Instrucciones para eliminar el malware ChromeLoader
Escrito por Tomas Meskauskas el
¿Qué es ChromeLoader?
ChromeLoader fue analizado por primera vez por x3ph, y posteriormente bautizado por los investigadores de G-Data como Choziosi loader. Este malware está diseñado para instalar extensiones maliciosas en los navegadores. Actualmente, se han detectado dos variantes distintas de ChromeLoader: una dirigida a los sistemas operativos Windows y otra a los sistemas operativos Mac.
Cabe destacar que este software malicioso se ha difundido activamente a través de Twitter en forma de códigos QR que promueven software pirata (principalmente videojuegos) y medios de comunicación (películas/televisión).
Resumen del malware ChromeLoader
Como se mencionó en la introducción, ChromeLoader está pensado para instalar extensiones maliciosas en los navegadores. La cadena de infección observada comenzó con tuits (publicaciones en Twitter) que anunciaban contenido pirata a través de códigos QR (presentados en formato de meme) que engañaban a las víctimas para que descargaran un archivo ISO.
Los investigadores de G-Data realizaron un análisis en profundidad de este loader y de la extensión maliciosa. Su investigación descubrió que el archivo ISO consta de dos componentes- "_meta.txt" y "downloader.exe", el primero contiene un script PowerShell cifrado mientras que el segundo se utiliza para descifrarlo.
El PowerShell crea una tarea denominada "ChromeTask" (puede variar), que está programada para ejecutarse cada diez minutos. El script PowerShell también descarga la extensión maliciosa del navegador Google Chrome "archive.zip". Sin embargo, debido a la repetición de la tarea, algunas víctimas de este malware han informado de que sus navegadores Chrome se cierran continuamente (lo cual es un descuido que probablemente fomenta una detección más rápida de ChromeLoader).
Cabe destacar que "downloader.exe" puede mostrar a los usuarios una alerta indicando que el sistema operativo es incompatible con el software.
El análisis de G-Data se centró en la extensión maliciosa del navegador, ya que anteriormente no se había investigado a fondo. La extensión de Chrome está muy ofuscada, lo que complica el análisis.
Este software emplea técnicas de aseguramiento de la persistencia; en concreto, niega el acceso a la lista de extensiones de Google Chrome ("chrome://extensions/") redirigiendo a los usuarios a la configuración general ("chrome://settings") - lo que les impide eliminar la extensión maliciosa.
Las funcionalidades de la extensión de Chrome se revelaron como actividad de adware y secuestrador del navegador. Es decir, este malware tiene como objetivo mostrar anuncios engañosos/maliciosos y modificar la configuración del navegador para provocar redireccionamientos a falsos motores de búsqueda (potencialmente concluyendo con los legítimos como Google, Yahoo, Bing, etc.).
El uso de PowerShell y la ofuscación extensiva es poco común para el adware y los secuestradores de navegadores, pero es habitual para los programas de robo de información, el spyware y otro malware. Sin embargo, no es improbable que ChromeLoader siga en desarrollo y se actualice con funcionalidades dañinas adicionales. En cualquier caso, ChromeLoader sigue representando una amenaza importante en su forma actual.
La investigación realizada por Colin Cowie, determinó que la versión para Mac de ChromeLoader funciona de forma similar a la variante para Windows (es decir, muestra anuncios, provoca redireccionamientos). Lo que destaca de esta versión es que puede instalar extensiones maliciosas tanto en los navegadores Google Chrome como Safari.
Si sospecha que su dispositivo está infectado con el malware ChromeLoader, le recomendamos encarecidamente que utilice un antivirus para eliminarlo sin demora.
| Nombre | Virus ChromeLoader |
| Tipo de amenaza | Anuncios no deseados, Anuncios emergentes, Redirecciones no deseadas |
| Nombres de detección (ISO) | Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Gen:Variant.Lazy.98155), ESET-NOD32 (MSIL/Agent.VBQ), Kaspersky (HEUR:Trojan.MSIL.Agent.gen), Microsoft (Trojan:MSIL/Tnega!mclg), Lista completa de detecciones (VirusTotal) |
| Nombres de detección (EXE dentro del ISO) | Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Trojan.GenericKD.38585118), ESET-NOD32 (MSIL/Agent.VBQ), Kaspersky (HEUR:Trojan.MSIL.Agent.gen), Microsoft (Trojan:Win32/Tnega!ml), Lista completa de detecciones (VirusTotal) |
| Nombres de detección (Variante Mac) | Avast (MacOS:Agent-TJ [Trj]), Combo Cleaner (Adware.MAC.Chropex.B), GData (Adware.MAC.Chropex.B), Kaspersky (Not-a-virus:HEUR:AdWare.OSX.Agent.ag), Lista completa de detecciones (VirusTotal) |
| Síntomas | Ver anuncios que no provienen de los sitios por los que se navega. Anuncios emergentes intrusivos. Disminución de la velocidad de navegación en Internet. Manipulación de la configuración del navegador de Internet. Los usuarios se ven obligados a visitar el sitio web del secuestrador y a buscar en Internet utilizando sus motores de búsqueda. |
| Métodos de distribución | Anuncios emergentes engañosos, afirmaciones falsas dentro de los sitios web visitados, aplicaciones potencialmente no deseadas (adware) |
| Daño | Disminución del rendimiento del ordenador, seguimiento del navegador - problemas de privacidad, posibles infecciones adicionales de malware. |
| Eliminación de Malware | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Ejemplos de adware y secuestradores del navegador
ChromeLoader tiene funcionalidades de publicidad y de software secuestrador de navegadores. Normalmente, los programas dentro de las clasificaciones de adware/ secuestrador de navegador no utilizan técnicas tan sofisticadas como ChromeLoader (lo que podría significar que este malware está destinado a tener funciones maliciosas adicionales como el robo de datos, el espionaje, etc.).
