¿Cómo evitar la instalación del malware a través de la campaña spam Coronavirus?

Conocido también como: Campaña de spam Coronavirus
Tipo: Troyano
Propagación: Baja
Nivel de peligrosidad: Extremo

Guía de eliminación de "Coronavirus Email Virus"

¿Qué es "Coronavirus Email Virus"?

Hay una serie de variantes de la campaña de spam Coronavirus, los ciberdelincuentes la propagan con el propósito de engañar a los destinatarios para que infecten sus computadoras con programas maliciosos como el Agent Tesla, Emotet, LokiBot, Remcos, TrickBot, FormBook, Ave Maria, LimeRAT, CrimsonRAT, y otros malware de alto riesgo. Envían correos electrónicos que contienen un enlace al sitio web diseñado para descargar un archivo malicioso/mostrar contenido poco confiable (por ejemplo, sitios de phishing) o algún archivo adjunto malicioso. De cualquier manera, si se abren (ejecutan), esos archivos/archivos adjuntos instalan cierto programa malicioso. Recomendamos encarecidamente ignorar este correo electrónico, no tiene nada que ver con el Coronavirus real.

Virus por Correo Electrónico Coronavirus

Esta variante de campaña de spam se disfraza como un correo de la Organización Mundial de la Salud (OMS, o WHO por sus siglas en inglés) sobre medidas de protección contra el nuevo coronavirus. Sugiere que el archivo adjunto o el enlace del sitio web incluido contenga información sobre cómo evitar que el Coronavirus se propague y evitar que se infecte con él. Sin embargo, los archivos adjuntos o los archivos que se descargan a través del enlace incluido están diseñados para instalar uno u otro programa malicioso. Como mencionamos en la introducción, esta campaña de spam Coronavirus se está utilizando para difundir diferentes programas maliciosos. De cualquier manera, es muy probable que los ciberdelincuentes detrás de él intenten infectar computadoras con algún troyano o ransomware. Sin embargo, también podrían estar utilizando la campaña Coronavirus para propagar algún otro tipo de malware. Por lo general, propagan troyanos que están diseñados para robar información confidencial como inicios de sesión, contraseñas, detalles de tarjetas de crédito (u otra información bancaria), etc., o abren puertas traseras para otro software malicioso que les permita hacer lo mismo. El ransomware es un tipo de software que encripta archivos para que las víctimas no puedan desencriptarlos sin una herramienta (o herramientas) que generalmente solo se pueden comprar a sus desarrolladores. En pocas palabras, las víctimas del ransomware a menudo pierden no solo datos sino también dinero. La investigación muestra que el ejecutable dentro del archivo "CoronaVirus_Safety_Measures.rar" que se adjunta a uno de los correos electrónicos de esta campaña de spam está diseñado para difundir el Agent Tesla. Una herramienta de acceso remoto que, si está instalada, permite tomar el control de la computadora infectada. Una de sus características principales es el registro de teclas: se puede usar para grabar las pulsaciones de teclas del sistema (grabar las teclas presionadas). Esta característica se puede usar para robar cuentas, credenciales y una variedad de otros detalles personales, información. Sin embargo, no importa qué software malicioso los ciberdelincuentes detrás de esta campaña de spam intentan distribuir, no se deben abrir archivos adjuntos o enlaces a sitios web. Al abrirlos, los destinatarios correrían el riesgo de experimentar pérdidas monetarias, de datos, problemas relacionados con la privacidad, la seguridad de la navegación, el robo de sus identidades y otros problemas graves.

