adjunto malicioso o un enlace de descarga para un archivo malicioso. Para engañar a los destinatarios para que abran un archivo malicioso, los ciberdelincuentes disfrazan esos correos electrónicos como cartas oficiales importantes de empresas y organizaciones legítimas. Los destinatarios infectan sus computadoras con malware cuando abren un archivo que han descargado a través del correo malspam. Algunos ejemplos de archivos que los ciberdelincuentes utilizan para distribuir malware de esta manera son documentos de Microsoft Office, documentos PDF, archivos de almacenamiento como RAR, ejecutables (como .exe) y archivos JavaScript.

Más ejemplos de formas de distribuir malware son utilizar fuentes de descarga de software no confiables (como redes Peer-to-Peer como torrents, eMule, sitios web de descarga de software gratuito, sitios web de alojamiento de archivos gratuitos, etc.), instaladores de terceros, ciertos troyanos, software no oficial. activación y falsas herramientas de actualización de software.

¿Cómo evitar la instalación de malware?

El software (y los archivos) solo deben descargarse de páginas oficiales y legítimas y mediante enlaces de descarga directa. No se debe confiar en otras fuentes, herramientas. Los archivos adjuntos y enlaces a sitios web en correos electrónicos irrelevantes que se reciben de direcciones desconocidas o sospechosas tampoco deben abrirse. Incluso si estos correos electrónicos parecen enviados por empresas legítimas, pueden utilizarse para distribuir malware. El software instalado debe actualizarse y / o activarse con herramientas proporcionadas por los desarrolladores de software oficiales. Otras herramientas (de terceros, no oficiales) pueden usarse y se usan a menudo para distribuir malware. Además, no es legal usar herramientas de 'craqueo' (herramientas de activación no oficiales) para activar cualquier software con licencia, o usar software pirateado. El sistema operativo debe tener instalado un software antivirus o antispyware de buena reputación y debe escanearse periódicamente en busca de amenazas. Si cree que su equipo ya está infectado, le recomendamos que realice un análisis con Malwarebytes para Windows para eliminar automáticamente el malware infiltrado.

JSSLOADER ejecutándose en el Administrador de tareas como ' MimiHealth '(su nombre puede variar):

jssloader rat ejecutándose en el administrador de tareas como mimi health

Eliminación automática instantánea de malware: La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Malwarebytes es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para eliminar el software malicioso. Descárgalo haciendo clic en el botón de abajo:
▼ DESCARGAR Malwarebytes Al descargar cualquier software incluido en este sitio web, acepta nuestra Política de privacidad y Condiciones de uso . Para utilizar un producto con todas las funciones, debe adquirir una licencia de Malwarebytes. 14 días de prueba gratuita disponible.

Menú rápido:

¿Cómo eliminar el malware manualmente?

La eliminación manual de malware es una tarea complicada; por lo general, es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos usar Malwarebytes para Windows . Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. A continuación, se muestra un ejemplo de un programa sospechoso que se ejecuta en la computadora de un usuario:

proceso malicioso que se ejecuta en el usuario

Si revisó la lista de programas que se ejecutan en su computadora, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:

eliminación manual de malware, paso 1Descarga un programa llamado Autoruns . Este programa muestra las aplicaciones de inicio automático, el registro y las ubicaciones del sistema de archivos:

captura de pantalla de la aplicación de ejecución automática

cómo instalar múltiples sistemas operativos en una computadora

eliminación manual de malware, paso 2Reinicie su computadora en modo seguro:

Usuarios de Windows XP y Windows 7: Inicie su computadora en modo seguro. Haga clic en Inicio, haga clic en Apagar, haga clic en Reiniciar, haga clic en Aceptar. Durante el proceso de inicio de su computadora, presione la tecla F8 en su teclado varias veces hasta que vea el menú Opciones avanzadas de Windows y luego seleccione Modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Video que muestra cómo iniciar Windows 7 en 'Modo seguro con redes':

Usuarios de Windows 8 : Inicie Windows 8 en modo seguro con funciones de red: vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta 'Configuración general de PC', seleccione Inicio avanzado. Haga clic en el botón 'Reiniciar ahora'. Su computadora ahora se reiniciará en el 'Menú de opciones de inicio avanzadas'. Haga clic en el botón 'Solucionar problemas' y luego haga clic en el botón 'Opciones avanzadas'. En la pantalla de opciones avanzadas, haga clic en 'Configuración de inicio'. Haga clic en el botón 'Reiniciar'. Su PC se reiniciará en la pantalla Configuración de inicio. Presione F5 para arrancar en modo seguro con funciones de red.

Modo seguro de Windows 8 con redes

Video que muestra cómo iniciar Windows 8 en 'Modo seguro con redes':

Usuarios de Windows 10 : Haga clic en el logotipo de Windows y seleccione el icono de Energía. En el menú abierto, haga clic en 'Reiniciar' mientras mantiene presionado el botón 'Shift' en su teclado. En la ventana 'elegir una opción', haga clic en 'Solucionar problemas', luego seleccione 'Opciones avanzadas'. En el menú de opciones avanzadas, seleccione 'Configuración de inicio' y haga clic en el botón 'Reiniciar'. En la siguiente ventana, debe hacer clic en el botón 'F5' de su teclado. Esto reiniciará su sistema operativo en modo seguro con redes.

modo seguro de Windows 10 con redes

Video que muestra cómo iniciar Windows 10 en 'Modo seguro con redes':

eliminación manual de malware, paso 3Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

extraer autoruns.zip y ejecutar autoruns.exe

eliminación manual de malware, paso 4En la aplicación Autoruns, haga clic en 'Opciones' en la parte superior y desmarque las opciones 'Ocultar ubicaciones vacías' y 'Ocultar entradas de Windows'. Después de este procedimiento, haga clic en el icono 'Actualizar'.

Hacer clic

ms-settings: personalization-background este archivo no tiene programa

paso 5 de eliminación manual de malwareConsulte la lista proporcionada por la aplicación Autoruns y localice el archivo de malware que desea eliminar.

Debe escribir su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres de procesos legítimos de Windows. En esta etapa, es muy importante evitar eliminar archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione 'Eliminar'.

localice el archivo de malware que desea eliminar

Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su computadora. Asegúrate de habilitar archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.

buscando archivos de malware en su computadora

Reinicia tu computadora en modo normal. Seguir estos pasos debería eliminar cualquier malware de su computadora. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos informáticos avanzados. Si no tiene estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware. Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su computadora segura, instale las últimas actualizaciones del sistema operativo y use software antivirus.

Para asegurarse de que su computadora esté libre de infecciones de malware, le recomendamos que la analice con Malwarebytes para Windows .