Cómo eliminar SnappyClient de los dispositivos infectados
TroyanoConocido también como: Troyan de administración remota SnappyClient
Obtenga un escaneo gratuito y verifique si su computadora está infectada.
ELIMÍNELO AHORAPara usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.
¿Qué tipo de malware es SnappyClient?
SnappyClient es un programa malicioso que se distribuye a través de HijackLoader. Está escrito en C++ y los ciberdelincuentes lo utilizan para controlar de forma remota los dispositivos infectados (como troyano de administración remota) y robar datos. Una vez que el sistema está infectado, SnappyClient puede comunicarse con un servidor C2 para recibir instrucciones.
Descripción general de SnappyClient
Para evitar ser detectado, SnappyClient altera el funcionamiento de los controles de seguridad de Windows, de modo que el malware no sea detectado. Para ello, interfiere en el AMSI, que es el sistema encargado de analizar el código en busca de amenazas. En lugar de permitir que el AMSI detecte la amenaza, lo obliga a considerarla segura.
Además, SnappyClient cuenta con una lista de ajustes internos que determina cómo funciona y dónde almacenar los datos. Estos ajustes controlan qué datos recopila, dónde los guarda, cómo permanece en el dispositivo y si debe detenerse o seguir funcionando. También utiliza estos ajustes para mantener su actividad tras un reinicio del sistema (persistencia).
Además, el malware descarga dos archivos cifrados del servidor del atacante. Estos archivos se almacenan de forma oculta y cifrada, y se utilizan para controlar las acciones del malware en el dispositivo infectado.
Funciones de SnappyClient
SnappyClient puede capturar imágenes de la pantalla de la víctima y enviarlas a los ciberdelincuentes. También puede ver y gestionar los procesos en ejecución en el ordenador infectado. SnappyClient puede mostrar una lista de los procesos activos, suspenderlos o reanudarlos, o incluso cerrarlos por completo, y puede inyectar código malicioso en procesos legítimos para que se ejecute de forma oculta en el sistema.
Además, SnappyClient cuenta con una función que le permite gestionar archivos y carpetas en el ordenador infectado. Puede mostrar el contenido de los directorios, copiar, mover, renombrar, eliminar o crear archivos y carpetas, e incluso comprimir o descomprimir archivos comprimidos (incluidos los protegidos con contraseña). También puede ejecutar archivos y comprobar accesos directos.
El malware también puede robar información confidencial del ordenador infectado. Puede enviar al atacante datos del keylogger, que registra todo lo que escribe el usuario. También puede robar contraseñas guardadas en el navegador (datos de inicio de sesión), cookies, historial, marcadores, información de sesión y datos de las extensiones del navegador. Además de atacar los navegadores, SnappyClient puede extraer datos de otros programas instalados.
Además, SnappyClient incluye una función que le permite buscar y sustraer archivos (y carpetas) del sistema y de las aplicaciones instaladas. Los atacantes pueden centrarse en datos específicos configurando filtros para los nombres de archivo o las rutas. Asimismo, SnappyClient puede descargar archivos de un servidor remoto y guardarlos en el ordenador infectado.
Además, el malware puede ejecutar archivos de diversas formas, como la ejecución normal, la ejecución de archivos DLL o la extracción y ejecución de archivos desde archivos comprimidos. También puede controlar cómo se inicia el archivo, incluyendo su configuración, el directorio y las opciones de la línea de comandos. En algunos casos, puede intentar eludir la seguridad de Windows (UAC) para ejecutar archivos con permisos de administrador.
Los operadores también pueden utilizar SnappyClient para abrir una sesión de navegador oculta en el ordenador de la víctima con el fin de ver y controlar en secreto su actividad en la web. Además, pueden utilizar una interfaz de línea de comandos para ejecutar comandos en el sistema infectado. Otra de las funciones de SnappyClient es modificar el contenido del portapapeles. Esta herramienta se utiliza a menudo para insertar carteras de criptomonedas pertenecientes a los ciberdelincuentes.
Por último, SnappyClient incluye una función que le permite mostrar ventanas emergentes falsas o abrir ventanas ocultas del navegador en el dispositivo de la víctima. Puede mostrar un cuadro de mensaje con texto personalizado o crear una ventana que cargue contenido web en su interior.
Aplicaciones específicas
Se sabe que SnappyClient puede robar información de los siguientes navegadores web: 360 Browser, Brave, Chrome, CocCoc, Edge, Firefox, Opera, Slimjet, Vivaldi y Waterfox. También se centra en extensiones de carteras de criptomonedas como Coinbase, Metamask, Phantom, TronLink y TrustWallet.