To Go Web, Keep Secure Search, y Tap togo son algunos ejemplos de secuestradores de navegadores normales que hemos analizado, y la extensión falsa de Google Translate, Files Download Now, Down Assist - de adware.
Tenga en cuenta que, independientemente de cómo actúe un programa malicioso, su presencia en un sistema pone en peligro la seguridad del dispositivo/usuario. Por lo tanto, todas las amenazas deben ser eliminadas inmediatamente después de su detección.
¿Cómo se ha infiltrado ChromeLoader en mi ordenador?
Como se ha detallado anteriormente, ChromeLoader ha proliferado notablemente a través de Tweets que promocionan contenido ilegal (es decir, videojuegos pirateados, software de edición, películas, series de televisión, etc.) a través de códigos QR diseñados para atraer a los usuarios a la descarga de un archivo ISO infeccioso.
Sin embargo, es posible que el malware ChromeLoader se distribuya en otras plataformas y potencialmente bajo diferentes aspectos.
Los programas maliciosos suelen propagarse mediante diversas técnicas; el phishing y la ingeniería social son muy utilizados en la distribución de software malicioso. Los archivos virulentos pueden ser archivos comprimidos, ejecutables, documentos PDF y de Microsoft Office documents, JavaScript, etc. Una vez que se abre un archivo malicioso, se inicia la cadena de infección.
Los métodos de proliferación de malware más comunes son: descargas "drive-by" (sigilosas y engañosas), correos electrónicos/mensajes de spam, estafas en línea, sitios web de descargas gratuitas y de terceros, redes de intercambio P2P (por ejemplo, clientes Torrent, eMule, etc.), herramientas ilegales de activación de programas ("cracks"), actualizaciones falsas y publicidad engañosa.
¿Cómo evitar la instalación de programas maliciosos?
Es muy recomendable tener precaución al navegar, ya que los contenidos ilegítimos y maliciosos tienden a parecer inofensivos. Además, recomendamos descargar sólo de fuentes oficiales y verificadas.
Asimismo, es importante activar y actualizar el software utilizando funciones/herramientas proporcionadas por desarrolladores auténticos, ya que las adquiridas de terceros pueden contener malware.
Otra recomendación es tratar los correos entrantes con cuidado. Los archivos adjuntos y los enlaces que se encuentran en los correos electrónicos y mensajes sospechosos/irrelevantes no deben abrirse, ya que pueden conducir a una infección del sistema.
Hay que destacar la importancia de tener un antivirus fiable instalado y actualizado. Los programas de seguridad deben utilizarse para realizar análisis regulares del sistema y eliminar las amenazas y los problemas. Si cree que su ordenador ya está infectado, le recomendamos que ejecute un análisis con Combo Cleaner para eliminar automáticamente el malware infiltrado.
Captura de pantalla del contenido del archivo ISO de ChromeLoader:
Mensaje de error que aparece al ejecutar ChromeLoader:
Menú de acceso rápido:
- ¿Qué es ChromeLoader?
- PASO 1. Desinstalar las aplicaciones de adware mediante el Panel de Control.
- PASO 2. Eliminar las extensiones de Google Chrome.
- PASO 3. Eliminar las extensiones de tipo adware de Mozilla Firefox.
- PASO 4. Eliminar las extensiones maliciosas de Safari.
- PASO 5. Eliminar las extensiones maliciosas de Microsoft Edge.
Eliminación de adware:
Usuarios de Windows 10:
Haga clic con el botón derecho en la esquina inferior izquierda de la pantalla, en el Menú de acceso rápido, seleccione Panel de control. En la nueva ventana, elija Desinstalar un programa.