Resumen de la amenaza:
Nombre Campaña de spam Coronavirus
Tipo de Amenaza Trojan, password-stealing virus, banking malware, spyware.
Hoax (Farsa) Esta campaña de spam se disfraza como un correo sobre medidas de protección contra el coronavirus
Anexo(s) CoronaVirus_Safety_Measures.rar
Nombres de Detección (CoronaVirus_Safety_Measures.rar) Arcabit (Trojan.AutoIT.Agent.AAJ), Emsisoft (Trojan.AutoIT.Agent.AAJ (B)), ESET-NOD32 (A Variant Of Win32/Injector.Autoit.FAQ), Kaspersky (Trojan-Dropper.Win32.Autit.nlm), Lista Completa de Detecciones (VirusTotal)
Síntomas Los troyanos están diseñados para infiltrarse sigilosamente en la computadora de la víctima y permanecer en silencio, por lo que no hay síntomas particulares claramente visibles en una máquina infectada.
Carga Útil Agent Tesla, Emotet, LokiBot, Remcos, TrickBot, FormBook, Ave Maria, LimeRAT, CrimsonRAT, y una variedad de otros programas maliciosos.
Métodos de Distribución Archivos adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, 'cracks' de software.
Daño Contraseñas robadas e información bancaria, robo de identidad, la computadora de la víctima agregada a una botnet.
Eliminación

Para eliminar Campaña de spam Coronavirus, nuestros investigadores de software malicioso recomiendan analizar el equipo con Malwarebytes.
▼ Descargar Malwarebytes
Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.

Aquí hay otros ejemplos de campañas de spam que los ciberdelincuentes usan/usan con el propósito de engañar a los destinatarios para que instalen software malicioso: "Greta Thunberg Email Virus", "Christmas Party Email" y "UPS Email Virus". En la mayoría de los casos, estas campañas de spam se disfrazan de correos oficiales importantes de compañías legítimas. De cualquier manera, los destinatarios que abren archivos adjuntos o archivos descargados a través de enlaces a sitios web que se incluyen en dichos correos electrónicos infectan sus sistemas con malware de alto riesgo que los ciberdelincuentes propagan con el propósito de generar ingresos de una u otra manera.

¿Cómo "Coronavirus Email Virus" infectó mi computadora?

La investigación muestra que los ciberdelincuentes propagan malware a través de esta campaña de spam, ya sea mediante la inclusión de algún enlace al sitio web o adjuntando un archivo malicioso a su correo electrónico. Los formatos de archivo más utilizados para propagar malware a través de correos electrónicos (archivos adjuntos y/o enlaces a sitios web en ellos) son Microsoft Office malicioso, documento PDF, archivo ejecutable como .exe, archivo de archivo como ZIP, RAR o JavaScript. Por lo general, esos archivos infectan los sistemas cuando los destinatarios los ejecutan (abren). Por ejemplo, si un archivo adjunto (o un archivo descargado a través de un enlace) es un documento de MS Office y se abre con un Microsoft Office 2010 o posterior, solicitará un permiso para habilitar los comandos de macros (edición). Al obtener dicho permiso, se permite que un documento malicioso instale algún programa malicioso. Vale la pena mencionar que las versiones anteriores de MS Office (que se desarrollaron antes del año 2010) no incluyen el modo de Vista protegida. Significa que instalan malware sin pedir permiso.

¿Cómo evitar la instalación de malware?

No se debe descargar (o instalar) software a través de descargadores (o instaladores) de terceros, sitios web no oficiales, redes punto a punto (por ejemplo, clientes de torrents, eMule) y otras herramientas similares, fuentes. Debe hacerse mediante el uso de sitios web oficiales y enlaces directos. El software instalado no debe actualizarse a través de herramientas no oficiales de terceros. La única forma segura de lograrlo es mediante el uso de funciones y/o herramientas implementadas que son proporcionadas por los desarrolladores oficiales. Lo mismo se aplica a la activación de software con licencia (pago). Además, no es legal usar varias herramientas de activación no oficiales ('cracking') para eso y a menudo causan la instalación de malware. Los archivos adjuntos que se incluyen en correos electrónicos irrelevantes que se reciben de direcciones sospechosas desconocidas no deben abrirse. Vale la pena mencionar que los ciberdelincuentes tienden a disfrazar sus correos electrónicos como oficiales, importantes, legítimos, etc. Los archivos adjuntos y/o enlaces a sitios web en los correos electrónicos deben abrirse solo cuando no hay razón para creer que puede ser inseguro. Y, por último, es importante analizar periódicamente el sistema operativo con un conjunto de programas antivirus o antispyware de buena reputación instalado y eliminar las amenazas detectadas lo antes posible. Si ya ha abierto el archivo adjunto "Coronavirus Email Virus", le recomendamos ejecutar un análisis con Malwarebytes para eliminar automáticamente el malware infiltrado.

