RAT Orcus

Conocido también como: Troyano de acceso remoto Orcus
Tipo: Troyano
Propagación: Baja
Nivel de peligrosidad: Extremo

Guía de eliminación del virus Orcus

¿Qué es Orcus?

Orcus es un troyano de acceso remoto (RAT, por sus siglas en inglés). Los programas de este tipo se utilizan para acceder o controlar equipos de forma remota. Generalmente, estas herramientas pueden ser utilizadas legítimamente por cualquier persona, sin embargo, en muchos casos, los ciberdelincuentes las utilizan con fines maliciosos. A menudo engañan a las personas para que instalen estos programas y luego los utilizan para robar información diversa y generar ingresos.

Malware Orcus

El programa Orcus se puede descargar desde su sitio web y se promociona con características similares a TeamViewer y otro software. De hecho, Orcus incluye algunas características ilegales, como la capacidad de desactivar la luz de actividad de la cámara web, recuperar contraseñas de aplicaciones conocidas y recuperar cookies del navegador. También es capaz de utilizar el micrófono para grabar sonido (cualquier entrada), realizar un registro de teclas (registrar pulsaciones de teclas), etc. Estas funciones no están incluidas en la versión básica de Orcus, sin embargo, se pueden comprar por $40. Tenga en cuenta que esta RAT se promociona en un foro de piratería en el que las personas pueden comprar y vender programas maliciosos, exploits, piratería y otro material de este tipo. Las investigaciones muestran que algunos ciberdelincuentes usan campañas de spam (correos electrónicos) para engañar a las personas para que instalen esta herramienta en particular. Envían correos electrónicos que se presentan como mensajes de "Lathe and CNC Machines" como facturas. Estos correos electrónicos incluyen archivos adjuntos que, una vez abiertos, descargan e instalan Orcus. Las campañas de correo no deseado son una de las formas más comunes de propagar infecciones informáticas, o herramientas legítimas como las RATs, que luego pueden usarse de manera maliciosa. Si está instalada, esta herramienta se puede utilizar para robar contraseñas, inicios de sesión de cuentas y otros detalles confidenciales y sensibles. Algunos de los complementos pueden descargar archivos, incluidas infecciones informáticas como ransomware. Por lo tanto, ser engañado para instalar esta herramienta puede resultar en pérdidas económicas, problemas de privacidad, infecciones de la computadora y otros problemas graves. Si está instalada, esta herramienta puede disfrazarse como otra aplicación que se ejecuta en segundo plano del sistema. En nuestro ejemplo (vea la captura de pantalla anterior), se ejecuta como un proceso "PK Holdings.exe" en el Administrador de Tareas.

Resumen de la Amenaza:
Nombre Troyano de acceso remoto Orcus
Tipo de Amenaza Trojan, Password-stealing virus, Banking malware, Spyware, Troyano de Acceso Remoto (RAT).
Nombres de Detección (s01v1.exe) Avast (Win32:RATX-gen [Trj]), BitDefender (Gen:Heur.MSIL.Bladabindi.1), ESET-NOD32 (a variant of MSIL/TrojanDropper.Agent.EEB), Kaspersky (HEUR:Trojan.MSIL.Generic), Lista Completa (VirusTotal)
Nombre(s) del Proceso Malicioso PK Holdings.exe
Síntomas Los troyanos están diseñados para infiltrarse sigilosamente en la computadora de la víctima y permanecer en silencio. Por lo tanto, ningún síntoma particular es claramente visible en una máquina infectada.
Métodos de Distribución Archivos adjuntos al email infectados, anuncios maliciosos online, ingeniería social, cracks de software.
Daño Información bancaria robada, contraseñas, robo de identidad, la computadora de la víctima es agregada a una botnet, system manipulation, potential computer infections.
Eliminación

Para eliminar Troyano de acceso remoto Orcus, nuestros investigadores de software malicioso recomiendan analizar el equipo con Malwarebytes.
▼ Descargar Malwarebytes
Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.

