RAT Orcus
Escrito por Tomas Meskauskas el (actualizado)
Guía de eliminación del virus Orcus
¿Qué es Orcus?
Orcus es un troyano de acceso remoto (RAT, por sus siglas en inglés). Los programas de este tipo se utilizan para acceder o controlar equipos de forma remota. Generalmente, estas herramientas pueden ser utilizadas legítimamente por cualquier persona, sin embargo, en muchos casos, los ciberdelincuentes las utilizan con fines maliciosos. A menudo engañan a las personas para que instalen estos programas y luego los utilizan para robar información diversa y generar ingresos.
El programa Orcus se puede descargar desde su sitio web y se promociona con características similares a TeamViewer y otro software. De hecho, Orcus incluye algunas características ilegales, como la capacidad de desactivar la luz de actividad de la cámara web, recuperar contraseñas de aplicaciones conocidas y recuperar cookies del navegador. También es capaz de utilizar el micrófono para grabar sonido (cualquier entrada), realizar un registro de teclas (registrar pulsaciones de teclas), etc. Estas funciones no están incluidas en la versión básica de Orcus, sin embargo, se pueden comprar por $40. Tenga en cuenta que esta RAT se promociona en un foro de piratería en el que las personas pueden comprar y vender programas maliciosos, exploits, piratería y otro material de este tipo. Las investigaciones muestran que algunos ciberdelincuentes usan campañas de spam (correos electrónicos) para engañar a las personas para que instalen esta herramienta en particular. Envían correos electrónicos que se presentan como mensajes de "Lathe and CNC Machines" como facturas. Estos correos electrónicos incluyen archivos adjuntos que, una vez abiertos, descargan e instalan Orcus. Las campañas de correo no deseado son una de las formas más comunes de propagar infecciones informáticas, o herramientas legítimas como las RATs, que luego pueden usarse de manera maliciosa. Si está instalada, esta herramienta se puede utilizar para robar contraseñas, inicios de sesión de cuentas y otros detalles confidenciales y sensibles. Algunos de los complementos pueden descargar archivos, incluidas infecciones informáticas como ransomware. Por lo tanto, ser engañado para instalar esta herramienta puede resultar en pérdidas económicas, problemas de privacidad, infecciones de la computadora y otros problemas graves. Si está instalada, esta herramienta puede disfrazarse como otra aplicación que se ejecuta en segundo plano del sistema. En nuestro ejemplo (vea la captura de pantalla anterior), se ejecuta como un proceso "PK Holdings.exe" en el Administrador de Tareas.
| Nombre | Troyano de acceso remoto Orcus |
| Tipo de Amenaza | Trojan, Password-stealing virus, Banking malware, Spyware, Troyano de Acceso Remoto (RAT). |
| Nombres de Detección (s01v1.exe) | Avast (Win32:RATX-gen [Trj]), BitDefender (Gen:Heur.MSIL.Bladabindi.1), ESET-NOD32 (una variante de MSIL/TrojanDropper.Agent.EEB), Kaspersky (HEUR:Trojan.MSIL.Generic), Lista Completa (VirusTotal) |
| Nombre(s) del Proceso Malicioso | PK Holdings.exe |
| Síntomas | Los troyanos están diseñados para infiltrarse sigilosamente en la computadora de la víctima y permanecer en silencio. Por lo tanto, ningún síntoma particular es claramente visible en una máquina infectada. |
| Métodos de Distribución | Archivos adjuntos al email infectados, anuncios maliciosos online, ingeniería social, cracks de software. |
| Daño | Información bancaria robada, contraseñas, robo de identidad, la computadora de la víctima es agregada a una botnet, system manipulation, potential computer infections. |
| Eliminación de Malware | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Hay muchos troyanos de acceso remoto (RAT) en Internet. Algunos ejemplos son Agent Tesla, Imminent Monitor, H-Worm, y CrimsonRAT. Estas herramientas son legítimas, sin embargo, pueden ser utilizadas por ciberdelincuentes con intenciones maliciosas. Si hay un RAT en su sistema y no lo instaló intencionalmente, elimínelo de inmediato.
¿Cómo se infiltró Orcus en mi computadora?
Las infecciones informáticas pueden deberse a campañas de spam. Los correos electrónicos se envían con archivos adjuntos (o incluyen enlaces web que conducen a archivos infectados). Normalmente, estos archivos son documentos de Microsoft Office, archivos JavaScript, documentos PDF, ejecutables (archivos .exe), archivos como RAR, ZIP, etc. Si se abren, descargan e instalan programas maliciosos. Otras formas de propagar virus incluyen troyanos, actualizadores de software falsos/no oficiales, canales de descarga de software no confiables y herramientas de "craqueo" de software. Los troyanos son programas maliciosos que suelen descargar e instalar otros programas de este tipo. Si están instalados, causan infecciones en cadena/proliferan virus. Los actualizadores de software falsos son herramientas que provocan infecciones informáticas en lugar de actualizar los programas instalados. En algunos casos, causan infecciones al explotar errores/fallas de software desactualizado. Los sitios web de descarga de software gratuito y de alojamiento de archivos gratuitos, las redes Peer-to-Peer como los clientes de torrent, eMule (y otros programas de este tipo), las páginas no oficiales y otros canales de descarga de software dudosos pueden utilizarse para propagar programas maliciosos. Los ciberdelincuentes presentan los archivos infectados como normales, legítimos e inofensivos, sin embargo, una vez descargados y abiertos/ejecutados, instalan malware. La gente utiliza herramientas de "craqueo" de software para evitar la activación pagada del software o sistemas operativos instalados; sin embargo, estas herramientas pueden propagar infecciones informáticas. En lugar de activar programas, descargan e instalan programas maliciosos.
