Resumen rápido
Trojan.MSIL/Dnoper es un troyano —es decir, malware que se disfraza de programa legítimo para colarse y engañar al usuario. Está asociado a familias como MSIL y Bladabindi. Se presenta camuflado como Windows Explorer.exe, el explorador de archivos de Windows. Con 58 de 76 motores de detección saltando alertas, tiene riesgo alto y severidad alta. Puede ofrecer acceso remoto a atacantes y además robar datos desde USB infectados.
Qué hace esta amenaza (explicado fácil)
La cosa es que este troyano recurre a ofuscadores como ConfuserEx para no ser detectado. Es un ensamblado .NET (o sea, un programa escrito en C# o similar para Windows). Hace varias cosas sospechosas: comprueba entrada del usuario, se “duerme” largos periodos para pasar desapercibido, mira el espacio en disco, usa llamadas a WMI (la herramienta de Windows para gestión remota), detecta si está en entornos de depuración o sandboxes y busca mecanismos de persistencia para quedarse.
En muchos casos dentro de la familia Bladabindi funciona como backdoor: abre una puerta trasera para que atacantes controlen el equipo, exfiltren información sensible o descarguen más malware. No hay detalles confirmados sobre esta variante en concreto, pero lo habitual es que apunte al robo de datos y al acceso remoto.
Qué puede pasar si lo ignoras
Si se ejecuta, puede:
- Dar acceso remoto a hackers.
- Robar contraseñas, archivos y datos personales.
- Descargar ransomware u otros troyanos.
- Monitorear tu actividad vía WMI.
- Persistir tras reinicios, complicando la limpieza.
En USB, infecta el pendrive y se propaga al conectarlo en otros PCs.
Señales comunes de infección
Señales genéricas para troyanos .NET como este:
- Proceso ‘Windows Explorer.exe’ consumiendo CPU o RAM inusual (normalmente es ligero).
- Lentitud general en el PC.
- Conexiones de red inexplicables a IPs desconocidas.
- Archivos .exe en USB con nombres raros como ‘phpUghdNf.exe’.
- Antivirus alertando de heurística MSIL o Bladabindi.
- Espacio en disco cambiando sin razón.
Datos técnicos
| Propiedad | Valor |
|---|---|
| SHA256 | 5f3cb21eb789ea23f470556c733a1dc2e47999daaf33339921db980e4942fa39 |
| MD5 | 1226dcb91c23c3cda9af983854a14317 |
| Tipo | Win32 EXE (PE32 executable Intel 80386 Mono/.Net assembly) |
| Tamaño | 373248 bytes |
| Nombre archivo | Windows Explorer.exe (y variantes como phpUghdNf.exe) |
| Primera vista | Fecha reportada: 2019-08-22 |
| Compilado | Fecha reportada: 2019-07-10 |
| Compilador | Confuser, .NET, Microsoft Linker |
Cómo se detecta (nombres de detección comunes)
- Trojan.MSIL.Dnoper (ALYac)
- Gen:Heur.MSIL.Bladabindi.1 (eScan, VIPRE, BitDefender)
- Trojan.Win32.Dnoper.4!c (Lionic)
- exe.trojan.msil (CTX)
- Trojan.YakbeexMSIL.ZZ4 (CAT-QuickHeal)
- Trojan Horse (Symantec)
- win/malicious_confidence_100% (CrowdStrike)
- Otros: W32.Common.38D2FCB8 (Bkav), Unsafe (Cylance)
Qué hacer ahora (si lo detectaste)
Actúa rápido. No intentes comandos avanzados si no eres experto.
Checklist de 60 segundos
- Desconecta el USB inmediatamente.
- Escanea el USB con USB-AV Antivirus: elimina la amenaza directamente en el pendrive.
- En Windows, ejecuta tu antivirus convencional (como Windows Defender) en modo completo.
- Cambia contraseñas desde un PC limpio.
- Monitorea cuentas bancarias.
Nota: USB-AV limpia USB al conectarlos, pero no desinfecta Windows si ya está instalado. Usa antivirus para el PC.
Errores comunes al intentar “arreglarlo”
- Ignorar y seguir usando el USB: propaga a otros PCs.
- Reiniciar sin escanear: la persistencia puede mantenerlo activo.
- Descargar ‘limpiadores’ de sitios dudosos: generalmente instala más malware.
- No cambiar contraseñas: los datos robados se usan después.
- Confiar solo en Windows Defender sin USB-AV: no cubre pendrives a tiempo.
Datos interesantes
La familia MSIL/Bladabindi es conocida por funcionar como backdoor. Frecuentemente se propaga vía unidades removibles infectadas. Emplea ConfuserEx para ofuscación, algo habitual en malware .NET. Se le viene detectando desde 2019. No hay campañas específicas confirmadas para este hash.
Lecturas recomendadas
Cómo prevenir infecciones futuras
- Escanea siempre USB con USB-AV Antivirus antes de abrir.
- No abras .exe de emails o USB desconocidos.
- Usa antivirus actualizado en Windows.
- Habilita firewall y protecciones en tiempo real.
- Evita sitios piratas o descargas dudosas.
- Actualiza Windows regularmente.
Preguntas frecuentes
¿USB-AV puede eliminarla si la detecta al conectar el USB? Sí, USB-AV Antivirus la elimina directamente del USB.
¿USB-AV desinfecta Windows si ya está instalado? No. Para Windows, usa un antivirus convencional.
¿Es peligroso en pendrives? Sí, se ejecuta al abrir y se propaga.
Escanea tus dispositivos USB con USB-AV Antivirus antes de conectarlos.