Trojan.Graftor/Keylogger: Qué es y Cómo Protegerte

Resumen rápido

Un troyano (o trojan) es un tipo de malware que se hace pasar por software legítimo para engañarte. Se clasifica como Trojan.Graftor/Keylogger, parte de la familia Graftor. Funciona como keylogger: registra cada tecla que pulsas para robar contraseñas y datos personales.

Importa porque 56 de 76 análisis lo marcan como malicioso. Riesgo alto. Puede además instalar más malware o enviar información a atacantes.

Qué hace esta amenaza (explicado fácil)

Este troyano emplea técnicas para camuflarse. Detecta entornos de depuración —es decir, evita que lo analicen en sandboxes— y hace llamadas a WMI (Windows Management Instrumentation, el servicio de Windows para gestionar sistemas).

Como keylogger de la familia Graftor, normalmente registra teclas (keystrokes), realiza capturas de pantalla y puede monitorizar actividad de red. En muchos casos termina instalando adware u otros troyanos. No hay detalles confirmados del payload exacto para esta muestra concreta, pero la familia Graftor suele desplegar software no deseado.

Compilado con Borland Delphi en 2012 (fecha reportada). Primer avistamiento reportado en 2026. Tamaño de 1.2 MB, típico de ejecutables Windows.

Qué puede pasar si lo ignoras

Robo de contraseñas, datos bancarios o correos. Puede abrir la puerta a ransomware u otras infecciones. Tu PC puede volverse lento, con uso alto de recursos. En casos de la familia Graftor, instala adware que muestra anuncios intrusivos o incluso miners de cripto (una detección menciona CoinMiner).

Impacto típico: pérdida de privacidad, robo financiero y posible control remoto del equipo.

Señales comunes de infección

  • Lentitud inexplicable en el PC.
  • Procesos desconocidos en el Administrador de Tareas (como nombres raros: php0hiwYj.exe).
  • Uso alto de CPU o red sin razón aparente.
  • Antivirus que alerta de troyano o keylogger.
  • Cambios en contraseñas o accesos no autorizados.
  • Pop-ups o redirecciones extrañas en el navegador.

Datos técnicos

Propiedad Valor
SHA256 ef60f936e522dbe5f014abbc4be41d86643e990f66001eb7585d0144f7d4211a
MD5 3053f317aa64312784b17ae385b81792
Tipo Win32 EXE (PE32 executable GUI Intel 80386, for MS Windows)
Tamaño 1240195 bytes (1.2 MB)
Nombre archivo php0hiwYj.exe (otros: phpnjcTTn, jwyz828e1.exe, phptlfSCZ)
Fecha compilación reportada 2012-11-16
Primer visto reportado 2026-02-12
Compilador Borland Delphi
ImpHash 40fcea7007c743b8ee39d1ea123ad325

Cómo se detecta (nombres de detección comunes)

  • Gen:Variant.Graftor.939508
  • Trojan.Win32.Generic.lhQR
  • Generic.Malware
  • Win.Malware.CoinMiner-9872527-1
  • cld.trojanspy.keylogger
  • BehavesLike.Win32.Infected.th
  • Trojan (7000000f1)
  • win/malicious_confidence_100% (W)
  • Trojan.Graftor.DE55F4
  • W32.AIDetectMalware

Qué hacer ahora (si lo detectaste)

Actúa rápido. No ignores las alertas.

Checklist de 60 segundos

  1. Desconecta de internet.
  2. Escanea con un antivirus convencional (Windows Defender u otro de confianza).
  3. Si viene de un USB, conecta y usa USB-AV Antivirus: elimina del USB automáticamente.
  4. Cambia todas las contraseñas desde un PC limpio.
  5. Actualiza Windows y el resto de tu software.

Nota: USB-AV Antivirus limpia los USB al conectarlos. No desinfecta Windows si ya está infectado; para eso usa un antivirus completo.

Errores comunes al intentar “arreglarlo”

  • Ignorar porque ‘no pasa nada’: suele actuar en segundo plano.
  • Borrar archivos manualmente: deja restos o puede reactivarse.
  • No cambiar contraseñas: es probable que los datos ya hayan sido robados.
  • Usar solo el Administrador de Tareas: no elimina la raíz del problema.
  • Olvidar el USB: puede reinfectar al reconectarlo.

Datos interesantes

La familia Graftor circula desde hace años a través de campañas de spam con adjuntos Excel que explotan vulnerabilidades antiguas. Es una mezcla de troyano y adware. Este ejemplo está hecho en Delphi, algo común en malware antiguo pero todavía efectivo.

Como keylogger, está orientado al espionaje. No hay información pública concluyente sobre campañas específicas para esta muestra.

Lecturas recomendadas

Cómo prevenir infecciones futuras

  • No abras adjuntos de correos desconocidos.
  • Mantén Windows siempre actualizado.
  • Usa un antivirus en el PC y USB-AV Antivirus para los USB.
  • Evita descargar software de sitios dudosos.
  • Activa el firewall y las protecciones en tiempo real.
  • Escanea los USB antes de conectarlos con USB-AV: previene al eliminar la amenaza en la memoria.
  • Usa VPN en redes públicas.

Preguntas frecuentes

¿USB-AV puede eliminarla si la detecta al conectar el USB? Sí, actúa sobre el USB y la elimina automáticamente.

¿USB-AV desinfecta Windows si ya está instalado? No. Para Windows necesitas un antivirus convencional como Windows Defender.

¿Es solo para USB o afecta PC? Puede venir en un USB pero termina infectando Windows. USB-AV limpia el stick; protege el PC con un AV completo.

Escanea tus dispositivos USB con USB-AV Antivirus antes de conectarlos.