Cómo eliminar el backdoor NANOREMOTE del sistema operativo

¿Qué tipo de malware es NANOREMOTE?

NANOREMOTE es un backdoor - un tipo de malware que abre un canal oculto en un equipo infectado para que los atacantes puedan emitir comandos y entregar cargas útiles adicionales en cualquier momento. Según la investigación de Elastic Security Labs, NANOREMOTE forma parte de la campaña de amenazas REF7707 y está estrechamente relacionado con otro implante de la misma familia llamado FINALDRAFT.

Una vez activo, NANOREMOTE permite a los operadores ejecutar comandos de shell, gestionar archivos, cargar programas en la memoria y mover datos dentro y fuera de la máquina infectada. Enruta sus comunicaciones a través de los propios servicios de Google, lo que ayuda a que su tráfico se mezcle con la actividad legítima.

Más información sobre NANOREMOTE

NANOREMOTE suele ser desplegado por un componente cargador llamado WMLOADER. WMLOADER se disfraza como un archivo legítimo de Bitdefender llamado BDReinit.exe, completo con una firma digital falsificada. Cuando se ejecuta, descifra la carga útil de NANOREMOTE de un archivo cifrado llamado wmsetup.log antes de cargarlo en la memoria mediante shellcode integrado.

Para la comunicación de comando y control, NANOREMOTE se comunica a través de la API de Google Drive. Se autentica utilizando tokens OAuth 2.0 integrados en su configuración y envía solicitudes de baliza regulares a los servidores de Google. Debido a que estas conexiones se dirigen a una plataforma conocida y de confianza, son más difíciles de marcar como sospechosas por las herramientas de seguridad.

Todo el tráfico se comprime con Zlib y luego se cifra con AES-CBC antes de enviarse. Cada solicitud sigue un formato JSON estructurado que incluye un identificador de máquina, un ID de comando y una carga de datos.

Capacidades de NANOREMOTE

Elastic Security Labs identificó 22 manejadores de comandos integrados en NANOREMOTE, lo que otorga a los operadores un amplio control remoto sobre un sistema infectado. Estos comandos cubren la gestión de archivos, la ejecución de código, la transferencia de datos y el reconocimiento del sistema.

Los comandos relacionados con archivos permiten a los operadores listar directorios, navegar por el sistema de archivos y crear, eliminar o mover archivos. Los operadores también pueden enumerar las unidades de almacenamiento conectadas y programar cargas y descargas de archivos, con soporte para pausar y reanudar transferencias. Cada transferencia se verifica con una suma de comprobación MD5.

En cuanto a la ejecución, NANOREMOTE incluye un cargador PE personalizado que puede ejecutar programas desde el disco o ejecutar binarios en memoria a partir de cargas codificadas en Base64, eludiendo completamente el cargador estándar de Windows. También se pueden emitir comandos de shell y ejecutarlos a través de procesos generados.

Al iniciarse, el malware recopila información básica del sistema: las direcciones IP de la máquina, el nombre de host, el nombre de usuario, la versión del sistema operativo y si el usuario actual tiene derechos de administrador.

Persistencia y evasión de defensas

NANOREMOTE utiliza la biblioteca Detours de Microsoft para interceptar funciones clave del sistema como GetStdHandle y ExitProcess. Esto evita que un solo hilo defectuoso bloquee todo el proceso, lo que ayuda al malware a seguir ejecutándose incluso cuando los componentes individuales encuentran errores.

El cargador PE personalizado integrado elude los hooks que los productos de seguridad de endpoints colocan típicamente en el cargador estándar de Windows. Esto dificulta que el software de protección detecte ejecutables recién cargados en tiempo de ejecución.

NANOREMOTE también instala un manejador de bloqueos a nivel de proceso que genera archivos minidump de Windows. Elastic Security Labs señaló que el malware crea un directorio local llamado Log y escribe actividad detallada en un archivo llamado pe_exe_run.log, lo que sugiere que fue diseñado pensando en la resolución de problemas por parte del operador.

Conclusión

NANOREMOTE otorga a los atacantes acceso persistente y oculto a un ordenador infectado y admite una amplia gama de operaciones remotas, desde ejecutar comandos y cargar malware adicional hasta exfiltrar archivos a través de Google Drive.

Su conexión con la campaña REF7707 sugiere que forma parte de un esfuerzo de ataque dirigido y cuidadosamente coordinado. El malware debe eliminarse de cualquier sistema afectado de inmediato.

Más ejemplos de backdoors son A0Backdoor, YiBackdoor y Anubis.

¿Cómo se infiltró NANOREMOTE en mi ordenador?

Según Elastic Security Labs, NANOREMOTE es entregado por un cargador llamado WMLOADER. WMLOADER se hace pasar por un componente legítimo de Bitdefender - BDReinit.exe - pero lleva una firma digital no válida. Cuando se ejecuta, descifra la carga útil de NANOREMOTE de un archivo llamado wmsetup.log y lo carga en la memoria.

Elastic Security Labs vinculó NANOREMOTE con la campaña REF7707, con muestras tempranas que muestran actividad originada en Filipinas en octubre de 2025. El malware comparte una clave de cifrado y varios patrones de código con el implante FINALDRAFT, lo que indica que ambos provienen del mismo esfuerzo de desarrollo y probablemente del mismo actor de amenazas.

De forma más general, los troyanos y backdoors se propagan a través de muchos canales: correos electrónicos de phishing con archivos adjuntos maliciosos, sitios falsos de descarga de software, publicidad maliciosa, sitios web comprometidos, software pirata y medios extraíbles infectados.

¿Cómo evitar la instalación de malware?

