El gusano EternalRocks explota siete vulnerabilidades de Windows SMB para infectar sistemas de ordenador
El virus EternalRocks es una red de gusano de auto-replicación que se difunde a través de siete vulnerabilidades de Windows SMB y ejecuta actividades maliciosas en los ordenadores infectados. El gusano tiene diferentes nombres – varias empresas de seguridad lo han identificado también como MicroBotMassiveNet, DoomsDay o BlueDoom. El gusano usa EternalBlue (usado en la distribución del ransomware WannaCry), EternalChampion, EternalSynergy, y EternalRomance así como programas asociados como DoublePulsar, SMBTouch, y ArchiTouch. La funcionalidad del malware se diferencia en varias etapas, y la primera de ellas usa el archivo UpdateInstaller.exe, el cual descarga archivos .NET para emplearlos en las siguientes etapas, SharpZLib y TaskScheduler, y también svchost.exe(downloads, extracts and launches Tor browser) y taskhost.exe. Una vez que estos archivos son colocados en el sistema, la segunda etapa del malware comienza a actuar. Tras un retraso (24 horas) el gusano se conecta a ubgdgno5eswkhmpy[.]onion, descarga y ejecuta otro archivo taskhost.exe. Una vez que lo ejecuta, el proceso descargar un paquete exploit llamado shadowbrokers.zip y descomprime los componentes al momento. El nombre del archivo ZIP es autoexplicativo, y usa exploits robados por un grupo de hackers llamado Shadow Brokers. El archivo contiene carpetas, cargas explosivas, configs y bins. Siguiendo esto, el virus comienza a buscar y abrir 445 puertos (SMB) en Internet, al mismo tiempo que ejecuta exploits que provienen de carpetas bins y fuerza la primera etapa del malware para que ejecute la carga maliciosa. El gusano se comunica continuamente con un servidor de Comando & Control (C&C) a través del navegador TOR y espera instrucciones. El virus puede ser paralizado solo usando herramientas anti-malware poderosas que deben estar actualizadas. Para eliminar EternalRocks, te recomendamos usar los programas FortectIntego o MalwarebytesMalwarebytes.

El malware EternalRocks no es un ransomware, al contrario de lo que los «expertos» dicen. Por el momento, es simplemente un código malicioso que puede tomar el control silenciosamente de los hosts infectados. Incluso si el gusano no está armado aún, no hay razón para pensar que va a seguir así en el futuro. Debido a la comunicación con los servidores C&C, el gusano puede ejecutar varias tareas y repletar el sistema infectados con malwares adicionales, incluyendo ransomware o virus que roban datos. EternalRocks se basa más en las vulnerabilidades de Windows que lo que hizo el infame ransomware WannaCry (el ransomware Wana Decrypt0r 2.0, el cual ha sido usado en el ciber ataque lanzado el 12 de Mayo de 2017, usó EternalBlue y DoublePulsar), lo que revela que el gusano es más complejo que el ransomware. El nuevo gusano, sin embargo, no tiene un kill switch que tenía el ransomware. Por el momento, parece que no hay modo de bloquear la actividad de McroBotMassiveNet una vez que se infiltra en el sistema. Lo único que puedes hacer es comprobar el sistema usando un anti-malware poderoso y eliminar EternalRocks automáticamente.
Propagación del gusano malicioso
Con un gran abanico de exploits Windows SMB, el gusano EternalRocks logra entrar en sistemas de ordenador desprotegidos bastante fácilmente. Uno de los exploits usados, conocido como DoublePulsar, se mantiene en los ordenadores comprometidos y los deja sin protección, lo que significa que otros ciber criminales pueden intentar conectarse a los ordenadores comprometidos y transferir sus programas maliciosos a ellos. Por el momento, hay poca información sobre los posibles modos de evitar este gusano. Por ello, te recomendamos que mantengas tu sistema actualizado, instales todas las actualizaciones sugeridas para tus programas (¡asegúrate de descargarlas solo desde fuentes de confianza!) y evita visitar los sitios oscuros de Internet o abrir emails sospechosos hasta que no haya más detalles sobre el gusano. Pronto actualizaremos este artículo cuando sepamos más sobre el virus.
Eliminación del gusano EternalRocks
Cuando intentes eliminar el virus EternalRocks, deberías entender que es un ejemplo de malware profesionalmente creado y que no puede desinstalar tan rápidamente. No encontrarás un desinstalador en el Panel de Control, por lo que no pierdas tiempo intentando encontrarlo. Además, eliminar los componentes de este malware puede no ser suficiente. Por ello, te sugerimos que ejecutes la eliminación de EternalRocks usando un software de eliminación de malware profesional, el cual identificará todas las carpetas y configuraciones alteradas que han sido tocadas por el malware.
¿Te ha resultado útil esta guía?
Sé el primero en comentar