Hay muchos troyanos de acceso remoto (RAT) en Internet. Algunos ejemplos son Agent Tesla, Imminent Monitor, H-Worm, y CrimsonRAT. Estas herramientas son legítimas, sin embargo, pueden ser utilizadas por ciberdelincuentes con intenciones maliciosas. Si hay un RAT en su sistema y no lo instaló intencionalmente, elimínelo de inmediato.

¿Cómo se infiltró Orcus en mi computadora?

Las infecciones informáticas pueden deberse a campañas de spam. Los correos electrónicos se envían con archivos adjuntos (o incluyen enlaces web que conducen a archivos infectados). Normalmente, estos archivos son documentos de Microsoft Office, archivos JavaScript, documentos PDF, ejecutables (archivos .exe), archivos como RAR, ZIP, etc. Si se abren, descargan e instalan programas maliciosos. Otras formas de propagar virus incluyen troyanos, actualizadores de software falsos/no oficiales, canales de descarga de software no confiables y herramientas de "craqueo" de software. Los troyanos son programas maliciosos que suelen descargar e instalar otros programas de este tipo. Si están instalados, causan infecciones en cadena/proliferan virus. Los actualizadores de software falsos son herramientas que provocan infecciones informáticas en lugar de actualizar los programas instalados. En algunos casos, causan infecciones al explotar errores/fallas de software desactualizado. Los sitios web de descarga de software gratuito y de alojamiento de archivos gratuitos, las redes Peer-to-Peer como los clientes de torrent, eMule (y otros programas de este tipo), las páginas no oficiales y otros canales de descarga de software dudosos pueden utilizarse para propagar programas maliciosos. Los ciberdelincuentes presentan los archivos infectados como normales, legítimos e inofensivos, sin embargo, una vez descargados y abiertos/ejecutados, instalan malware. La gente utiliza herramientas de "craqueo" de software para evitar la activación pagada del software o sistemas operativos instalados; sin embargo, estas herramientas pueden propagar infecciones informáticas. En lugar de activar programas, descargan e instalan programas maliciosos.

¿Cómo evitar la instalación de malware?

Los correos electrónicos irrelevantes deben ignorarse, especialmente si se reciben de direcciones desconocidas o sospechosas o contienen enlaces web o archivos adjuntos. El software debe descargarse utilizando sitios web oficiales y enlaces directos (no las otras herramientas mencionadas anteriormente). Las actualizaciones de software deben realizarse utilizando herramientas oficiales o funciones implementadas proporcionadas por los desarrolladores de software oficiales. El software pago no debe activarse con herramientas de terceros, ya que se trata de un delito cibernético. Además, los ciberdelincuentes a menudo los emplean para propagar infecciones informáticas. También es importante tener instalado un programa anti-spyware o antivirus de buena reputación y mantenerlo habilitado en todo momento. Sin estos programas, las computadoras se vuelven vulnerables a infecciones informáticas. Si cree que su equipo ya está infectado, le recomendamos que realice un análisis Malwarebytes para eliminar automáticamente el malware infiltrado.

Campaña de spam (email) utilizada para distribuir Orcus RAT:

Email utilizado para proliferar la herramienta de acceso remoto Orcus

Texto presentado en este correo electrónico:

Dear Sir Madam, Good day!
We are trading company in Taiwan with business line of Lathe and CNC Machines, ELECTRICAL, BOLT & NUTS in this regard, Please kindly refer to the following items and offer your best quotation as soon as possible, thank you.
1. C.I.F Kaohsiung Port Taiwan

2. By air .1 By sea separately

3. Do you need photo of name plate for this Machines Attached?
Kindly revert with price asap. Attached is Our Operating Certificate / License and Order for Specification and references
If you have any question, don't hesitate to contact me.
Best Regards

Amy Wu

Sales Manager

PROTOM MACHINERY TOOLS LTD.

