Cómo eliminar el malware GachiLoader del sistema operativo

¿Qué tipo de malware es GachiLoader?

GachiLoader es un programa malicioso escrito en Node.js. Este malware está clasificado como un cargador, es decir, está diseñado para descargar/instalar programas maliciosos adicionales en sistemas comprometidos. GachiLoader se ha distribuido a través de una campaña que aprovecha cuentas de YouTube comprometidas. En esta campaña, la carga útil final era el ladrón Rhadamanthys.

Descripción general del malware GachiLoader

GachiLoader es un cargador, un tipo de malware que provoca infecciones en cadena (es decir, descarga o instala software o componentes maliciosos adicionales).

Este programa está muy ofuscado. GachiLoader utiliza múltiples mecanismos antianálisis y antidetección, como examinar los detalles del hardware (tamaño de la RAM, número de núcleos de la CPU), la inspección de los procesos en ejecución en busca de aquellos asociados con máquinas virtuales y herramientas de análisis, la comprobación de los nombres de usuario y los nombres de host con una lista de exclusión codificada, y la desactivación del antivirus Microsoft Defender.

El cargador recopila información sobre el equipo infectado, incluida la versión del sistema operativo y el software antivirus instalado. GachiLoader también comprueba si se está ejecutando con privilegios de administrador. Si no es así, el malware ejecuta un comando PowerShell que muestra a la víctima un mensaje solicitándole que ejecute el software con privilegios de administrador.

En una de las campañas conocidas de GachiLoader, el objetivo era infectar dispositivos con el ladrón Rhadamanthys. Sin embargo, la forma en que se entregaba esta carga útil final era diferente. En algunos casos, GachiLoader obtenía el ladrón desde una URL remota. En otros, se basaba en Kidkadi, un cargador de segunda fase que utilizaba una novedosa técnica de inyección PE (Portable Executable), que introducía Rhadamanthys en los sistemas.

Recuerde que GachiLoader también podría utilizarse para propagar otros programas maliciosos. En teoría, un cargador podría causar prácticamente cualquier tipo de infección: troyanos, ransomware, mineros de criptomonedas y otro tipo de malware. En la práctica, los cargadores suelen funcionar dentro de ciertas limitaciones o especificaciones.

Cabe mencionar que los desarrolladores de malware suelen mejorar su software y sus metodologías. Por lo tanto, las posibles futuras versiones de GachiLoader podrían tener funcionalidades adicionales o diferentes.

En resumen, la presencia de programas como GachiLoader en los dispositivos puede provocar múltiples infecciones del sistema, graves problemas de privacidad, pérdidas económicas y robo de identidad.

Ejemplos de malware de tipo cargador

Hemos escrito sobre numerosos programas maliciosos; CastleLoader, Olymp y BaoLoader son solo algunos de nuestros artículos más recientes sobre cargadores. Este malware puede causar diversos tipos de infecciones, desde ladrones hasta ransomware.

Cabe destacar que, independientemente de cómo funcione el malware, su presencia en un sistema amenaza la integridad del dispositivo y la seguridad del usuario. Por lo tanto, todas las amenazas deben eliminarse inmediatamente tras su detección.

¿Cómo se infiltró GachiLoader en mi ordenador?

GachiLoader se ha difundido a través de una campaña a gran escala utilizando cuentas pirateadas de YouTube. Esta campaña incluyó 39 cuentas comprometidas y más de 100 vídeos, que acumularon más de 200 000 visitas. Los vídeos se centraban en software «pirateado», trucos y hacks para videojuegos, y temas similares.

Este contenido engañoso atraía a los usuarios para que descargaran el malware desde sitios externos de alojamiento de archivos. Las descripciones de los vídeos proporcionaban instrucciones adicionales, como una contraseña para los archivos protegidos con contraseña que contenían GachiLoader o los pasos para desactivar el antivirus Microsoft Defender. Muchos de los vídeos conocidos han sido denunciados y eliminados desde entonces.