Además, puede sustraer información de Atomic, BitcoinCore, Coinomi, Electrum, Exodus, LedgerLive, TrezorSuite y Wasabi, que son carteras de software, herramientas de carteras de hardware y otras herramientas relacionadas con las criptomonedas.
| Nombre | Troyan de administración remota SnappyClient |
| Tipo de amenaza | Troyanos de acceso remoto (RAT) |
| Nombres de detección | Avast (Win32:Agent-BDPI [Trj]), Combo Cleaner (Gen:Variant.Application. Fragtor.13960), ESET-NOD32 (Win32/Spy.Agent.QOZ Trojan), Kaspersky (HEUR:Trojan.Win32.Penguish.gen), Microsoft (Trojan:Win32/SnappyClient.CA!MTB), Lista completa (VirusTotal) |
| Síntomas | Los RAT están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer ocultos, por lo que no se observan síntomas claros en un equipo infectado. |
| Posibles métodos de distribución | Sitios web falsos, mensajes enviados a través de las redes sociales, HijackLoader, ClickFix |
| Daños | Robo de contraseñas e información bancaria, suplantación de identidad, incorporación del ordenador de la víctima a una red de bots, infecciones adicionales, pérdidas económicas, secuestro de cuentas. |
| Eliminación de Malware |
Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. Descargue Combo Cleaner para WindowsEl detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk. |
Conclusión
En general, SnappyClient es un sofisticado programa malicioso diseñado para tomar el control de un sistema infectado sin ser detectado. Permite a los ciberdelincuentes vigilar a la víctima, robar información confidencial, manipular archivos y procesos, y ejecutar comandos. Los ataques de SnappyClient pueden provocar problemas como el secuestro de cuentas, el robo de identidad, infecciones adicionales, pérdidas económicas y otros inconvenientes.
¿Cómo se ha colado SnappyClient en mi ordenador?
SnappyClient se distribuye a través de sitios web falsos y engaños en las redes sociales. En el primer caso, los autores de la amenaza utilizan un sitio web falso que se hace pasar por una empresa de telecomunicaciones real. Cuando los usuarios visitan el sitio, este descarga de forma encubierta un archivo malicioso llamado HijackLoader en sus dispositivos.
Si los usuarios ejecutan este archivo, se desbloquea e instala SnappyClient. Otra forma en que se propaga este malware es a través de publicaciones en redes sociales (como X/Twitter). Los autores de las amenazas comparten enlaces o instrucciones que engañan a los usuarios para que inicien un proceso de descarga (a veces utilizando métodos como ClickFix). Esto también provoca la ejecución de HijackLoader, que a su vez instala SnappyClient.
¿Cómo evitar la instalación de malware?
Los usuarios deben tener cuidado con los correos electrónicos o mensajes inesperados, sobre todo si proceden de fuentes desconocidas, y no deben abrir archivos adjuntos ni hacer clic en enlaces a menos que estén seguros de que son seguros. También es importante analizar periódicamente el sistema con un software de seguridad de confianza.
Los usuarios solo deben descargar software y archivos de sitios web oficiales o tiendas de aplicaciones de confianza. Deben evitarse los anuncios sospechosos, las ventanas emergentes y los enlaces desconocidos (especialmente en sitios web poco fiables), y siempre deben rechazarse las solicitudes para permitir notificaciones procedentes de dichos sitios. Además, los usuarios deben mantener actualizados el sistema operativo y todas las aplicaciones.
Si crees que tu ordenador ya está infectado, te recomendamos que realices un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware que se haya infiltrado.
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
DESCARGAR Combo CleanerSi decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.
Menú rápido:
- ¿Qué es SnappyClient?
- PASO 1. Eliminación manual del malware SnappyClient.
- PASO 2. Comprueba si tu ordenador está libre de virus.
¿Cómo eliminar el malware manualmente?
La eliminación manual de malware es una tarea complicada; por lo general, lo mejor es dejar que los programas antivirus o antimalware se encarguen de ello automáticamente. Para eliminar este malware, recomendamos utilizar Combo Cleaner Antivirus para Windows.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. A continuación se muestra un ejemplo de un programa sospechoso que se está ejecutando en el ordenador de un usuario:
Si has consultado la lista de programas que se están ejecutando en tu ordenador, por ejemplo, mediante el Administrador de tareas, y has identificado un programa que te parece sospechoso, debes seguir estos pasos:
Descarga un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones en el sistema de archivos:
Reinicia el ordenador en modo seguro:
Usuarios de Windows XP y Windows 7: Inicie el ordenador en modo seguro. Haga clic en «Inicio», luego en «Apagar», después en «Reiniciar» y, por último, en «Aceptar». Durante el proceso de arranque del ordenador, pulse varias veces la tecla F8 del teclado hasta que aparezca el menú de opciones avanzadas de Windows y, a continuación, seleccione «Modo seguro con funciones de red» en la lista.
Vídeo que muestra cómo iniciar Windows 7 en «Modo seguro con funciones de red»:
Usuarios de Windows 8: Inicia Windows 8 en modo seguro con funciones de red: ve a la pantalla de inicio de Windows 8, escribe «Avanzado» y, en los resultados de la búsqueda, selecciona «Configuración». Haz clic en «Opciones de inicio avanzadas» y, en la ventana «Configuración general del PC» que se abre, selecciona «Inicio avanzado».
Haz clic en el botón «Reiniciar ahora». El ordenador se reiniciará y aparecerá el «Menú de opciones de inicio avanzadas». Haz clic en el botón «Solucionar problemas» y, a continuación, en el botón «Opciones avanzadas». En la pantalla de opciones avanzadas, haz clic en «Configuración de inicio».