Texto presentado en una variante del correo electrónico "Coronavirus Email Virus":

Subject: Coronavirus (2019 -nCov) Safety Measures
Dear Sir/Madam,

Go through the attached document on safety measures regarding the spreading of corona virus.

This little measure can save you.

WHO is working closely with global experts, governments and partners to rapidly expand scientific knowledge on this new virus and to provide advice on measures to protect health and prevent the spread of this outbreak.

Symptoms to look out for; Common symptoms include fever, cough, shortness of breath, and breathing difficulties.

Regards

Dr Liang -

Intensive Care Physician

WHO Plague Prevention & Control

Captura de pantalla de otra variante del correo electrónico "Coronavirus Email Virus":

Otra variante del

Texto en este correo electrónico:

Subject: Re:SAFTY CORONA VIRUS AWARENESS WHO

Dear Sir,

Go through the attached document on safety measures regarding the spreading of corona virus.

Click on the button below to download


Symptoms common symptoms include fever, coughcshortness of breath and breathing difficulties.

Regards.


Dr. Stella

Specialist wuhan-virus-advisory

Captura de pantalla de un archivo malicioso que se distribuye a través de la campaña de spam "Coronavirus Email Virus" y es detectado como amenaza por varios motores de detección de virus en VirusTotal:

Archivo en una campaña de spam coronavirus detectado como una amenaza en virustotal 

Otro archivo adjunto malicioso (un archivo VBS) distribuido a través de campañas de correo electrónico no deseado relacionadas con Coronavirus. Este archivo adjunto está diseñado para inyectar sistemas con Remcos RAT:

Las campañas de spam de correo electrónico relacionadas con el coronavirus difunden el RAT Remcos

Los estafadores ha lanzado recientemente otra variante de la campaña de spam relacionada con Coronavirus que promueve Remcos RAT, Ave Maria trojan y LimeRAT:

El correo no deseado relacionado con el coronavirus difunde Remcos RAT, el troyano Ave Maria y LimeRAT

Texto presentado dentro de este correo electrónico:

Dear Industry Partners,

Due to recent announcement by Chinese's Government on spread of Corona Virus, customers traveling to/from WUH / SHA / BJS / CAN can opt to change their flights as The outbreak of coronavirus update china today continue see the attachment and the countries that has been affected below:

Booking and Ticketing Guidelines:

Below options are available for tickets issued on/ before 24th February 2020 and travelling till 29th March 2020

Re booking:
General Waiver Policy must be used for tickets issued on/ before 24th February 20 travel is to/from to/from WUH / SHA / BJS / CAN.
Travel to/from WUH must be via EK online points (SHA / BJS / CAN)
Customers can opt to change their flights within 7 days than originally booked

Reroute:
Reroute is permitted as per General Waiver Policy
Offer reroute within 7 days than originally booked as per General Waiver guidelines.
EK will not provide onward transportation or booking beyond the preferred destination.

Refund:

1. Travelling to/ from WUH: Refund option is only applicable for customers travelling 1 month from date of incident (23 January 2020 - 23 February 2020) as per General Waiver guidelines. Outside this period refund charges will be applicable as per fare terms and conditions.
2. Travelling to / from SHA / BJS / CAN : Refund option is available for customers travelling from 24 February to March 29th 2020. Outside this period refund charges will be applicable as per fare terms and conditions.

a. Refund request must be made using the refund form online *******. Inform our customers to update comments "Refund request due to Corona virus" when initiating request. This will fall in central refunds queue for manual action and will avoid refund charges being applied to tickets.

Please contact our call center on ******* OR visit ******* for more details

Otra variante más de la campaña de spam relacionada con Coronavirus que se utiliza para propagar el virus FormBook:

El correo no deseado relacionado con el coronavirus se utiliza para difundir el troyano FormBook

Texto presentado dentro de este correo electrónico:

Subject: CORONA-VIRUS AFFECTED COMPANY STAFF

TO WHOM IT MAY CONCERN Find the attached file of victims and predicting victims of corona Virus as at 22/02/20. This list contains pictures,countries,names and companies affected. Dr Li Wei 26 Shengli St, Jiang'an District, Wuhan, Hubei, China +862782814009 Hubei hxxp://www.zxhospital.com/