GachiLoader podría propagarse utilizando otras técnicas. El phishing y las tácticas de ingeniería social son habituales en la proliferación de malware. Por lo general, los programas maliciosos se disfrazan o se incluyen en archivos de software o multimedia normales. Pueden ser archivos comprimidos (ZIP, RAR, etc.), ejecutables (EXE, RUN, etc.), documentos (PDF, Microsoft Office, Microsoft OneNote, etc.), JavaScript, etc.

Los métodos más habituales de distribución de malware incluyen: programas/medios pirateados, herramientas ilegales de activación de software («cracks»), descargas drive-by (sigilosas/engañosas), fuentes de descarga poco fiables (por ejemplo, sitios web de freeware y de terceros, redes de intercambio peer-to-peer, etc.), archivos adjuntos o enlaces maliciosos en spam (por ejemplo, correos electrónicos, mensajes directos/privados, publicaciones en redes sociales, etc.), estafas en línea, publicidad maliciosa y actualizaciones falsas.

Además, algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, memorias USB, etc.).

¿Cómo evitar la instalación de malware?

Es fundamental actuar con precaución para garantizar la seguridad del dispositivo y del usuario. Por lo tanto, descargue solo desde canales oficiales y verificados. Active y actualice los programas utilizando las funciones/herramientas proporcionadas por desarrolladores genuinos, ya que las obtenidas de terceros pueden contener malware.

Además, manténgase alerta cuando navegue por Internet, ya que la red está plagada de contenidos engañosos y peligrosos. Sea cauteloso con los correos electrónicos y otros mensajes que reciba; no abra archivos adjuntos ni enlaces presentes en correos dudosos o irrelevantes, ya que pueden ser virulentos.

Es fundamental tener instalado un antivirus de confianza y mantenerlo actualizado. Se debe utilizar software de seguridad para realizar análisis periódicos del sistema y eliminar las amenazas y los problemas detectados. Si cree que su ordenador ya está infectado, le recomendamos que realice un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware infiltrado.

Captura de pantalla de vídeos engañosos de YouTube utilizados para promocionar GachiLoader (fuente de la imagen: Check Point Research):

Eliminación automática instantánea de malware:

La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:

Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Menú rápido:

• ¿Qué es GachiLoader?
• PASO 1. Eliminación manual del malware GachiLoader.
• PASO 2. Comprueba si tu ordenador está limpio.

¿Cómo eliminar el malware manualmente?

La eliminación manual de malware es una tarea complicada; por lo general, lo mejor es dejar que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Combo Cleaner Antivirus para Windows.

Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que desea eliminar. A continuación se muestra un ejemplo de un programa sospechoso que se ejecuta en el equipo de un usuario:

Si ha comprobado la lista de programas que se están ejecutando en su ordenador, por ejemplo, utilizando el administrador de tareas, y ha identificado un programa que le parece sospechoso, debe continuar con estos pasos:

Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:

Reinicie el equipo en modo seguro:

Usuarios de Windows XP y Windows 7: Inicie el equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y Aceptar. Durante el proceso de inicio del equipo, pulse varias veces la tecla F8 del teclado hasta que aparezca el menú Opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red en la lista.

Vídeo que muestra cómo iniciar Windows 7 en «Modo seguro con funciones de red»:

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red. Vaya a la pantalla de inicio de Windows 8, escriba «Avanzado» y, en los resultados de búsqueda, seleccione «Configuración». Haga clic en «Opciones de inicio avanzadas» y, en la ventana «Configuración general del PC» que se abre, seleccione «Inicio avanzado».

Haga clic en el botón «Reiniciar ahora». El equipo se reiniciará y aparecerá el «Menú de opciones de inicio avanzadas». Haga clic en el botón «Solucionar problemas» y, a continuación, haga clic en el botón «Opciones avanzadas». En la pantalla de opciones avanzadas, haga clic en «Configuración de inicio».

Haga clic en el botón «Reiniciar». El equipo se reiniciará y aparecerá la pantalla Configuración de inicio. Pulse F5 para arrancar en modo seguro con funciones de red.

