Resumen rápido
El Trojan.Hesv/Cobalt es, como su nombre sugiere, un troyano. Un troyano —malware que se hace pasar por software legítimo— para engañar al usuario. Está ligado a familias conocidas como Hesv y Cobalt. ¿Por qué importa? Porque abre la puerta a accesos remotos de atacantes. Riesgo alto: 54 de 76 motores antivirus lo marcan como malicioso.
Qué hace esta amenaza (explicado fácil)
Funciona como un agente sigiloso. En muchos casos troyanos de este tipo aceptan y ejecutan comandos remotos. Puede robar información o preparar el terreno para infecciones mayores. En análisis aparece etiquetado como spreader —es decir, puede propagarse a otros archivos o dispositivos. Está compilado con Visual Studio, algo habitual en Windows. No hay detalles públicos que describan su payload con exactitud. Lo más probable: instala una puerta trasera (backdoor) para control remoto.
Qué puede pasar si lo ignoras
Si lo dejas pasar, atacantes podrían entrar en tu PC. Robar contraseñas, documentos, o instalar más malware son escenarios típicos. En muchos casos de troyanos eso deriva en pérdida de datos o en ransomware. El equipo se vuelve lento. Y peor aún: extorsión o que tu máquina se use para atacar a terceros.
Señales comunes de infección
- Rendimiento lento del PC sin razón aparente.
- Archivos nuevos o cambios en la configuración del escritorio.
- Un programa desconocido como phpCmmN3z.exe en ejecución.
- Conexiones de red inusuales o uso de internet elevado.
- Alertas del antivirus que indican troyano o worm.
- Caídas frecuentes o bloqueos del sistema.
Datos técnicos
| Propiedad | Valor |
|---|---|
| SHA256 | df0c78bcfd5c9db9c40e67b95a6e60368c4dece6fc558d81b7c463f8aac1b483 |
| MD5 | ee719c211bae3b732cd6b268543e08a7 |
| Tipo | Win32 EXE (PE32 executable GUI Intel 80386) |
| Tamaño | 84992 bytes |
| Nombre archivo | phpCmmN3z.exe |
| Primera vista (reportada) | 2026-03-13 |
| Compilado (reportado) | 2021-10-08 |
| Compilador | Visual Studio |
Cómo se detecta (nombres de detección comunes)
- Troyan.GenericKDZ.112887 (MicroWorld-eScan, ALYac, VIPRE, BitDefender)
- Win32/Agent.OIY worm (ESET-NOD32)
- W32.AIDetectMalware (Bkav)
- Troyan-FUSM!EE719C211BAE (Skyhigh)
- Unsafe (Cylance)
- ML.Attribute.HighConfidence (Symantec)
- malicious (high confidence) (Elastic)
- win/malicious_confidence_100% (CrowdStrike)
Qué hacer ahora (si lo detectaste)
Muévete rápido. Desconecta el USB infectado. Y no lo metas en otros equipos.
Checklist de 60 segundos
- Extrae el USB sin abrir archivos.
- Descarga USB-AV Antivirus. Escanea el USB. Elimina la amenaza del USB.
- En tu PC Windows, ejecuta un antivirus convencional para un escaneo completo.
- Cambia contraseñas desde un dispositivo limpio.
- Actualiza Windows y el software instalado.
USB-AV limpia el USB al conectarlo. Nota: no desinfecta Windows si el malware ya se instaló allí. Para eso usa tu antivirus principal.
Errores comunes al intentar “arreglarlo”
- Pensar que “solo es un USB” y dejarlo pasar. Se puede propagar rápido.
- Borrar archivos a mano sin escanear; quedan restos.
- Usar el PC infectado para buscar ayuda en línea —solo extiendes el problema.
- Confiar únicamente en Windows Defender sin hacer un escaneo completo.
- Reconectar el USB sin limpiarlo primero.
Datos interesantes
Las familias Hesv y Cobalt aparecen en troyanos avanzados. Hesv suele ser detectado por Microsoft como troyano genérico que ralentiza sistemas. Cobalt Strike, por su parte, es una herramienta de pentesting que delincuentes abusan para desplegar beacons (agentes remotos). Esta muestra muestra rasgos de worm y spreader. No hay información pública concluyente sobre campañas específicas de esta muestra, así que lo razonable —y lo que debes hacer— es centrarte en la prevención.
Lecturas recomendadas
Cómo prevenir infecciones futuras
- Escanea USB con USB-AV Antivirus antes de conectarlos.
- Mantén un antivirus en Windows siempre actualizado.
- No abras emails ni adjuntos sospechosos.
- Actualiza el sistema y las aplicaciones regularmente.
- Evita descargas desde sitios no confiables.
- Usa USB solo de fuentes seguras.
Preguntas frecuentes
¿USB-AV puede eliminarla si la detecta al conectar el USB? Sí —USB-AV elimina amenazas del USB cuando lo detecta al conectar.
¿USB-AV desinfecta Windows si ya está instalado? No. Para limpiar Windows usa un antivirus convencional.
¿Es común en pendrives? Sí, troyanos como este suelen viajar por USB.
Escanea tus dispositivos USB con USB-AV Antivirus antes de conectarlos.