Haz clic en el botón «Reiniciar». El ordenador se reiniciará y aparecerá la pantalla de opciones de inicio. Pulsa F5 para arrancar en modo seguro con funciones de red.
Vídeo que muestra cómo iniciar Windows 8 en «Modo seguro con funciones de red»:
Usuarios de Windows 10: Haz clic en el logotipo de Windows y selecciona el icono de energía. En el menú que se abre, haz clic en «Reiniciar» mientras mantienes pulsada la tecla «Shift» del teclado. En la ventana «Elige una opción», haz clic en «Solucionar problemas» y, a continuación, selecciona «Opciones avanzadas».
En el menú de opciones avanzadas, selecciona «Configuración de inicio» y haz clic en el botón «Reiniciar». En la ventana que se abra, pulsa la tecla «F5» del teclado. De este modo, el sistema operativo se reiniciará en modo seguro con funciones de red.
Vídeo que muestra cómo iniciar Windows 10 en «Modo seguro con funciones de red»:
Descomprime el archivo descargado y ejecuta el archivo Autoruns.exe.
En la aplicación Autoruns, haz clic en «Opciones» en la parte superior y desmarca las opciones «Ocultar ubicaciones vacías» y «Ocultar entradas de Windows». Una vez hecho esto, haz clic en el icono «Actualizar».
Revisa la lista que ofrece la aplicación Autoruns y localiza el archivo malicioso que deseas eliminar.
Debes anotar su ruta completa y su nombre. Ten en cuenta que algunos programas maliciosos ocultan los nombres de los procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez que hayas localizado el programa sospechoso que deseas eliminar, haz clic con el botón derecho del ratón sobre su nombre y selecciona «Eliminar».
Una vez eliminado el malware mediante la aplicación Autoruns (esto garantiza que el malware no se ejecute automáticamente al reiniciar el sistema), debes buscar el nombre del malware en tu ordenador. Asegúrate de activar los archivos y carpetas ocultos antes de continuar. Si encuentras el nombre del archivo del malware, asegúrate de eliminarlo.
Reinicia el ordenador en modo normal. Si sigues estos pasos, deberías eliminar cualquier malware de tu ordenador. Ten en cuenta que la eliminación manual de amenazas requiere conocimientos avanzados de informática. Si no los tienes, deja que sean los programas antivirus y antimalware los que se encarguen de eliminar el malware.
Es posible que estos pasos no funcionen en casos de infecciones por malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener tu ordenador a salvo, instala las últimas actualizaciones del sistema operativo y utiliza un programa antivirus. Para asegurarte de que tu ordenador no tiene infecciones por malware, te recomendamos que lo analices con Combo Cleaner Antivirus para Windows.
Preguntas frecuentes (FAQ)
Mi dispositivo está infectado con el malware SnappyClient, ¿debería formatear mi dispositivo de almacenamiento para eliminarlo?
Un formateo completo del dispositivo puede eliminar por completo el malware, pero también borrará todos los archivos almacenados. Antes de dar este paso, suele ser más seguro intentar limpiar el sistema con una herramienta de confianza, como Combo Cleaner.
¿Cuáles son los principales problemas que puede causar el malware?
El malware puede permitir a los ciberdelincuentes acceder a un sistema de forma remota, eliminar o dañar archivos esenciales, instalar cargas útiles adicionales y extraer información confidencial. Esto puede dar lugar a problemas como la pérdida de datos, la apropiación de cuentas, el fraude financiero, el robo de identidad y nuevas infecciones por malware.
¿Cuál es el objetivo de SnappyClient?
El objetivo de SnappyClient es proporcionar a los ciberdelincuentes control remoto sobre un ordenador infectado con el fin de espiar al usuario, robar datos confidenciales y manipular el sistema. Se utiliza para el robo de información (como contraseñas, archivos y datos personales), la supervisión del sistema y la ejecución de acciones maliciosas sin que la víctima se dé cuenta.
¿Cómo se ha colado SnappyClient en mi dispositivo?
SnappyClient se propaga a través de sitios web falsos y estafas en las redes sociales. Esos sitios web pueden descargar automáticamente un archivo malicioso (HijackLoader), que instala SnappyClient si se abre. También puede propagarse a través de publicaciones en redes sociales que engañan a los usuarios para que hagan clic en enlaces o sigan instrucciones (técnica ClickFix), lo que lleva a que se descargue y ejecute el mismo malware.
¿Me protegerá Combo Cleaner contra el malware?
Combo Cleaner es eficaz contra la mayoría de los programas maliciosos, pero algunas infecciones avanzadas pueden resultar más difíciles de detectar. Por lo tanto, es importante realizar un análisis completo del sistema para revisar a fondo el dispositivo y eliminar cualquier amenaza oculta.
Compartir:
Facebook
X.com
LinkedIn
Copiar enlace
Tomas Meskauskas
Investigador experto en seguridad, analista profesional de malware
Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet.
El portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
DonarEl portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
Donar
▼ Mostrar discusión