Cómo eliminar el malware Windows Calculator del sistema operativo
Escrito por Tomas Meskauskas el
¿Qué es el malware Windows Calculator malware?
Al analizar un correo electrónico que contenía un archivo adjunto malicioso, descubrimos que los delincuentes detrás de Qakbot (también conocido como QBot) utilizan un método de secuestro de DLL para distribuir el malware. En sus ataques abusan de la aplicación Calculadora de Windows 7. Actualmente, se sabe que Qakbot se utiliza como dropper para el ransomware.
El malware Windows Calculator en detalle
Como hemos mencionado en la introducción, Qakbot se distribuye utilizando un método de secuestro de DLL. Estos ataques consisten en introducir código malicioso en una aplicación aprovechando la forma en que la calculadora de Windows 7 busca y carga las DLL. Estos ataques tienen éxito cuando los usuarios cargan un archivo DLL infectado desde el mismo directorio que la aplicación objetivo.
En estos ataques, Qakbot infecta los ordenadores a través de archivos HTML enviados por correo electrónico. Estos archivos HTML están diseñados para descargar un archivo ZIP protegido por contraseña con un archivo ISO en su interior. Ese archivo ISO contiene cinco archivos, incluido un archivo de acceso directo (.LNK). Al abrir el acceso directo se ejecuta el Calc.exe a través del símbolo del sistema.
Cuando se carga, la calculadora de Windows 7 intenta automáticamente cargar el archivo legítimo WindowsCodecs DLL. Sin embargo, sin comprobar la DLL en ciertas rutas codificadas, la Calculadora de Windows 7 carga cualquier DLL con el mismo nombre (si se coloca en la misma carpeta que el ejecutable Calc.exe). Esto permite a los ciberdelincuentes infectar los ordenadores con Qakbot a través de su archivo malicioso WindowsCodecs.dll.
Qakbot era conocido por ser utilizado para robar información sensible (credenciales de acceso a cuentas bancarias). Recientemente, este malware se ha utilizado para distribuir ransomware. Así, las víctimas de los ataques de Qakbot acaban teniendo sus archivos encriptados.
| Nombre | Troyano Qakbot |
| Tipo de amenaza | Troyano |
| Nombres de detección (archivo HTML que descarga un archivo ZIP que contiene un archivo ISO) | Ad-aware (Trojan.GenericKD.50616470), Combo Cleaner (Trojan.GenericKD.50616470), ESET-NOD32 (JS/TrojanDropper.Agent.OSH), Ikarus (Trojan-Dropper.JS.Agent), Microsoft (Trojan:HTML/Qakbot.AMM!MTB), Lista completa (VirusTotal) |
| Nombres de detección (archivo ISO) | Avast (Other:Malware-gen [Trj]), Combo Cleaner (Trojan.GenericKD.49349603), ESET-NOD32 (múltiples detecciones), Kaspersky (Trojan-Banker.Win32.Qbot.agir), Microsoft (TrojanDownloader:O97M/Qakbot.BKK), Lista completa (VirusTotal) |
| Nombres de detección (DLL secuestrada) | Avast (Win32:DangerousSig [Trj]), Combo Cleaner (Trojan.GenericKD.49349603), ESET-NOD32 (Win32/Qbot.DM), Kaspersky (Trojan-Banker.Win32.Qbot.agir), Microsoft (Trojan:Win32/Qakbot.MD!MTB), Lista completa (VirusTotal) |
| Carga útil | Qakbot |
| Síntomas | No hay síntomas particulares claramente visibles en una máquina infectada (los ataques de secuestro de DLL se llevan a cabo a través de programas legítimos para evitar la detección) |
| Métodos de distribución | Archivos adjuntos de correo electrónico infectados |
| Daños | Cifrado de datos, pérdida de información sensible. |
| Eliminación de Malware | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Más información sobre el secuestro de DLL
Los ataques de secuestro de DLL suelen tener éxito porque se llevan a cabo a través de programas legítimos (como la Calculadora de Windows). En estos casos, no todas las soluciones de seguridad detectan el malware cuando se carga. Cabe mencionar que los ataques de secuestro de DLL ya no se realizan utilizando la versión de la Calculadora de Windows 10.
¿Cómo se ha infiltrado el malware Windows Calculator en mi ordenador?
Los ciberdelincuentes que están detrás de esta campaña utilizan el correo electrónico para distribuir Qakbot. Envían un archivo HTML malicioso diseñado para descargar un archivo ZIP protegido por contraseña que contiene un archivo ISO. Los ordenadores se infectan con Qakbot a través de un archivo de acceso directo colocado en ese archivo ISO.
Ese archivo de acceso directo ejecuta la Calculadora de Windows 7. Cuando se carga, la aplicación intenta encontrar el archivo legítimo WindowsCodecs DLL. Sin embargo, carga cualquier DLL (en este caso, una maliciosa diseñada para infectar ordenadores con Qakbot) si esa DLL tiene el mismo nombre y está colocada en la misma carpeta que el archivo Calc.exe.
¿Cómo evitar la instalación del malware?
No abra los archivos adjuntos (documentos y otros archivos) ni los enlaces de los correos electrónicos recibidos de direcciones de correo electrónico desconocidas o sospechosas. Tenga en cuenta que los correos electrónicos que contienen enlaces o archivos maliciosos suelen ser irrelevantes y se disfrazan de correos oficiales de entidades legítimas. Además, descargue el software desde páginas oficiales.