Captura de pantalla de las detecciones de archivos adjuntos maliciosos ("LIST.ARJ") en VirusTotal:

Archivo LIST.ARJ malicioso utilizado para inyectar el troyano FormBook en el sistema

Otro correo electrónico no deseado relacionado con Coronavirus (escrito en italiano) que distribuye el troyano TrickBot:

Correo electrónico spam Coronavirus distribuyendo TrickBot

Texto presentado dentro de este correo electrónico:

Subject: Coronavirus: Informazioni importanti su precauzioni

Gentile Signore/Signora,

A causa del fatto che nella Sua zona sono documentati casi di infezione dal coronavirus, l'Organizzazione Mondiale della Sanità ha preparato un documento che comprende tutte le precauzioni necessarie contro l'infezione dal coronavirus. Le consigliamo vivamente di leggere il documento allegato a questo messaggio!

Distinti saluti,
Dr. Penelope Marchetti (Organizzazione Mondiale della Sanità - Italia)

Otra variante más de un correo electrónico no deseado relacionado con Coronavirus. El correo electrónico entrega un documento malicioso de MS Excel ("COVID-19 Recomendaton_Precations_Desinfection.xlam") que inyecta Skidware RAT en el sistema:

alt

Texto presentado dentro de este correo electrónico:

Dear Lord/Lady,

Due to the fact that cases of coronavirus infection are documented in your area, The World Health Organiation has prepared a document that includes all necessary precations against coronavirus infection.

We strongly recommend that you read document attached to this message!

Sincerely.

Dr. Penelope Marchetti,
World Health Organization (W H O).

Ventana emergente que solicita habilitar los comandos de macro una vez que se abre el archivo adjunto malicioso:

Ventana emergente que solicita habilitar los comandos de macro una vez que se abre el archivo malicioso de MS Excel

Otro documento malicioso de Microsoft Excel ("36978_1582552996_NHQEncl1.xls1") distribuido mediante campañas de correo electrónico no deseado relacionadas con Coronavirus. Este documento malicioso inyecta CrimsonRAT en el sistema mediante comandos de macro:

Documento de MS Excel relacionado con Coronavirus malicioso que inyecta Remcos RAT en el sistema

Texto presentado dentro del documento:

HEALTH ADVISORY: CORONA VIRUS
1. Traineers & workes  from foreign countries attend courses at various indian Establishment and trg Inst.
2. The outbreak of CORONA VIRUS is cause of concern especially where forign personal have recently arrived or will be arriving at various Intt in near future.
3. In order to prevent spread of CORONA VIRUS at Training establishments, preventive measure needs to be taken & advisories is reqt to be circulated to all Instt & Establishments.
4. In view of above,you are requested to issue necessery directions to all concerned Medical Establishments. Treat matter most Urgent.

Actualización 20 de marzo de 2020: Los ciberdelincuentes han comenzado recientemente una nueva campaña de correo electrónico no deseado para distribuir RedLineStealer. Envían miles de correos electrónicos engañosos pidiendo ayuda para realizar investigaciones médicas relacionadas con el coronavirus. Piden a los usuarios que instalen un cierto software que supuestamente usará la computadora del destinatario para realizar varios cálculos y, por lo tanto, ayudar a los investigadores. La aplicación que alientan a los usuarios a instalar se llama Folding @ home. Ahora tenga en cuenta que esta aplicación realmente existe y es completamente legítima. Sin embargo, esta campaña de spam es solo un disfraz: en lugar de instalar los delincuentes de la aplicación Folding @ home antes mencionados, inyectan RedLineStealer en el sistema. Puede encontrar un poco más de detalles en el artículo de Lawrence Abram publicado en Bleeping Computer.