Tenga cuidado con los correos electrónicos no solicitados, especialmente aquellos que contienen archivos adjuntos o enlaces, incluso si el remitente parece conocido. Descargue software únicamente de fuentes oficiales y evite los cracks, generadores de claves o contenido pirata. Mantenga el sistema operativo y todos los programas instalados actualizados, ya que las actualizaciones frecuentemente cierran las brechas de seguridad que los atacantes explotan.

Evite hacer clic en anuncios emergentes o notificaciones del navegador de sitios desconocidos, y utilice un programa de seguridad de confianza con protección en tiempo real activada. Ejecute análisis completos del sistema con regularidad. Si cree que su ordenador ya está infectado, le recomendamos ejecutar un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware infiltrado.

Eliminación automática instantánea de malware:

La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:

Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Menú rápido:

• ¿Qué es NANOREMOTE?
• PASO 1. Eliminación manual del malware NANOREMOTE.
• PASO 2. Compruebe si su ordenador está limpio.

¿Cómo eliminar malware manualmente?

La eliminación manual de malware es una tarea complicada - normalmente es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware recomendamos usar Combo Cleaner Antivirus para Windows.

Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. A continuación se muestra un ejemplo de un programa sospechoso ejecutándose en el ordenador de un usuario:

Si revisó la lista de programas que se ejecutan en su ordenador, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:

Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, las ubicaciones del Registro y del sistema de archivos:

Reinicie su ordenador en Modo seguro:

Usuarios de Windows XP y Windows 7: Inicie su ordenador en Modo seguro. Haga clic en Inicio, haga clic en Apagar, haga clic en Reiniciar, haga clic en Aceptar. Durante el proceso de inicio de su ordenador, presione la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, y luego seleccione Modo seguro con funciones de red de la lista.

Vídeo que muestra cómo iniciar Windows 7 en «Modo seguro con funciones de red»:

Usuarios de Windows 8: Inicie Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de Inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta de «Configuración general del PC», seleccione Inicio avanzado.

Haga clic en el botón «Reiniciar ahora». Su ordenador se reiniciará en el «Menú de opciones de inicio avanzadas». Haga clic en el botón «Solucionar problemas» y luego haga clic en el botón «Opciones avanzadas». En la pantalla de opciones avanzadas, haga clic en «Configuración de inicio».

Haga clic en el botón «Reiniciar». Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para iniciar en Modo seguro con funciones de red.

Vídeo que muestra cómo iniciar Windows 8 en «Modo seguro con funciones de red»:

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto, haga clic en «Reiniciar» mientras mantiene presionado el botón «Shift» en su teclado. En la ventana «Elegir una opción», haga clic en «Solucionar problemas», luego seleccione «Opciones avanzadas».

En el menú de opciones avanzadas, seleccione «Configuración de inicio» y haga clic en el botón «Reiniciar». En la siguiente ventana, debe hacer clic en el botón «F5» de su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.

Vídeo que muestra cómo iniciar Windows 10 en «Modo seguro con funciones de red»:

Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

En la aplicación Autoruns, haga clic en «Options» en la parte superior y desmarque las opciones «Hide Empty Locations» y «Hide Windows Entries». Después de este procedimiento, haga clic en el icono «Refresh».

Revise la lista proporcionada por la aplicación Autoruns y localice el archivo de malware que desea eliminar.

Debe anotar su ruta completa y nombre. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres legítimos de procesos de Windows. En esta etapa, es muy importante evitar eliminar archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic derecho sobre su nombre y elija «Delete».

Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su ordenador. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.

Reinicie su ordenador en modo normal. Seguir estos pasos debería eliminar cualquier malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere habilidades informáticas avanzadas. Si no posee estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware.

Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware después. Para mantener su ordenador seguro, instale las últimas actualizaciones del sistema operativo y use software antivirus. Para asegurarse de que su ordenador esté libre de infecciones de malware, le recomendamos escanearlo con Combo Cleaner Antivirus para Windows.

Preguntas frecuentes (FAQ)

Mi ordenador está infectado con el malware NANOREMOTE, ¿debería formatear mi dispositivo de almacenamiento para deshacerme de él?

El formateo elimina NANOREMOTE pero también borra todos los archivos de la unidad. Primero se debería probar con una herramienta de seguridad de confianza como Combo Cleaner, ya que puede eliminar la infección sin la pérdida de datos personales.

¿Cuáles son los mayores problemas que puede causar el malware NANOREMOTE?

NANOREMOTE otorga a los atacantes control remoto total del sistema infectado. Esto puede provocar robo de datos, ejecución de malware adicional, pérdida total del control sobre el ordenador y, con el tiempo, robo de identidad y fraude financiero.

¿Cuál es el propósito del malware NANOREMOTE?

El propósito de NANOREMOTE es proporcionar a los atacantes acceso persistente y oculto a una máquina infectada. Los operadores pueden ejecutar comandos, gestionar archivos, cargar programas adicionales en la memoria y exfiltrar datos a través de Google Drive, todo mientras permanecen fuera de la vista.

¿Cómo se infiltró el malware NANOREMOTE en mi ordenador?

NANOREMOTE es entregado por un cargador llamado WMLOADER, que se hace pasar por un archivo legítimo de Bitdefender. Ha sido vinculado a la campaña REF7707. En general, los backdoors también llegan a las víctimas a través de correos electrónicos de phishing, descargas de software falsas, contenido pirata y sitios web comprometidos.

¿Me protegerá Combo Cleaner del malware?

Sí. Combo Cleaner puede detectar y eliminar la mayoría del malware conocido, incluidos backdoors y troyanos. Debido a que amenazas como NANOREMOTE están diseñadas para ocultarse profundamente dentro del sistema, es importante ejecutar un análisis completo para asegurarse de que no se pase nada por alto.