No utilice redes P2P, descargadores de terceros, sitios de alojamiento gratuito de archivos y fuentes similares para descargar archivos/software. Mantenga actualizado el sistema operativo (y los programas instalados). Utilice las herramientas proporcionadas por los desarrolladores oficiales de software para actualizar el software instalado. Utilice un software antivirus de confianza para la protección del ordenador y realice análisis del sistema con regularidad.
Si cree que su ordenador ya está infectado, le recomendamos que ejecute un análisis con Combo Cleaner para eliminar automáticamente el malware infiltrado.
Archivo HTML malicioso que distribuye el malware Windows Calculator (un archivo con una ISO maliciosa):
Contenido del archivo ISO malicioso:
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú de acceso rápido:
- ¿Qué es el malware Windows Calculator?
- PASO 1. Eliminación manual del malware Windows Calculator.
- PASO 2. Comprobar si su ordenador está libre de malware.
¿Cómo eliminar el malware manualmente?
La eliminación manual del malware es una tarea complicada - normalmente es mejor dejar que los programas antivirus o anti-malware lo hagan automáticamente. Para eliminar este malware recomendamos utilizar Combo Cleaner.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Este es un ejemplo de un programa sospechoso que se ejecuta en el ordenador de un usuario:
Si ha comprobado la lista de programas que se ejecutan en su ordenador, por ejemplo, utilizando el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:
Descargar un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:
Reiniciar su ordenador en Modo seguro:
Usuarios de Windows XP y Windows 7: Inicie su ordenador en Modo Seguro. Haga clic en Inicio, en Apagar, en Reiniciar y en Aceptar. Durante el proceso de inicio de su ordenador, pulse la tecla F8 de su teclado varias veces hasta que vea el menú de opciones avanzadas de Windows y, a continuación, seleccione el Modo seguro con funciones de red de la lista.
Vídeo que demuestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":
Usuarios de Windows 8: Iniciar Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de la búsqueda seleccione Configuración. Haga clic en Opciones avanzadas de inicio, en la ventana abierta "Configuración general del PC", seleccione Inicio avanzado.
Haga clic en el botón "Reiniciar ahora". Su ordenador se reiniciará en el menú "Opciones avanzadas de inicio". Haga clic en el botón "Solucionar problemas" y, a continuación, en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio".
Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de configuración de inicio. Pulse F5 para arrancar en modo seguro con funciones de red.
Vídeo que demuestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de encendido. En el menú abierto, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "Shift" del teclado. En la ventana "elegir una opción" haga clic en "Solucionar problemas", a continuación seleccione "Opciones avanzadas".
En el menú de opciones avanzadas seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana deberá pulsar la tecla "F5" de su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.
Vídeo que demuestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":
Extraer el archivo descargado y ejecutar el archivo Autoruns.exe.
En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desmarque las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".
Revisar la lista proporcionada por la aplicación Autoruns y localizar el archivo de malware que desea eliminar.
Deberá anotar su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan los nombres de los procesos bajo los nombres legítimos de los procesos de Windows. En esta fase, es muy importante evitar la eliminación de archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione "Eliminar".
Tras eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el siguiente inicio del sistema), debe buscar el nombre del malware en su ordenador. Asegúrese de habilitar los archivos y carpetas ocultos antes de proceder. Si encuentra el nombre del malware, asegúrese de eliminarlo.
Reinicie su ordenador en modo normal. Al seguir estos pasos se debería eliminar el malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos informáticos avanzados. Si no dispone de estos conocimientos, deje la eliminación del malware en manos de los programas antivirus y antimalware.
Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware después. Para mantener su ordenador seguro, instale las últimas actualizaciones del sistema operativo y utilice software antivirus. Para asegurarse de que su ordenador está libre de infecciones de malware, le recomendamos que lo analice con Combo Cleaner.
Preguntas frecuentes (FAQ)
Mi ordenador está infectado con el malware Windows Calculator, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
Este malware puede eliminarse sin necesidad de formatear el dispositivo de almacenamiento. Nuestra guía de eliminación de malware se proporciona más arriba.
¿Cuáles son los principales problemas que puede causar el malware?
Puede causar diferentes problemas (depende del tipo de malware). Por ejemplo, puede provocar el robo de identidad, la pérdida de datos y dinero, infecciones informáticas adicionales, la pérdida de acceso a cuentas personales y otros problemas.
¿Cuál es el objetivo del malware Windows Calculator?
Los ciberdelincuentes utilizan la técnica de secuestro de DLL para infectar los ordenadores con Qakbot a través de la Calculadora de Windows 7. Este malware se utiliza como dropper para el ransomware (infecta los ordenadores con malware diseñado para cifrar archivos).
¿Cómo se ha infiltrado el malware Qakbot en mi ordenador?
Los delincuentes utilizan el correo electrónico para distribuir Qakbot. Envían correos electrónicos que contienen un archivo HTML malicioso que descarga un archivo ZIP protegido por contraseña con un archivo ISO en su interior. Ese archivo ISO contiene un archivo de acceso directo (.LNK) y otros archivos. El malware se introduce después de abrir ese archivo de acceso directo. En nuestro artículo se ofrecen más detalles sobre la cadena de infección.
¿Me protegerá Combo Cleaner del malware?
Sí, Combo Cleaner puede detectar y eliminar casi todo el malware conocido de los ordenadores. Un ordenador infectado con malware de alta gama debe ser analizado mediante un análisis completo - el malware de este tipo suele esconderse en lo más profundo del sistema.
¡Excelente!
▼ Mostrar discusión.