Cómo eliminar el malware PS1Bot del sistema operativo

¿Qué tipo de malware es PS1Bot?

PS1Bot es el nombre de un software malicioso que es esencialmente un marco de malware de múltiples etapas. Se trata de un malware modular que utiliza varios módulos para realizar actividades maliciosas en los dispositivos infectados.

PS1Bot se ha utilizado para garantizar la persistencia en los sistemas, recopilar datos confidenciales y llevar a cabo otras acciones dañinas. Este malware se ha propagado activamente a través de campañas de publicidad maliciosa que comenzaron en 2025.

Descripción general del malware PS1Bot

Tras infiltrarse con éxito, PS1Bot comienza recopilando datos relevantes del dispositivo. A continuación, el malware intenta establecer contacto con su servidor C&C (Comando y Control).

Como se menciona en la introducción, este software malicioso es un malware modular. Desde su servidor C&C, PS1Bot puede obtener módulos para ampliar sus capacidades. Se desconoce el número total de módulos que utiliza este malware, ya que es probable que sea mayor que los que se conocen en el momento de redactar este artículo. PS1Bot ejecuta sus módulos en memoria, lo que reduce las posibilidades de detección.

Los módulos PowerShell observados utilizados por PS1Bot incluyen los destinados a: detección de antivirus, reconocimiento adicional, garantía de persistencia, captura de pantallas, exfiltración de archivos/datos y registro de teclas.

En los ataques conocidos, PS1Bot introdujo primero un módulo que comprueba si el dispositivo tiene instalado un software antivirus. A continuación, utilizó un módulo diferente para obtener más información sobre la máquina comprometida, posiblemente para determinar si el malware había infectado un objetivo de gran valor, como una entidad corporativa.

Los módulos de PS1Bot destinados a la obtención de datos tienen la capacidad de realizar capturas de pantalla, supervisar las entradas del teclado y el ratón, registrar las pulsaciones de teclas (keylogging) y robar el contenido del portapapeles (búfer de copiar y pegar). Este malware también utiliza complementos para descargar archivos que contienen datos vulnerables, como contraseñas, frases de contraseña de monederos electrónicos y similares.

PS1Bot tiene como objetivo obtener información confidencial de navegadores, extensiones de navegador, carteras de criptomonedas de escritorio y software de autenticación (lista completa a continuación). El malware se dirige a las cookies de Internet, los tokens de sesión, las credenciales de inicio de sesión y otros datos.

Cabe destacar que los desarrolladores de malware suelen mejorar sus creaciones y metodologías. Además, PS1Bot es un malware modular que puede utilizar una variedad de complementos para obtener funcionalidades adicionales. Por lo tanto, es probable que las capacidades de PS1Bot puedan variar entre una infección y otra.

En resumen, la presencia de software malicioso como PS1Bot en los dispositivos puede provocar graves problemas de privacidad, pérdidas económicas y robo de identidad.

Ejemplos de malware modular

Hemos escrito sobre innumerables programas maliciosos; PipeMagic, Squidoor, Shadowpad y I2PRAT son solo algunos de nuestros artículos más recientes sobre malware modular.

Malware es un término increíblemente amplio que abarca programas con una amplia gama de funcionalidades maliciosas. Sin embargo, el modo en que opera el software maligno es irrelevante, ya que su presencia en un sistema pone en peligro la integridad del dispositivo y la seguridad del usuario independientemente de ello. Por lo tanto, todas las amenazas deben eliminarse inmediatamente tras su detección.

¿Cómo se infiltró PS1Bot en mi ordenador?

Las campañas de propagación de PS1Bot se observaron por primera vez a principios de 2025. Esta actividad ha sido muy intensa e implica técnicas de malvertising (publicidad maliciosa) y social engine poisoning (envenenamiento de motores sociales).

Normalmente, PS1Bot llega a los sistemas en un archivo comprimido. Nombres de archivo conocidos relacionados con palabras de búsqueda populares, por ejemplo, «capítulo 8 manual de políticas de beneficios de Medicare.zip», «Hojas de trabajo para contar dinero canadiense Pdf.zip.e49», «lista de alimentos kosher pdf (1).zip.c9a», «pambu panchangam 2024-25 pdf.zip.a7a», «manual de zebra gx430t.zip.081», etc.

Sin embargo, no es improbable que existan otros métodos de distribución. Phishing y las tácticas de ingeniería social son habituales en la proliferación de malware. Los programas maliciosos suelen disfrazarse o incluirse en contenidos normales. Los archivos infecciosos pueden tener diversos formatos, por ejemplo, archivos comprimidos (ZIP, RAR, etc.), ejecutables (.exe, .run, etc.), documentos (Microsoft Office, Microsoft OneNote, PDF, etc.), JavaScript, etc. El simple hecho de abrir un archivo malicioso puede ser suficiente para iniciar la cadena de infección.

