Así es el nuevo malware que se esconde cuando le interesa para dificultar su detección

Nuevo malware que se esconde para no ser detectado

Cuando hay algo mal en un equipo suele traducirse en ralentización y mal funcionamiento. Una de las causas es el malware, que hay una gran variedad. Pero dentro de estas amenazas, una de las más presentes en los últimos tiempos son los mineros ocultos de criptomonedas. En un artículo anterior explicamos cómo saber si nuestro equipo está infectado por este tipo de malware. Lo más visible es cuando hay una ralentización y un uso excesivo de la CPU. Podemos ir al administrador de tareas y comprobarlo. Pero hoy hablamos de una nueva variedad, un minero de criptomonedas oculto que, nunca mejor dicho, se esconde para no ser detectado.
El nuevo minero de criptomonedas que se esconde

Cuando los usuarios abren un juego, éste necesita que el equipo trabaje al 100%. Es la manera de evitar ralentizaciones, pausas y un mal funcionamiento en general. Si la CPU o la RAM están usándose más de la cuenta, puede dar lugar a todo esto. Es habitual que el usuario vaya al administrador de tareas y compruebe qué está pasando. Si hay un proceso que está consumiendo muchos recursos, lo normal es que lo cerremos.

¿Qué pasaría si hay un minero oculto de criptomonedas y abrimos el administrador de tareas? Lógicamente veremos que está consumiendo recursos y lo cerraremos. Incluso eliminaríamos el malware de raíz utilizando algún programa o herramienta de seguridad.
Cómo usar el administrador de tareas de Chrome para detectar mineros de criptomonedas
Cómo usar el administrador de tareas de Chrome para detectar mineros de criptomonedas

Pero esto no se aplica únicamente cuando abrimos un juego, sino también otras aplicaciones populares y que pueden necesitar de ciertos recursos. En esto han pensado los desarrolladores de este minero de criptomonedas novedoso y, en cuanto el usuario abre un juego o abre el administrador de tareas, automáticamente se cierra. Literalmente se esconde para no ser detectado.

Esto, como podemos imaginar, dificulta mucho la tarea de descubrir un malware de este tipo. Lo tenemos en el equipo, está constantemente consumiendo recursos, pero en cuanto intentamos ver si existe mediante el administrador de tareas, se esconde. Lo mismo cuando abrimos una aplicación que pueda verse afectada.

Minero oculto nuevo malware
Iostream.exe

Cuando este malware se instala, genera un archivo llamado Iostream.exe en C:\Archivos de Programa y creará una tarea programada denominada “WindowsRecoveryCleaner” y la inicia con la línea de comando: schtasks /create /tn WindowsRecoveryCleaner /tr “C:\Archivos de Programa\Iostream.exe” /st 00:00 /sc daily /du 9999:59 /ri 1 /f.

Esto hace que esa tarea se ejecute a las 12 de la noche cada día. Además, la tarea se repite cada minuto. Esto lo que permite es que el minero oculto pueda reiniciarse al momento de ser apagado.

Una vez iniciado, Iostream.exe se inyectará en C: \ Windows \ system32 \ attrib.exe. Attrib se usa para cambiar ciertos atributos en un archivo y normalmente se cierra después de completarlo. Al inyectar el minero en attrib.exe, el programa no se cerrará a menos que se termine.
Llega el primer malware que mina criptomonedas que no quiere competencia
Llega el primer malware que mina criptomonedas que no quiere competencia

Este minero oculto constantemente consultará la lista de procesos que se ejecutan. Si detecta alguno relacionado con juegos, por ejemplo, automáticamente terminará. Es la manera que tiene de esconderse y no ser cazado, en definitiva.

Una vez que ese proceso ha terminado, en un minuto el minero vuelve a activarse.

En definitiva, este minero oculto utiliza una manera inteligente para no ser detectado. Solamente se ejecuta cuando el uso de la CPU no es fuerte y así no afectar al buen funcionamiento y levantar sospechas.

Ver información original al respecto en Fuente: