worm.zusy/sality: cómo proteger tu USB y detectarlo

Resumen rápido

La muestra se identifica como worm.zusy/sality. Un gusano es un tipo de malware capaz de replicarse y propagarse por sí solo; en familias como esta el blanco frecuente suele ser Windows y los ejecutables del sistema. En esta revisión el riesgo se considera alto: la tasa de detecciones es de 64/77, una señal clara de amenaza.

El nombre remitente apunta a la familia Zusy/Sality, famosa por infectar ejecutables de Windows y moverse con facilidad entre equipos y unidades extraíbles. El fichero analizado se llama nottepad.exe, un nombre que aparentemente busca hacerse pasar por un archivo legítimo para confundir al usuario.

Qué hace esta amenaza (explicado fácil)

Con lo que hay público y los rasgos técnicos observados, lo más sensato es considerarla malware de propagación dirigido a Windows. Los indicadores señalan un comportamiento tipo spreader —es decir, algo que se encarga de expandirse a otros archivos, dispositivos o ubicaciones—. También aparecen indicios de autorun, una funcionalidad que en muchos casos se aprovecha del arranque automático de medios extraíbles para ejecutarse sin que el usuario lo note.

La familia Sality suele relacionarse con la infección de ejecutables .exe y con técnicas de persistencia. Persistencia quiere decir que el malware intenta permanecer activo tras reinicios o al reconectar el medio infectado. En esta muestra además figura la etiqueta executes-dropped-file, lo que sugiere que podría lanzar otro archivo durante su actividad. No afirmamos con certeza la carga final concreta porque eso no está confirmado de forma sólida para este binario en particular.

La fecha de compilación reportada es 2014-01-02 y la primera aparición reportada es 2018-07-20. Esa fecha de compilación debe leerse como un dato reportado, no como prueba concluyente del momento en que nació la muestra.

Qué puede pasar si lo ignoras

Si se deja pasar, este tipo de amenaza puede causar varios problemas indeseados:

  • Reinfectar el mismo USB cada vez que se conecte.
  • Pasar a otros equipos si el archivo se abre o se copia sin revisar.
  • Corromper ejecutables legítimos y volverlos inestables o inutilizables.
  • Facilitar que se descarguen o ejecuten otros componentes maliciosos.
  • Prolongar el problema, porque el medio extraíble puede seguir actuando como vehículo de reinfección.

En familias como Zusy/Sality también puede haber impacto adicional sobre la seguridad del sistema. Eso puede incluir interferencias con herramientas de defensa, aunque el alcance exacto de esta muestra concreta sigue siendo Desconocido en varios puntos.

Señales comunes de infección

  • Aparece un archivo .exe con nombre extraño en el USB, o uno que imita programas conocidos.
  • El USB se comporta de forma lenta o muestra archivos que no deberían estar ahí.
  • Un ejecutable deja de abrirse con normalidad o parece cambiado.
  • El archivo vuelve a aparecer después de borrarlo, sobre todo tras reconectar el pendrive.
  • Se detectan alertas al conectar la memoria USB a Windows.
  • Otros dispositivos que tocaron ese USB empiezan a mostrar síntomas parecidos.

Datos técnicos

Campo Detalle
SHA-256 9f609fa1f2700ff84787dc9434a35cd9155dcfdaaf881e8acf0442c03009c24b
MD5 840e2a8490042e1d903fed0a162c4ff0
Tipo Win32 EXE
Tamaño 4075520 bytes
Nombre del archivo nottepad.exe
Fecha reportada de compilación 2014-01-02
Primera aparición reportada 2018-07-20
Compilador Borland C++
Firma digital Ninguna identificada
Imphash 2fa86cb57a5030f9c5607799e33c71ba

Cómo se detecta (nombres de detección comunes)

Se suele etiquetar como:

  • W32.AIDetectMalware
  • Worm.Win32.Autorun.touu
  • malicious (high confidence)
  • Gen:Variant.Ser.Zusy.1599
  • exe.worm.autorun
  • Trojan.Ghanarava.16998591422c4ff0
  • BehavesLike.Win32.Dropper.wh
  • W32/Autorun-FSV!840E2A849004
  • Unsafe
  • Worm.AutoRun.Win32.141256
  • Trojan.Win32.Save.a
  • P2PWorm ( 004bf0fa1 )
  • Worm:Win32/Autorun.c054d5c4
  • win/malicious_confidence_100% (W)
  • Win32.Worm.Delf.br

Qué hacer ahora (si lo detectaste)

Si acabas de conectar el USB y apareció esta amenaza, mantén la calma. No abras el archivo. No lo ejecutes. No lo compartas con otros equipos. La prioridad es cortar la propagación cuanto antes.