¿Cómo evitar la instalación de malware?
Los correos electrónicos irrelevantes deben ignorarse, especialmente si se reciben de direcciones desconocidas o sospechosas o contienen enlaces web o archivos adjuntos. El software debe descargarse utilizando sitios web oficiales y enlaces directos (no las otras herramientas mencionadas anteriormente). Las actualizaciones de software deben realizarse utilizando herramientas oficiales o funciones implementadas proporcionadas por los desarrolladores de software oficiales. El software pago no debe activarse con herramientas de terceros, ya que se trata de un delito cibernético. Además, los ciberdelincuentes a menudo los emplean para propagar infecciones informáticas. También es importante tener instalado un programa anti-spyware o antivirus de buena reputación y mantenerlo habilitado en todo momento. Sin estos programas, las computadoras se vuelven vulnerables a infecciones informáticas. Si cree que su equipo ya está infectado, le recomendamos que realice un análisis Combo Cleaner para eliminar automáticamente el malware infiltrado.
Campaña de spam (email) utilizada para distribuir Orcus RAT:
Texto presentado en este correo electrónico:
Dear Sir Madam, Good day!
We are trading company in Taiwan with business line of Lathe and CNC Machines, ELECTRICAL, BOLT & NUTS in this regard, Please kindly refer to the following items and offer your best quotation as soon as possible, thank you.
1. C.I.F Kaohsiung Port Taiwan2. By air .1 By sea separately
3. Do you need photo of name plate for this Machines Attached?
Kindly revert with price asap. Attached is Our Operating Certificate / License and Order for Specification and references
If you have any question, don't hesitate to contact me.
Best RegardsAmy Wu
Sales Manager
PROTOM MACHINERY TOOLS LTD.
55 Chin Shan South Road Sec. 2
Taipei, Taiwan 10603 TAIWAN, R. 0. C.
Please to consider the environment before printing this e-mail
Panel de Administración de la RAT Orcus:
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú rápido:
- ¿Qué es Orcus?
- PASO 1. Eliminación manual del malware Orcus.
- PASO 2. Revise si su computadora está limpia.
¿Cómo eliminar el malware manualmente?
La eliminación manual de malware es una tarea complicada. Por lo general, es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Combo Cleaner. Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Aquí hay un ejemplo de un programa sospechoso que se ejecuta en la computadora de un usuario:
Si revisó la lista de programas que se ejecutan en su computadora, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:
Descargue un programa llamado Autoruns. Este programa muestra aplicaciones de inicio automático, registro y ubicaciones del sistema de archivos:
Reinicie su computadora en Modo Seguro:
Usuarios de Windows XP y Windows 7: Inicie su computador en modo seguro. Haga clic en Inicio, clic en Apagar, clic en Reiniciar, clic en Aceptar. Durante el proceso de inicio de su computador, presione la tecla F8 en su teclado varias veces hasta que vea el menú Opciones Avanzadas de Windows, y luego seleccione Modo Seguro con Funciones de Red de la lista.
Video que muestra cómo iniciar Windows 7 en "Modo Seguro con Funciones de Red":
Usuarios de Windows 8: Iniciar Windows 8 en Modo Seguro con Funciones de Red: vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta "Configuración General de PC", seleccione Inicio Avanzado. Clic en el botón "Reiniciar Ahora". Su computadora ahora se reiniciará en el "Menú de opciones de inicio avanzado". Haga clic en el botón "Solucionar problemas" y luego clic en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para iniciar en Modo Seguro con Funciones de Red.
Video que muestra cómo iniciar Windows 8 en "Modo Seguro con Funciones de Red":
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto, haga clic en "Reiniciar" mientras mantiene presionado el botón "Shift" en su teclado. En la ventana "Elija una opción", haga clic en "Solucionar Problemas", luego seleccione "Opciones Avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de Inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana, debe hacer clic en la tecla "F5" en su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.
Video que muestra cómo iniciar Windows 10 en "Modo Seguro con Funciones de Red":
Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.
En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desactive las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".
Consulte la lista provista por la aplicación Autoruns y localice el archivo de malware que desea eliminar.
Debe anotar la ruta y nombre completos. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres legítimos de procesos de Windows. En esta etapa, es muy importante evitar eliminar los archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic con el botón derecho del mouse sobre su nombre y elija "Eliminar".
Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su computadora. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.
Reinicie su computadora en modo normal. Seguir estos pasos debería eliminar cualquier malware de su computadora. Tenga en cuenta que la eliminación manual de amenazas requiere habilidades informáticas avanzadas. Si no tiene estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware. Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su computadora segura, instale las últimas actualizaciones del sistema operativo y use un software antivirus.
Para asegurarse de que su computadora esté libre de infecciones de malware, recomendamos escanearla con Combo Cleaner.
¡Excelente!
▼ Mostrar discusión.