Usuarios de Windows 7:
Haga clic en Inicio (El "logo de Windows" en la esquina inferior izquierda de su escritorio), elija Panel de control. Localice la opción Programas y características y haga clic en Desinstalar un programa.
Usuarios de macOS (OSX):
Haga clic Finder, en la nueva ventana, seleccione Aplicaciones. Arrastre la app desde la carpeta Aplicaciones hasta la papelera (ubicada en su Dock). Seguidamente, haga clic derecho sobre el icono de la papelera y seleccione Vaciar papelera.
En la ventana de desinstalación de programas, busque cualquier aplicación no deseada, seleccione estas entradas y haga clic en "Desinstalar" o "Eliminar".
Tras desinstalar la aplicación no deseada, analice su ordenador en busca de componentes restantes no deseados o posibles infecciones de malware. Para escanear su ordenador, utilice el software de eliminación de malware recomendado.
Eliminar el adware de los navegadores de Internet:
Vídeo que demuestra cómo eliminar los complementos no deseados del navegador::
Eliminar las extensiones maliciosas de Google Chrome:
Haga clic en el icono del menú de Google Chrome 
(en la esquina superior derecha de Google Chrome), seleccione "Más herramientas" y haga clic en "Extensiones". Localice los complementos de navegador sospechosos instalados recientemente y elimínelos.
Método opcional:
Si sigue teniendo problemas para eliminar virus chromeloader, restablezca la configuración predeterminada del navegador Google Chrome. Haga clic en el icono de menú en Chrome (parte superior derecha de Google Chrome) y seleccione Configuración. Diríjase a la parte inferior de la pantalla. Haga clic en el enlace Configuración avanzada.
De nuevo, utilice la barra de desplazamiento para ir a la parte inferior de la pantalla y haga clic en el botón Restablecer (Restaura los valores predeterminados originales de la configuración).
En la nueva ventana, confirme que quiere restablecer la configuración predeterminada de Google Chrome haciendo clic en el botón Restablecer.
Eliminar las extensiones maliciosas de Mozilla Firefox:
Haga clic en el icono del menú Firefox 
(en la esquina superior derecha de la ventana principal), seleccione "Complementos". Haga clic en "Extensiones", en la ventana abierta, elimine todos los complementos de navegador sospechosos instalados recientemente.
Método opcional:
Los usuarios con problemas para eliminar de virus chromeloader pueden restablecer la configuración de Mozilla Firefox.
Abra Mozilla Firefox; en la esquina superior derecha de la ventana principal, haga clic en el menú de Firefox ; en el menú desplegado, pulse sobre el icono Abrir menú de ayuda 
Seleccione Información para solucionar problemas.
En la nueva pantalla, haga clic en el botón Restablecer Firefox.
En la nueva ventana, confirme que desea restablecer la configuración predeterminada de Mozilla Firefox haciendo clic en el botón Restablecer.
Eliminar extensiones maliciosas en Safari:
Cerciórese de que su navegador Safari está activo y pulse sobre el menú Safari. Luego, seleccione Preferencias…
En la ventana de preferencias, seleccione la pestaña Extensiones. Localice aquellas extensiones instaladas recientemente que parezcan sospechosas y desinstálelas.
En la ventana de preferencias, seleccione la pestaña General y cerciórese de que su página de inicio es una URL que ha elegido usted. Si un secuestrador de navegadores la ha cambiado, modifíquela.
En la ventana de preferencias, seleccione la pestaña de búsqueda y asegúrese de que su buscador preferido está configurado como predeterminado.
Método opcional:
Asegúrese de que su navegador Safari está activo y haga clic en el menú Safari. Seleccione Borrar historial y datos de sitios webs del menú desplegable.
En el cuadro de diálogo que se ha abierto, seleccione Todo el historial y pulse el botón Borrar historial.
Elimine las extensiones maliciosas de Microsoft Edge:
Haga clic en el ícono de menú de Edge 
(en la esquina superior derecha de Microsoft Edge), seleccione "Extensiones". Localice los complementos de navegador sospechosos recientemente instalados y elimínelos.
Cambie su página de inicio y la configuración de nueva pestaña:
Haga clic en el ícono de menú de Edge (en la esquina superior derecha de Microsoft Edge), seleccione "Configuración". En la sección "Al iniciar", busque el nombre del secuestrador del navegador y haga clic en "Desactivar".
Cambie su motor de búsqueda predeterminado de Internet:
Para cambiar su motor de búsqueda predeterminado en Microsoft Edge: haga clic en el ícono del menú de Edge (en la esquina superior derecha de Microsoft Edge), seleccione "Privacidad y servicios", desplácese hasta la parte inferior de la página y seleccione "Barra de dirección". En la sección "Motores de búsqueda utilizados en la barra de direcciones", busque el nombre del motor de búsqueda de Internet no deseado, cuando lo encuentre, haga clic en el botón "Desactivar" cerca de él. Alternativamente, puede hacer clic en "Administrar motores de búsqueda", en el menú abierto busque motores de búsqueda de Internet no deseados. Haga clic en el icono del rompecabezas 
cerca de él y seleccione "Desactivar".
