worm.zusy/sality: análisis y cómo proteger tu USB

Resumen rápido

worm.zusy/sality es un gusano, dentro de la familia Zusy/Sality. En la práctica, estamos ante un malware pensado para propagarse y para dejar abiertas varias vías de daño. El riesgo: alto, porque la tasa de detección es 64/77 —eso apunta a una señal consistente de actividad maliciosa.

Para quien no se menea en nombres técnicos, lo relevante no es el sello sino el efecto: puede infectar ejecutables, tratar de copiarse a otros medios y convertir un USB en un vector de propagación. USB-AV Antivirus ayuda a limpiar la amenaza en el USB cuando lo conectas. Si Windows ya quedó infectado, hace falta un antivirus convencional para desinfectar el sistema.

En pocas palabras: no lo trates como un fichero inocuo ni como una alerta cualquiera. Si aparece en un pendrive, piénsalo como si ese USB pudiera volver a llevar la amenaza a otros equipos.

Qué hace esta amenaza (explicado fácil)

Un gusano es malware que busca copiarse y moverse solo. Un troyano parece legítimo, pero hace otra cosa por detrás. En esta familia se mezclan ambos enfoques: propagación, uso de ejecutables y capacidad para dejar cargas adicionales.

En esta muestra concreta, los indicadores públicos más claros apuntan a un EXE de Windows con conducta propagadora. Los rasgos marcados como spreader y executes-dropped-file encajan con un malware que se apoya en ficheros que deja caer o que ejecuta para seguir funcionando. “Dropped file” es, vamos, un archivo secundario que el malware crea o lanza para continuar su actividad.

La familia Zusy/Sality suele actuar sobre ejecutables de Windows. No quiere decir que todas las variantes hagan exactamente lo mismo —ojo— pero sí que, en muchos casos, el objetivo es expandir la infección, complicar la limpieza y mantenerse presente en el equipo o en dispositivos conectados.

Lo más sensato es asumir que la amenaza puede afectar primero al USB o a un archivo abierto desde el USB y después intentar extenderse. Por eso limpiar el dispositivo extraíble es tan importante.

Qué puede pasar si lo ignoras

  • El USB puede seguir siendo fuente de reinfección cada vez que lo conectes.
  • Ejecutables del dispositivo pueden quedar dañados o alterados.
  • Otros equipos quedan expuestos si usan el mismo pendrive o memoria USB.
  • Pueden quedar componentes secundarios que complican la revisión manual.
  • Cuanto más tiempo esté activa la amenaza, más difícil será limpiarla.

En casa suele traducirse en desconfianza hacia el USB y en pérdida de tiempo revisando ficheros. En entornos de trabajo el impacto es mayor: un solo dispositivo compartido puede tocar varias estaciones si se usa sin control.

Señales comunes de infección

  • El USB muestra archivos raros o nombres que no recuerdas haber creado.
  • Un ejecutable del pendrive deja de abrirse con normalidad o parece modificado.
  • El dispositivo tarda más de lo habitual en mostrar su contenido.
  • Ves copias inesperadas de archivos en el medio extraíble.
  • Tu equipo se comporta de forma extraña tras abrir un archivo del USB.
  • El archivo sospechoso parece un programa de Windows aunque venía en la memoria USB.

Estas señales no confirman por sí solas la infección, pero sí justifican una revisión inmediata. Si el archivo salió del USB y aún no lo abriste en Windows, el momento de actuar es ahora.

Datos técnicos

Campo Detalle
SHA256 9f609fa1f2700ff84787dc9434a35cd9155dcfdaaf881e8acf0442c03009c24b
MD5 840e2a8490042e1d903fed0a162c4ff0
Tipo Win32 EXE
Tamaño 4075520 bytes
Nombre del archivo nottepad.exe
Fecha de compilación reportada 2014-01-02
Primera observación reportada 2018-07-20
Compiler Borland C++
Firma digital Desconocido

También aparece un nombre alternativo de muestra: 840e2a8490042e1d903fed0a162c4ff0.virus. Eso no prueba por sí solo la intención del fichero, pero ayuda a entender cómo rotulan algunos ejemplares en análisis técnico.

