El gusano Ramnit controla ya más de 100.000 ordenadores
El malware Ramnit, un avanzado virus tipo gusano con funcionalidades de rootkit, ha infectado ya más de 100.000 dispositivos en todo el mundo. Los investigadores de Check Point alertan de que la mayoría de antivirus no son capaces de detectar este malware, que cuenta con inyección web y usa comunicaciones cifradas con el centro de comando y control. Por ello, el experto en ciberseguridad recomienda a usuarios y empresas que tomen las precauciones oportunas ante una posible operación a gran escala de los creadores del virus.
Detectado por primera vez en 2011, Ramnit afecta a sistemas operativos Windows. Una vez logra infectar el equipo, ese ordenador pasa a forma parte de una red de bots (botnet), controlada de forma remota y utilizada para todo tipo de objetivos maliciosos. Por ejemplo, monitorizar nuestra navegación para detectar el uso de banca online, robar las cookies de sesión de los navegadores para suplantar nuestra identidad en sitios seguros o incluso escanear los discos duros del ordenador infectado y robar los archivos que contengan determinadas palabras clave (como contraseñas).
Según la Oficina de Seguridad del Internauta, la propagación de este gusano se produce a través de enlaces de confianza enviados en correos electrónicos de phishing y también en publicaciones de redes sociales. Asimismo, se ha detectado el uso de servidores FTP públicos para la distribución del malware.
Ahora, los investigadores de Check Point han descubierto una nueva botnet de Ramnit -denominada “Black”-, que lleva activa desde el 6 de marzo de 2018 y que sería la responsable de haber infectado a unos 10.000 ordenadores. Este nuevo servidor de Ramnit no está relacionado con "Demetra", la botnet anteriormente más utilizada por el gusano. Según los nombres del dominio que se resuelven en la dirección IP de este servidor, pretende controlar también los bots antiguos, que se vieron por primera vez en 2015. Estas son las características de la nueva botnet reveladas por Check Point:
Muchas muestras usan nombres de dominio codificados en lugar de DGA (Algoritmo de Generación de Dominios).
El servidor no carga módulos como VNC, robo de contraseñas o FtpGrabber.
Los módulos adicionales (FTPServer, WebInjects) están integrados en un paquete con Ramnit.
Ramnit se usa como instalador de otro malware llamado Ngioweb.
¿Y cómo opera este malware? Los investigadores explican que el virus crea una cadena de procesos para inyectar su código en los dispositivos objetivo. En primer lugar, inyecta su código en el proceso recién creado utilizando una técnica de vaciado de procesos (“process hollowing”). A continuación, recurre a una aplicación predeterminada para abrir archivos con la extensión .html, y realiza las principales acciones maliciosas.
Cómo desinfectar un equipo
Si tu ordenador ha caído en manos de una de estas botnets, calma porque no está todo perdido. Puedes recurrir a las herramientas gratuitas de limpieza o cleaners como las que señala la Oficina de Seguridad del Internauta (además de las propias soluciones antivirus de las que ya dispongas). La recomendación de los expertos es que utilices dos de ellas para incrementar las posibilidades de desinfección.
En primer lugar, puedes pasar al equipo Kaspersky Virus Removal Tool o Sophos Virus Removal Tool. Una vez completado el análisis y eliminación de los virus, desinstala el cleaner que hayas utilizado y pasa otro de estos dos: Panda Cloud Cleaner o Norton Power Eraser.