Hay muchos más ordenadores, dispositivos y servidores infectados por malware de lo que imaginamos. Y es que, aunque los programas antivirus y las medidas de seguridad convencionales son capaces de detectar la mayoría de las amenazas a las que nos enfrentamos, hay muchas amenazas que pasan totalmente desapercibidas para las medidas de seguridad. Esto hace que, sin levantar sospechas, haya miles de ordenadores infectados de malware y controlados por hackers de todo el mundo. Por suerte, no todos estos «hackers» pertenecen al lado malo.
Mientras que los piratas informáticos buscan siempre atacar e infectar ordenadores para su propio beneficio, hay algunos hackers que buscan ser los «Robin Hood» de las redes. Hoy, en Reddit, nos hemos encontrado con un claro ejemplo de ello, destapando una importante botnet que estaba pasando totalmente desapercibida.
Nota del Editor: La información de este artículo se basa en reportes de usuarios en la plataforma Reddit y, hasta la fecha de publicación, no ha sido confirmada de forma independiente por analistas de ciberseguridad. Si bien las técnicas descritas son técnicamente plausibles, se recomienda cautela.
El popup que avisa a las víctimas de que tienen un virus
El usuario «GamingBar» de Reddit ha publicado un hilo en esta plataforma en el que nos enseña un mensaje extraño que ha aparecido en su Windows. Este mensaje ha aparecido en forma de «popup» (ventana emergente) y muestra un mensaje en el que indica que el ordenador está infectado por malware, invitando al usuario a reinstalar Windows.
También podemos ver un mensaje en el que indica al «pirata» que la próxima vez proteja el acceso a su panel de control C2 con una contraseña. Esto quiere decir que este hacker del lado bueno ha encontrado un panel de control de un malware, el cual aún se desconoce, y ha conseguido entrar a él por no tener un sistema de autenticación.
El usuario asegura que el mensaje apareció y, a los 5-10 segundos, desapareció automáticamente. Esto puede significar que el propio malware intercepta, y cierra, los mensajes que aparecen en el sistema. También puede ser que, tras el hackeo, el pirata informático tomó el control de nuevo de su servidor y finalizó el mensaje. O simplemente que la única forma de mandar un mensaje a todas las víctimas fuera mediante un mensaje temporal desde el servidor de control.
Otro usuario de Reddit asegura que primero vio un mensaje «test» y, al cerrarlo, al poco tiempo llegó el popup que informaba de que el PC estaba infectado. Este usuario descargó el software de seguridad Malwarebytes, el cual no detectó la presencia de ningún malware, pero sí vio que «algo» estaba intentando ejecutar comandos de PowerShell. Esto quiere decir que estamos ante un virus desconocido, que no hace saltar las alarmas heurísticas, pero sí está funcionando en segundo plano en los ordenadores.
Cómo limpiar un PC por completo de virus
Lo más seguro es que se trate de un rootkit. Este es uno de los tipos de malware más peligrosos que existen ahora mismo. Se trata de un software malicioso diseñado para ocultarse dentro del sistema y dar acceso privilegiado (nivel administrador o incluso kernel) a un atacante, sin que el usuario se dé cuenta. Además de dar el control del sistema, también oculta otros virus, troyanos o programas espía, manipula los procesos del sistema, puede desactivar los antivirus y hasta acceder a todos los archivos y contraseñas de los usuarios.
Lo más grave es que el usuario puede no notar absolutamente nada: el PC parece funcionar con normalidad. Y, si no llega a ser por este «buen samaritano», el pirata informático hubiera seguido haciendo de las suyas.
¿Y cómo eliminamos un rootkit? Podemos intentarlo a mano o usando software de seguridad forense avanzado. Pero este tipo de malware suele tener funciones de réplica y restauración, y nada nos asegura que no vayamos a acabar infectados igualmente. Por lo tanto, nuestra recomendación es la misma que ha hecho el «hacker bueno» a los usuarios infectados: reinstalar Windows. Solo instalando Windows desde cero podemos estar seguros de borrar por completo el malware.
Y también os recomendamos borrar todas las demás unidades de almacenamiento, por si acaso hay rastros del malware y, tras reinstalar el sistema, se vuelve a replicar.