Aparición de un correo electrónico no deseado utilizado para distribuir RedLineStealer disfrazándolo como aplicación Folding@home:

Campaña de correo electrónico no deseado que promueve el ladrón RedLine

Texto presentado dentro de este correo electrónico:

Subject: Please help us Fighting corona-virus

Greetings from Mobility Research Inc  and Folding@Thome As we all know, recently corona-virus is becoming a major threat to the human society. We are a leading institution working on the cure to solve this world-wide crisis. However, we need your help. With your contribution, you can speed up our process of finding the cure. The process is very simple, you will need to install an app on your computer, which will allow us to use it to run simulations of the cure. The process is very simple, you will need to install an app on your computer, which allow us to use it to run simulations of the cure. This is totally controllable by you and you can be switched on/off when you are comfortable to. This will greatly help us and perhaps stop the corona-virus before it is too late.
Thank you, your Mobility Research Inc  and Folding@Thome

If you would like to read more about our organisation, click here:

Folding@Thome

Eliminar automáticamente de forma instantánea Campaña de spam Coronavirus: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Malwarebytes es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Campaña de spam Coronavirus. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Malwarebytes Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

¿Cómo eliminar el malware manualmente?

La eliminación manual de malware es una tarea complicada. Por lo general, es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Malwarebytes. Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Aquí hay un ejemplo de un programa sospechoso que se ejecuta en la computadora de un usuario:

Ejemplo de un proceso malicioso ejecutándose en la computadora del usuario

Si revisó la lista de programas que se ejecutan en su computadora, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:

manual malware removal step 1Descargue un programa llamado Autoruns. Este programa muestra aplicaciones de inicio automático, registro y ubicaciones del sistema de archivos:

Captura de pantalla de la aplicación autoruns

manual malware removal step 2Reinicie su computadora en Modo Seguro:

Usuarios de Windows XP y Windows 7: Inicie su computador en modo seguro. Haga clic en Inicio, clic en Apagar, clic en Reiniciar, clic en Aceptar. Durante el proceso de inicio de su computador, presione la tecla F8 en su teclado varias veces hasta que vea el menú Opciones Avanzadas de Windows, y luego seleccione Modo Seguro con Funciones de Red de la lista.

Modo Seguro con Red

Video que muestra cómo iniciar Windows 7 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 8: Iniciar Windows 8 en Modo Seguro con Funciones de Red: vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta "Configuración General de PC", seleccione Inicio Avanzado. Clic en el botón "Reiniciar Ahora". Su computadora ahora se reiniciará en el "Menú de opciones de inicio avanzado". Haga clic en el botón "Solucionar problemas" y luego clic en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para iniciar en Modo Seguro con Funciones de Red.

Modo Seguro con Red en Windows 8

Video que muestra cómo iniciar Windows 8 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto, haga clic en "Reiniciar" mientras mantiene presionado el botón "Shift" en su teclado. En la ventana "Elija una opción", haga clic en "Solucionar Problemas", luego seleccione "Opciones Avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de Inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana, debe hacer clic en la tecla "F5" en su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.

Modo Seguro con Red en Windows 10

Video que muestra cómo iniciar Windows 10 en "Modo Seguro con Funciones de Red":

 

manual malware removal step 3Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

Extraiga autoruns.zip y ejecute autoruns.exe

manual malware removal step 4En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desactive las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".

Haga clic en 'Opciones' en la parte superior y desmarca las opciones 'Ocultar ubicaciones vacías' y 'Ocultar entradas de Windows'

manual malware removal step 5Consulte la lista provista por la aplicación Autoruns y localice el archivo de malware que desea eliminar.

Debe anotar la ruta y nombre completos. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres legítimos de procesos de Windows. En esta etapa, es muy importante evitar eliminar los archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic con el botón derecho del mouse sobre su nombre y elija "Eliminar".

Localice el archivo de malware que desea eliminar

Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su computadora. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.

Buscando archivos de malware en su computadora

Reinicie su computadora en modo normal. Seguir estos pasos debería eliminar cualquier malware de su computadora. Tenga en cuenta que la eliminación manual de amenazas requiere habilidades informáticas avanzadas. Si no tiene estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware. Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su computadora segura, instale las últimas actualizaciones del sistema operativo y use un software antivirus.

Para asegurarse de que su computadora esté libre de infecciones de malware, recomendamos escanearla con Malwarebytes.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
Campaña de spam Coronavirus Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de Campaña de spam Coronavirus desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de Campaña de spam Coronavirus:

▼ ELIMINAR AHORA con Malwarebytes

Plataforma: Windows

Valoración de Malwarebytes por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.