Resumen rápido
El troyano Occamy/Siphost es un programa malicioso que se camufla como un archivo inocente para colarse en sistemas. Forma parte de la familia Occamy y ataca Windows. Representa un riesgo alto —sí, alto—: 50 de 76 motores de detección lo etiquetan como malicioso. Si se ejecuta, puede sustraer información sensible.
Qué hace esta amenaza (explicado fácil)
Funciona en segundo plano sin hacer ruido ni avisos evidentes. Roba contraseñas, datos bancarios y registros de teclado o navegación. Muchas muestras se conectan a servidores remotos para exfiltrar lo que pillan. Además —y esto es importante— puede descargar más malware o incorporar tu PC a una botnet, es decir, a una red de equipos controlados por atacantes.
Se camufla en archivos con nombres como sihost.exe o incluso como fotos (p. ej. W7 Photo.exe). Viene comprimido con UPX, una técnica común para intentar eludir la detección inicial.
Qué puede pasar si lo ignoras
Robo de cuentas bancarias y de identidad. Pérdida de privacidad personal. Tu máquina puede terminar usada para lanzar ataques contra terceros. También puede desembocar en instalación de ransomware (que cifra y bloquea tus archivos) o en la presencia de spyware adicional. En casos graves, hay consecuencias económicas o incluso legales si tu equipo participa en fraudes.
Señales comunes de infección
- Procesos extraños en el Administrador de Tareas (por ejemplo, un sihost.exe sospechoso).
- El equipo va lento sin motivo aparente.
- Actividad de red elevada cuando no estás navegando mucho.
- Pop-ups inesperados o cambios de contraseñas sin que tú los hayas hecho.
- El antivirus lanza alertas de troyanos genéricos.
Datos técnicos
| Propiedad | Valor |
|---|---|
| SHA256 | 16def6637b3014a12d691d073f2abd4713decbe83daac5dc2f371d91c036a201 |
| MD5 | decaea6a249202913a5c862d7427b1f8 |
| Tipo | Win32 EXE (PE32 executable GUI, Intel 80386, MS Windows, UPX compressed) |
| Tamaño | 37888 bytes |
| Nombre del archivo | sihost.exe (y variantes como W7 Photo.exe) |
| Fecha reportada primera vista | 2017-11-10 |
| Fecha compilada reportada | 2017-11-09 |
| Compilador/Firma | UPX, Microsoft Linker |
Cómo se detecta (nombres de detección comunes)
- Bkav: W32.Common.80842263
- Lionic: Trojan.Win32.Occamy.4!c
- Cynet: Malicious (score: 100)
- CTX: exe.trojan.occamy
- ALYac: Trojan.GenericKD.77516909
- Cylance: Unsafe
- VIPRE: Trojan.GenericKD.77516909
- Sangfor: Suspicious.Win32.Save.a
- CrowdStrike: win/malicious_confidence_100% (W)
- BitDefender: Trojan.GenericKD.77516909
- K7GW: Trojan (0060d8011)
- K7AntiVirus: Trojan (0060d8011)
- Arcabit: Trojan.Generic.D49ED06D
- VirIT: Trojan.Win32.Genus.YYX
- Symantec: ML.Attribute.HighConfidence
- Elastic: malicious (moderate confidence)
Qué hacer ahora (si lo detectaste)
Actúa rápido, pero sin pánico. No ignores las alertas, en serio.
Checklist de 60 segundos
- Desconecta internet para cortar el envío de datos.
- Escanea cualquier USB con USB-AV Antivirus si vino por ahí (elimínalo del USB).
- Actualiza y ejecuta un escaneo completo con tu antivirus de Windows.
- Reinicia en Modo Seguro y vuelve a escanear.
- Cambia contraseñas desde otro equipo limpio.
Nota: USB-AV Antivirus elimina amenazas en USB al conectarlo, pero no desinfecta Windows si el malware ya está instalado. Para el sistema usa un antivirus convencional.
Errores comunes al intentar “arreglarlo”
- Ignorar la alerta y seguir usando el equipo: eso permite que el robo continúe.
- Borrar solo el archivo visible: a menudo quedan rastros y payloads.
- Desactivar el antivirus para “probar”: básicamente abres la puerta a más infecciones.
- No cambiar contraseñas: la información robada se usa con el tiempo.
- Usar herramientas no confiables sin hacer un respaldo previo.
Datos interesantes
La familia Occamy es conocida por sus capacidades de control remoto. Muchas variantes operan silenciosamente para robar credenciales bancarias. Se suele propagar vía emails de phishing con adjuntos o descargas maliciosas. Fuentes fiables confirman que puede espiar y unir equipos a botnets.
Lecturas recomendadas
- Descripción de Microsoft sobre Trojan:Win32/Occamy
- Guía de remoción Occamy en PCRisk
- Análisis de Trend Micro
Cómo prevenir infecciones futuras
- No abras adjuntos de correos desconocidos.
- Descarga software solo desde sitios oficiales.
- Usa USB-AV Antivirus para escanear USB antes de conectarlos.
- Mantén Windows y tu antivirus actualizados.
- Activa el firewall y evita cracks o software pirata.
- Usa contraseñas robustas y activa 2FA.
Preguntas frecuentes
¿USB-AV puede eliminarla si la detecta al conectar el USB? Sí: si la amenaza está en la unidad, la elimina directamente del USB.
¿USB-AV desinfecta Windows si ya está instalado? No. Para limpiar Windows necesitas un antivirus completo en el sistema.
¿Es difícil remover Occamy? Requiere un escaneo integral; en ocasiones el Modo Seguro facilita la limpieza.
Escanea tus dispositivos USB con USB-AV Antivirus antes de conectarlos.