El malware se propaga principalmente a través de publicidad maliciosa, estafas en línea, descargas drive-by (sigilosas/engañosas), archivos adjuntos maliciosos o enlaces en spam (por ejemplo, correos electrónicos, mensajes privados/directos, publicaciones en redes sociales, etc.), troyanos (puertas traseras/cargadores), canales de descarga sospechosos (por ejemplo, sitios de software gratuito y alojamiento de archivos gratuito, redes de intercambio peer-to-peer, etc.), herramientas ilegales de activación de software («cracks»), contenido pirateado y actualizaciones falsas.

Además, algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, memorias USB, etc.).

¿Cómo evitar la instalación de malware?

Recomendamos encarecidamente estar atentos al navegar por Internet, ya que los contenidos fraudulentos y maliciosos suelen parecer auténticos e inofensivos. Hay que tratar con precaución los correos electrónicos y otras comunicaciones entrantes. No se deben abrir los archivos adjuntos o enlaces presentes en correos sospechosos o irrelevantes, ya que pueden ser virulentos.

Otra recomendación es descargar solo desde fuentes oficiales y verificadas. Todos los programas deben activarse y actualizarse utilizando funciones o herramientas legítimas, ya que las obtenidas de terceros pueden contener malware.

Debemos destacar la importancia de tener instalado un antivirus de confianza y mantenerlo actualizado. El software de seguridad debe utilizarse para realizar análisis periódicos del sistema y eliminar las amenazas detectadas. Si cree que su ordenador ya está infectado, le recomendamos que realice un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware infiltrado.

Lista de navegadores afectados:

7Star, Amigo, Atom, Avast Secure Browser, AVG Secure Browser, Blisk, Brave, CCleaner Browser, CentBrowser, Chedot, Chrome Beta, Chrome Canary, Chromium, Citrio, Coc Coc, Comodo Dragon, CoolNovo, Coowon, CryptoTab Browser, Elements Browser, Epic Privacy Browser, Google Chrome, Iridium, Kinza, Kometa, Maxthon, Microsoft Edge, Mustang, Naver Whale, Netbox Browser, Opera, Opera GFX, Orbitum, QQ Browser, SalamWeb, Sidekick, Sleipnir, Slimjet, Sputnik, SRWare Iron, Superbird, Swing Browser, Tempest, Torch, UC Browser, Ulaa, UR Browser, Viasat Browser, Vivaldi, Wavebo, Yandex.

Lista de extensiones de navegador afectadas (principalmente aquellas asociadas con criptomonedas y autenticación):

1inch, Aave, Argent, argent-x-starknet-wallet, Atomic-Wallet, Authenticator, Binance, bitget-wallet-formerly-bi, BitKeep, Blockchain Wallet, Braavos, braavos-starknet-wallet, Coin98, Coinbase, core-crypto-wallet-nft-ex, cryptocom-wallet-extension, Curve, Dapper, desig-wallet, Ellipal, Exodus, fewcha-move-wallet, gate-wallet, Harmoney, KardiaChain, Kepler, kepler-edge, Ledger, manta-wallet, martian-aptos-sui-wallet, MartianAptos, MetaMask, MetaMask-edge, MetaMask-Opera, Mycelium, Nami, okx-wallet, petra-aptos-wallet, Phantom, Ronin, rose-wallet, sender-wallet, subwallet-polkadot-wallet, SushiSwap, TerraStation, TON, Trezor, Tron, Trust-Wallet, TrustWallet, unisat-wallet, Uniswap, wallet-guard-protect-your, Wombat, XDEFI, xdefi-wallet, xverse-wallet, Yoroi, Zerion.

Lista de carteras criptográficas de escritorio afectadas:

• Armory
• Atomic
• Binance
• Bitcoin Core
• Bytecoin
• Coinomi
• Daedalus
• Electrum
• Ethereum
• Exodus
• Guarda
• Ledger Live
• TrustWallet
• Zcash

Lista de software de autenticación objetivo:

• Authy Desktop

Eliminación automática instantánea de malware:

La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:

Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Menú rápido:

• ¿Qué es PS1Bot?
• PASO 1. Eliminación manual del malware PS1Bot.
• PASO 2. Comprueba si tu ordenador está limpio.

¿Cómo eliminar el malware manualmente?

La eliminación manual de malware es una tarea complicada; por lo general, lo mejor es dejar que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Combo Cleaner Antivirus para Windows.

Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que desea eliminar. A continuación se muestra un ejemplo de un programa sospechoso que se ejecuta en el equipo de un usuario:

Si ha comprobado la lista de programas que se están ejecutando en su ordenador, por ejemplo, utilizando el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:

Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:

Reinicie el equipo en modo seguro:

Usuarios de Windows XP y Windows 7: Inicie el equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y Aceptar. Durante el proceso de inicio del equipo, pulse varias veces la tecla F8 del teclado hasta que aparezca el menú Opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red en la lista.