Checklist de 60 segundos

  • Desconecta el USB de forma segura.
  • No hagas doble clic sobre nottepad.exe.
  • Escanea el USB con USB-AV Antivirus.
  • Si USB-AV Antivirus lo detecta en el USB, elimínalo o ponlo en cuarentena desde el propio medio.
  • Si crees que el archivo ya se ejecutó en Windows, usa un antivirus convencional para revisar el PC.
  • Actualiza las definiciones del antivirus de Windows antes del análisis completo.
  • Si ese pendrive se usó en más de un equipo, repite la revisión en todos ellos.

Importante: USB-AV Antivirus puede eliminar la amenaza cuando la detecta al conectar el USB. Pero USB-AV Antivirus no desinfecta Windows si el malware ya quedó instalado en el PC. En ese caso hace falta un antivirus convencional en Windows.

Errores comunes al intentar “arreglarlo”

  • Buscar el archivo “a ver qué hace” y terminar ejecutándolo.
  • Borrarlo solo del explorador sin revisar si dejó copias en el USB.
  • Formatear la memoria y olvidar que el PC también pudo haber quedado expuesto.
  • Confiar en que un reinicio arregla todo.
  • Seguir usando el pendrive en otros equipos sin escanearlo antes.

Datos interesantes

La familia asociada a esta muestra, Zusy/Sality, lleva años apareciendo en análisis de seguridad. Su rasgo más conocido es infectar ejecutables de Windows y favorecer la propagación entre equipos y unidades extraíbles. También se le asocian mecanismos de comunicación y persistencia más complejos que los de un malware básico. Eso no implica que esta muestra haga exactamente todo lo observado en otros casos; simplemente encaja con una familia con historial y presencia sostenida.

No hay información pública concluyente adicional sobre este archivo concreto más allá de sus rasgos técnicos y su perfil de detección. Por eso la recomendación práctica sigue siendo la misma: revisar el USB antes de abrir cualquier fichero y mantener protegido el equipo Windows con un antivirus convencional.

Lecturas recomendadas

Cómo prevenir infecciones futuras

La prevención empieza por el USB. Antes de abrir archivos desde una memoria desconocida, escanéala con USB-AV Antivirus. Si el medio trae un ejecutable con nombre raro, mejor no fiarse. Un nombre que parece “normal” no garantiza que sea seguro.

Además, conviene seguir estas prácticas:

  • No abras archivos .exe de origen dudoso.
  • Mantén Windows y tu antivirus convencional actualizados.
  • Evita reutilizar pendrives entre muchos equipos sin revisión previa.
  • Desactiva el inicio automático de medios extraíbles desde la configuración de Windows.
  • Haz copias de seguridad periódicas de lo importante.
  • Escanea también los archivos descargados de Internet antes de moverlos al USB.
  • Si trabajas con varios equipos, usa una rutina fija: conectar, escanear, revisar y solo después abrir.

La clave no es confiar en un solo control. Lo más seguro es combinar un escaneo específico del USB con un antivirus convencional en Windows.

Preguntas frecuentes

¿USB-AV puede eliminarla si la detecta al conectar el USB?
Sí, en el USB. USB-AV Antivirus puede actuar sobre la amenaza cuando aparece en la memoria conectada.

¿USB-AV desinfecta Windows si ya está instalado?
No. Si el malware ya se ejecutó en el PC, hace falta un antivirus convencional para Windows.

¿Puedo volver a usar el pendrive después?
Sí, pero solo después de escanearlo y confirmar que ya no contiene archivos peligrosos. Si lo usaste en otros equipos, revísalos también.

Escanea tus dispositivos USB con USB-AV Antivirus antes de conectarlos.