Un malware llamado Coronavirus ataca a dispositivos Windows

Se ha detectado un nuevo malware de Windows llamado “Coronavirus” que inutiliza los discos al sobrescribir el registro de arranque maestro (MBR). Sobrescribir el MBR es el mismo truco que el malware NotPetya utilizó en 2017 en una campaña que causó daños financieros globales y generalizados.

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Según el equipo de investigación de amenazas de SonicWall Capture Labs, la nueva variedad de malware también es un troyano destructivo, y como su homónimo, no tiene cura. Los investigadores revelan que las víctimas del troyano Coronavirus se encuentran con una pantalla gris y un cursor parpadeante con el mensaje "Su computadora ha sido destruida".

El malware se vale para su propagación de cualquiera de las formas habituales, como un archivo adjunto de correo electrónico malicioso, descarga de archivos, aplicación falsa, etc. Una vez ejecutado, el malware comienza su proceso instalando varios archivos auxiliares, que se colocan en una carpeta temporal. Un instalador (un archivo auxiliar llamado "coronavirus.bat") configura el ataque creando una carpeta oculta llamada "COVID-19" en la máquina. Los archivos auxiliares previamente instalados se mueven allí, en un esfuerzo por pasar desapercibidos hasta que se logre su objetivo.

Después de eso, el instalador deshabilita el administrador de tareas de Windows y el control de acceso de usuario (UAC) en un intento de evitar la detección, según el análisis. También cambia el fondo de pantalla de la víctima y deshabilita las opciones para agregar o modificar ese fondo de pantalla después de realizar el cambio. También agrega entradas en el registro para persistir, y luego establece el reinicio para finalizar la instalación.