Vídeo que muestra cómo iniciar Windows 7 en «Modo seguro con funciones de red»:

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red. Vaya a la pantalla de inicio de Windows 8, escriba «Avanzado» y, en los resultados de búsqueda, seleccione «Configuración». Haga clic en «Opciones de inicio avanzadas» y, en la ventana «Configuración general del PC» que se abre, seleccione «Inicio avanzado».

Haga clic en el botón «Reiniciar ahora». El equipo se reiniciará y aparecerá el «Menú de opciones de inicio avanzadas». Haga clic en el botón «Solucionar problemas» y, a continuación, haga clic en el botón «Opciones avanzadas». En la pantalla de opciones avanzadas, haga clic en «Configuración de inicio».

Haga clic en el botón «Reiniciar». El equipo se reiniciará y aparecerá la pantalla Configuración de inicio. Pulse F5 para arrancar en modo seguro con funciones de red.

Vídeo que muestra cómo iniciar Windows 8 en «Modo seguro con funciones de red»:

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de encendido. En el menú que se abre, haga clic en «Reiniciar» mientras mantiene pulsada la tecla «Mayús» del teclado. En la ventana «Elija una opción», haga clic en «Solucionar problemas» y, a continuación, seleccione «Opciones avanzadas».

En el menú de opciones avanzadas, seleccione «Configuración de inicio» y haga clic en el botón «Reiniciar». En la ventana siguiente, debe hacer clic en la tecla «F5» del teclado. Esto reiniciará el sistema operativo en modo seguro con funciones de red.

Vídeo que muestra cómo iniciar Windows 10 en «Modo seguro con funciones de red»:

Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

En la aplicación Autoruns, haga clic en «Opciones» en la parte superior y desmarque las opciones «Ocultar ubicaciones vacías» y «Ocultar entradas de Windows». Después de este procedimiento, haga clic en el icono «Actualizar».

Comprueba la lista proporcionada por la aplicación Autoruns y localiza el archivo malicioso que deseas eliminar.

Debe anotar su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan los nombres de los procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione «Eliminar».

Después de eliminar el malware mediante la aplicación Autoruns (esto garantiza que el malware no se ejecute automáticamente la próxima vez que se inicie el sistema), debe buscar el nombre del malware en su ordenador. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre del archivo del malware, asegúrese de eliminarlo.

Reinicie el ordenador en modo normal. Si sigue estos pasos, debería eliminar cualquier malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos avanzados de informática. Si no los tiene, deje la eliminación de malware en manos de programas antivirus y antimalware.

Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su ordenador seguro, instale las últimas actualizaciones del sistema operativo y utilice un software antivirus. Para asegurarse de que su ordenador está libre de infecciones de malware, le recomendamos que lo analice con Combo Cleaner Antivirus para Windows.

Preguntas frecuentes (FAQ)

Mi ordenador está infectado con el malware PS1Bot, ¿debo formatear mi dispositivo de almacenamiento para eliminarlo?

La eliminación de malware rara vez requiere formatear el dispositivo.

¿Cuáles son los mayores problemas que puede causar el malware PS1Bot?

Las amenazas que plantea una infección pueden depender de las capacidades del malware y del modus operandi de los ciberdelincuentes. PS1Bot es un malware modular que puede utilizar varios módulos para obtener capacidades adicionales, como la persistencia y el robo de datos. En general, las infecciones de alto riesgo pueden provocar graves problemas de privacidad, pérdidas económicas y robo de identidad.

¿Cuál es el objetivo del malware PS1Bot?

El malware se utiliza principalmente con fines lucrativos. Sin embargo, además de generar ingresos, los atacantes pueden utilizar programas maliciosos para divertirse, llevar a cabo venganzas personales, interrumpir procesos (por ejemplo, sitios web, servicios, empresas, organizaciones, etc.), participar en hacktivismo y lanzar ataques con motivaciones políticas o geopolíticas.

¿Cómo se infiltró el malware PS1Bot en mi ordenador?

PS1Bot se ha propagado activamente a través de campañas de publicidad maliciosa. Existen otras técnicas de distribución posibles.

El malware se propaga más comúnmente a través de publicidad maliciosa, descargas no solicitadas, troyanos, estafas en línea, correos electrónicos/mensajes spam, canales de descarga dudosos (por ejemplo, sitios web de software gratuito y de terceros, redes de intercambio peer-to-peer, etc.), programas/medios pirateados, herramientas de activación de software ilegal («cracks») y actualizaciones falsas. Algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles.

¿Me protegerá Combo Cleaner del malware?

Combo Cleaner está diseñado para escanear ordenadores y eliminar todo tipo de amenazas. Es capaz de detectar y eliminar la mayoría de las infecciones de malware conocidas. Recuerde que es fundamental realizar un análisis completo del sistema, ya que el software malicioso sofisticado suele ocultarse en lo más profundo de los sistemas.