Vídeo que muestra cómo iniciar Windows 8 en «Modo seguro con funciones de red»:

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de encendido. En el menú que se abre, haga clic en «Reiniciar» mientras mantiene pulsada la tecla «Mayús» del teclado. En la ventana «Elija una opción», haga clic en «Solucionar problemas» y, a continuación, seleccione «Opciones avanzadas».

En el menú de opciones avanzadas, seleccione «Configuración de inicio» y haga clic en el botón «Reiniciar». En la ventana siguiente, debe hacer clic en la tecla «F5» del teclado. Esto reiniciará el sistema operativo en modo seguro con funciones de red.

Vídeo que muestra cómo iniciar Windows 10 en «Modo seguro con funciones de red»:

Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

En la aplicación Autoruns, haga clic en «Opciones» en la parte superior y desmarque las opciones «Ocultar ubicaciones vacías» y «Ocultar entradas de Windows». Después de este procedimiento, haga clic en el icono «Actualizar».

Comprueba la lista proporcionada por la aplicación Autoruns y localiza el archivo malicioso que deseas eliminar.

Debe anotar su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan los nombres de los procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione «Eliminar».

Después de eliminar el malware mediante la aplicación Autoruns (esto garantiza que el malware no se ejecutará automáticamente la próxima vez que se inicie el sistema), debe buscar el nombre del malware en su ordenador. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre del archivo del malware, asegúrese de eliminarlo.

Reinicie el ordenador en modo normal. Si sigue estos pasos, debería eliminar cualquier malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos avanzados de informática. Si no los tiene, deje la eliminación de malware en manos de programas antivirus y antimalware.

Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su ordenador seguro, instale las últimas actualizaciones del sistema operativo y utilice un software antivirus. Para asegurarse de que su ordenador está libre de infecciones de malware, le recomendamos que lo analice con Combo Cleaner Antivirus para Windows.

Preguntas frecuentes (FAQ)

Mi ordenador está infectado con el malware GachiLoader, ¿debo formatear mi dispositivo de almacenamiento para eliminarlo?

La eliminación de malware rara vez requiere formatear.

¿Cuáles son los mayores problemas que puede causar el malware GachiLoader?

Las amenazas relacionadas con una infección dependen de las capacidades del malware y del modus operandi de los ciberdelincuentes. GachiLoader está diseñado para provocar infecciones en cadena y se ha utilizado para infiltrar programas de robo de datos en los dispositivos. Por lo tanto, su presencia puede provocar múltiples infecciones en el sistema que pueden dar lugar a graves problemas de privacidad, pérdidas económicas y robo de identidad.

¿Cuál es el propósito del malware GachiLoader?

La ganancia económica es la razón principal detrás de los ataques de malware. Otras razones frecuentes incluyen: atacantes que buscan diversión o venganza personal, interrupción de procesos (por ejemplo, sitios web, servicios, empresas, organizaciones, etc.), hacktivismo y motivaciones políticas/geopolíticas.

¿Cómo se infiltró el malware GachiLoader en mi ordenador?

GachiLoader se ha propagado a través de una campaña que utiliza cuentas de YouTube pirateadas. Existen otros métodos de distribución posibles. Por lo general, el malware se propaga a través de troyanos, descargas no solicitadas, correos electrónicos/mensajes spam, publicidad maliciosa, estafas en línea, fuentes de descarga dudosas (por ejemplo, sitios de software gratuito y de terceros, redes de intercambio P2P, etc.), software/medios pirateados, herramientas de activación ilegales («cracks») y actualizaciones falsas. Algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles.

¿Combo Cleaner me protegerá contra el malware?

Combo Cleaner está diseñado para escanear ordenadores y eliminar todo tipo de amenazas. Es capaz de detectar y eliminar la mayoría de las infecciones de malware conocidas. Recuerde que es esencial realizar un escaneo completo del sistema, ya que los programas maliciosos de alta gama tienden a ocultarse en lo más profundo de los sistemas.