Cómo se detecta (nombres de detección comunes)

Se suele etiquetar como:

  • Worm.Win32.Autorun.touu
  • Gen:Variant.Ser.Zusy.1599
  • exe.worm.autorun
  • Trojan.Ghanarava.16998591422c4ff0
  • BehavesLike.Win32.Dropper.wh
  • W32/Autorun-FSV!840E2A849004
  • Worm.AutoRun.Win32.141256
  • Trojan.Win32.Save.a
  • P2PWorm (004bf0fa1)
  • Win32.Worm.Delf.br

Lo importante es el patrón: algunas detecciones lo tratan como gusano, otras como troyano o dropper. “Dropper” es un cargador que instala otra carga maliciosa. Esa mezcla aparece cuando una familia cumple varias funciones y no encaja en una sola etiqueta.

Qué hacer ahora (si lo detectaste)

Si ya viste este archivo en un USB, no lo abras otra vez. Desconecta el dispositivo con seguridad y pásalo por un análisis completo. Si ya se ejecutó en Windows, considera que el USB y el equipo deben revisarse por separado.

Checklist de 60 segundos

  • Desconecta el USB del equipo.
  • No copies nada desde ese pendrive a otro ordenador.
  • Revisa el USB con una herramienta de limpieza para dispositivos extraíbles.
  • Si el archivo se abrió en Windows, usa un antivirus convencional para analizar el sistema completo.
  • Elimina accesos directos, copias sospechosas y archivos que no reconozcas.
  • Cambia contraseñas solo si confirmas que hubo exposición en el equipo, no solo en el USB.

USB-AV Antivirus sí puede eliminar la amenaza cuando la detecta en el USB al conectarlo. Eso ayuda a cortar la reinfección desde el dispositivo extraíble. USB-AV Antivirus no desinfecta Windows si el malware ya está instalado en el PC; en ese caso, la limpieza debe hacerla un antivirus convencional en el sistema operativo.

Si compartes memorias USB con trabajo, estudio o casa, revisa también el equipo desde el que apareció el archivo. Si no lo haces, puedes limpiar un pendrive y volver a infectarlo luego.

Errores comunes al intentar “arreglarlo”

  • Formatear solo el USB y pensar que el problema terminó.
  • Abrir el archivo sospechoso “para ver qué hace”.
  • Copiar primero los archivos importantes y revisar después.
  • Borrar solo el ejecutable visible sin comprobar si dejó copias o componentes secundarios.
  • Creer que una amenaza en el USB desaparece del PC sin revisar Windows.

Datos interesantes

La familia Zusy/Sality es conocida por mezclar propagación y modificación de ejecutables en Windows. Eso explica por qué distintas firmas usan nombres distintos para el mismo fichero. No hay información pública concluyente que apunte a una única campaña o vector de entrada para esta muestra; lo más razonable es leerla como una amenaza orientada a propagarse mediante ejecutables y medios extraíbles, con capacidad de dejar carga secundaria.

Un detalle útil: el nombre nottepad.exe intenta parecerse a una aplicación legítima. Esa imitación visual es una táctica común para que el usuario haga doble clic sin pensar. Si el nombre parece una app conocida pero está mal escrito, desconfía de inmediato.

Lecturas recomendadas

Cómo prevenir infecciones futuras

  • Escanea cualquier USB antes de abrir archivos.
  • No ejecutes .exe, .scr ni instaladores desde memorias que no controlas.
  • Evita compartir pendrives entre equipos sin revisión previa.
  • Mantén Windows y tu antivirus convencional actualizados.
  • Desconfía de archivos con nombres engañosos o parecidos a programas reales.
  • Usa USB-AV Antivirus como capa de prevención para revisar el dispositivo extraíble antes de conectarlo al equipo principal.
  • Haz copias de seguridad periódicas para reducir el impacto si algo se daña.
  • Si trabajas con varios equipos, separa USBs de uso personal y USBs de trabajo.

Preguntas frecuentes

¿USB-AV puede eliminarla si la detecta al conectar el USB?

Sí, en el USB. Ese es precisamente el escenario para el que USB-AV está diseñado: detectar y limpiar la amenaza en el dispositivo extraíble al conectarlo.

¿USB-AV desinfecta Windows si ya está instalado?

No. Si el malware ya está dentro de Windows, necesitas un antivirus convencional para limpiar el sistema operativo.

¿Basta con borrar el archivo sospechoso?

No siempre. Algunas amenazas dejan copias o cambios secundarios. Lo correcto es revisar el USB y, si hubo ejecución en Windows, analizar también el equipo completo.

Escanea tus dispositivos USB con USB-AV Antivirus antes de conectarlos.