Método opcional:
Si continúa teniendo problemas con la eliminación de virus chromeloader, restablezca la configuración del navegador Microsoft Edge. Haga clic en el ícono de menú de Edge (en la esquina superior derecha de Microsoft Edge) y seleccione Configuración.
En el menú de configuración abierto, seleccione Restablecer configuración.
Seleccione Restaurar configuración a sus valores predeterminados. En la ventana abierta, confirme que desea restablecer la configuración predeterminada de Microsoft Edge haciendo clic en el botón Restablecer.
- Si esto no ayudó, siga estas instrucciones que explican cómo restablecer el navegador Microsoft Edge.
Resumen:
Un secuestrador de navegadores es un tipo de software publicitario que modifica la configuración de los navegadores, ya que cambia la página de inicio y motor de búsqueda predeterminado por un sitio web no deseado. Muy frecuentemente, este tipo de software publicitario se introduce en el sistema operativo del usuario a través de las descargas de programas gratuitos. Si su descarga está gestionada por un cliente de descargas, asegúrese de descartar la instalación de barras de herramientas o aplicaciones promocionadas que pretendan cambiar la página de inicio y motor de búsqueda predeterminados.
Ayuda para la desinfección:
Si se encuentra con problemas al intentar eliminar virus chromeloader de sus navegadores, por favor pida ayuda en nuestro foro de eliminación de programas maliciosos.
Publique un comentario:
Si dispone de más información sobre virus chromeloader o sobre la forma de eliminarlo, por favor comparta su conocimiento en la sección de comentarios de abajo.
Fuente: https://www.pcrisk.com/removal-guides/23957-chromeloader-malware
Preguntas frecuentes (FAQ)
¿Cuál es el propósito del malware ChromeLoader?
ChromeLoader está pensado para instalar extensiones maliciosas en los navegadores de las víctimas. En el momento de la investigación, la extensión del navegador de ChromeLoader presentaba cualidades de adware y secuestrador del navegador. Es decir, mostraba anuncios y modificaba la configuración del navegador para producir redireccionamientos. Debido a la complicada confección de ChromeLoader, es posible que este programa malicioso se actualice con más funciones dañinas (por ejemplo, extracción de datos sensibles, grabación de información, etc.).
¿Cuáles son las amenazas que plantean las infecciones de adware y secuestradores de navegadores?
Los secuestradores de navegadores alteran la configuración del navegador (y pueden utilizar tácticas de persistencia para evitar que los usuarios accedan a ella o la modifiquen) para provocar redireccionamientos a motores de búsqueda falsos. Las redirecciones pueden producirse cuando se abren nuevas pestañas/ventanas del navegador, se escriben consultas de búsqueda en la barra de URL, etc. Los motores de búsqueda ilegítimos suelen recopilar información sobre sus visitantes. Como estos sitios web rara vez son capaces de generar resultados de búsqueda, redirigen a los legítimos (por ejemplo, Google, Bing, Yahoo, etc.).
El adware está diseñado para mostrar anuncios en los sitios web visitados y/o en otras interfaces; algunos tipos también pueden forzar la apertura de sitios y recopilar datos privados. Se sabe que los anuncios presentados promueven contenido engañoso/malicioso, y algunos pueden realizar descargas/instalaciones furtivas (cuando se hace clic en ellos).
Por lo tanto, la presencia de estos programas en un dispositivo puede conducir a infecciones del sistema, graves problemas de privacidad, pérdidas financieras y robo de identidad.
¿Cómo se ha infiltrado el malware ChromeLoader en mi ordenador?
ChromeLoader ha proliferado activamente a través de publicaciones en Twitter en las que se promocionan programas/medios piratas a través de códigos QR que engañan a los usuarios para que instalen un virulento archivo ISO. En general, el malware se propaga principalmente a través de descargas no autorizadas, estafas en línea, correos electrónicos y mensajes de spam, fuentes de descarga poco fiables (por ejemplo, sitios web no oficiales y de software gratuito, redes de intercambio Peer-to-Peer, etc.), herramientas ilegales de activación de programas ("cracking"), actualizaciones falsas y redes publicitarias maliciosas.
¿Me protegerá Combo Cleaner del malware?
Sí, Combo Cleaner puede detectar y eliminar casi todas las infecciones de malware conocidas. Sin embargo, es esencial realizar un análisis completo del sistema, ya que los programas maliciosos de alta gama suelen esconderse en lo más profundo de los sistemas.
¡Excelente!
▼ Mostrar discusión.