55 Chin Shan South Road Sec. 2

Taipei, Taiwan 10603 TAIWAN, R. 0. C.

Please to consider the environment before printing this e-mail

Panel de Administración de la RAT Orcus:

Panel de Administración de la RAT Orcus

Eliminar automáticamente de forma instantánea Troyano de acceso remoto Orcus: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Malwarebytes es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Troyano de acceso remoto Orcus. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Malwarebytes Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

¿Cómo eliminar el malware manualmente?

La eliminación manual de malware es una tarea complicada. Por lo general, es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Malwarebytes. Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Aquí hay un ejemplo de un programa sospechoso que se ejecuta en la computadora de un usuario:

Ejemplo de un proceso malicioso ejecutándose en la computadora del usuario

Si revisó la lista de programas que se ejecutan en su computadora, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:

manual malware removal step 1Descargue un programa llamado Autoruns. Este programa muestra aplicaciones de inicio automático, registro y ubicaciones del sistema de archivos:

Captura de pantalla de la aplicación Autoruns

manual malware removal step 2Reinicie su computadora en Modo Seguro:

Usuarios de Windows XP y Windows 7: Inicie su computador en modo seguro. Haga clic en Inicio, clic en Apagar, clic en Reiniciar, clic en Aceptar. Durante el proceso de inicio de su computador, presione la tecla F8 en su teclado varias veces hasta que vea el menú Opciones Avanzadas de Windows, y luego seleccione Modo Seguro con Funciones de Red de la lista.

Modo Seguro con Red

Video que muestra cómo iniciar Windows 7 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 8: Iniciar Windows 8 en Modo Seguro con Funciones de Red: vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta "Configuración General de PC", seleccione Inicio Avanzado. Clic en el botón "Reiniciar Ahora". Su computadora ahora se reiniciará en el "Menú de opciones de inicio avanzado". Haga clic en el botón "Solucionar problemas" y luego clic en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para iniciar en Modo Seguro con Funciones de Red.

Modo Seguro con Red en Windows 8

Video que muestra cómo iniciar Windows 8 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto, haga clic en "Reiniciar" mientras mantiene presionado el botón "Shift" en su teclado. En la ventana "Elija una opción", haga clic en "Solucionar Problemas", luego seleccione "Opciones Avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de Inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana, debe hacer clic en la tecla "F5" en su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.

Modo Seguro con Red en Windows 10

Video que muestra cómo iniciar Windows 10 en "Modo Seguro con Funciones de Red":

manual malware removal step 3Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

Extraiga autoruns.zip y ejecute autoruns.exe

manual malware removal step 4En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desactive las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".

Haga clic en 'Opciones' en la parte superior y desmarca las opciones 'Ocultar ubicaciones vacías' y 'Ocultar entradas de Windows'

manual malware removal step 5Consulte la lista provista por la aplicación Autoruns y localice el archivo de malware que desea eliminar.

Debe anotar la ruta y nombre completos. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres legítimos de procesos de Windows. En esta etapa, es muy importante evitar eliminar los archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic con el botón derecho del mouse sobre su nombre y elija "Eliminar".

Localice el archivo de malware que desea eliminar

Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su computadora. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.

Buscando archivos de malware en su computadora

Reinicie su computadora en modo normal. Seguir estos pasos debería eliminar cualquier malware de su computadora. Tenga en cuenta que la eliminación manual de amenazas requiere habilidades informáticas avanzadas. Si no tiene estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware. Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su computadora segura, instale las últimas actualizaciones del sistema operativo y use un software antivirus.

Para asegurarse de que su computadora esté libre de infecciones de malware, recomendamos escanearla con Malwarebytes.

Haga clic acá para publicar un comentario.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
Troyano de acceso remoto Orcus Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de Troyano de acceso remoto Orcus desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de Troyano de acceso remoto Orcus:

▼ ELIMINAR AHORA con Malwarebytes

Plataforma: Windows

Valoración de Malwarebytes por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.