Eliminar Malware que hace uso de Powershell al inicio del sistema

Eliminar Malwares
2

Buenas tardes. Me respondo a mí mismo para comentar cómo se elimina este malware, ya que el usuario que destapó este script en el Gist de Github que enlacé al principio del 1er mensaje me ha dicho los pasos que hay que seguir para eliminarlo:

  1. Abrir el Programador de Tareas

  2. Nos metemos en Microsoft > Windows > NetService > Network y ahí veremos que hay una tarea creada. Esa tarea es la que lanza los procesos PowerShell de este malware.

  3. Se puede eliminar la carpeta NetService completamente, ya que fue creada por el malware (para ello antes hay que eliminar la tarea en sí misma, y ya después la carpeta NetService).

  4. Además, hay que eliminar un archivo LOG falso que también generó el malware, que es donde se esconde el script: C:\Windows\logs\system-logs.txt

  5. El malware también reemplaza el contenido de C:\Windows\System32\SyncAppvPublishingServer.vbs con su propia versión, así que hay que regenerar ese archivo. Probablemente ejecutando el comando sfc /scannow, se detecten archivos corruptos del sistema y Windows los reemplace con la versión original automáticamente. Se puede saber porque el checksum MD5 del archivo original en Windows 10 Pro es: 20C4FE2B130D9F0C92D7629E71AFBB66. Para Windows 11 el compi de GitHub ha subido una copia del archivo original en el siguiente enlace: Copied from a clean install of Windows 11 · GitHub

Y eso es todo.

Aparentemente, el malware lo que hace es monitorizar el portapapeles en busca de una dirección de criptomonedas. Una vez encuentra una, la reemplaza por una dirección que pertenece a los estafadores con la esperanza de que, al pegarla el usuario, no se dé cuenta. Si pasa eso, es decir, si el usuario no se da cuenta, al enviar el dinero lo estaría enviando a la dirección de los estafadores en lugar de a la que quería enviarlo realmente. Aparte de eso, no parece que envíe ninguna otra información personal. Las dirección de criptomoneda que usa el malware han estafado ya más de 3 millones de dólares! Increíble.

Así que tened mucho cuidado y siempre revisad la dirección cuando la peguéis, por si acaso.