Trojan Occamy/Siphost: Detecta y Elimina esta Amenaza

Resumen rápido

El troyano Occamy/Siphost es un programa malicioso que se camufla como un archivo inocente para colarse en sistemas. Forma parte de la familia Occamy y ataca Windows. Representa un riesgo alto —sí, alto—: 50 de 76 motores de detección lo etiquetan como malicioso. Si se ejecuta, puede sustraer información sensible.

Qué hace esta amenaza (explicado fácil)

Funciona en segundo plano sin hacer ruido ni avisos evidentes. Roba contraseñas, datos bancarios y registros de teclado o navegación. Muchas muestras se conectan a servidores remotos para exfiltrar lo que pillan. Además —y esto es importante— puede descargar más malware o incorporar tu PC a una botnet, es decir, a una red de equipos controlados por atacantes.

Se camufla en archivos con nombres como sihost.exe o incluso como fotos (p. ej. W7 Photo.exe). Viene comprimido con UPX, una técnica común para intentar eludir la detección inicial.

Qué puede pasar si lo ignoras

Robo de cuentas bancarias y de identidad. Pérdida de privacidad personal. Tu máquina puede terminar usada para lanzar ataques contra terceros. También puede desembocar en instalación de ransomware (que cifra y bloquea tus archivos) o en la presencia de spyware adicional. En casos graves, hay consecuencias económicas o incluso legales si tu equipo participa en fraudes.

Señales comunes de infección

  • Procesos extraños en el Administrador de Tareas (por ejemplo, un sihost.exe sospechoso).
  • El equipo va lento sin motivo aparente.
  • Actividad de red elevada cuando no estás navegando mucho.
  • Pop-ups inesperados o cambios de contraseñas sin que tú los hayas hecho.
  • El antivirus lanza alertas de troyanos genéricos.

Datos técnicos

Propiedad Valor
SHA256 16def6637b3014a12d691d073f2abd4713decbe83daac5dc2f371d91c036a201
MD5 decaea6a249202913a5c862d7427b1f8
Tipo Win32 EXE (PE32 executable GUI, Intel 80386, MS Windows, UPX compressed)
Tamaño 37888 bytes
Nombre del archivo sihost.exe (y variantes como W7 Photo.exe)
Fecha reportada primera vista 2017-11-10
Fecha compilada reportada 2017-11-09
Compilador/Firma UPX, Microsoft Linker

Cómo se detecta (nombres de detección comunes)

  • Bkav: W32.Common.80842263
  • Lionic: Trojan.Win32.Occamy.4!c
  • Cynet: Malicious (score: 100)
  • CTX: exe.trojan.occamy
  • ALYac: Trojan.GenericKD.77516909
  • Cylance: Unsafe
  • VIPRE: Trojan.GenericKD.77516909
  • Sangfor: Suspicious.Win32.Save.a
  • CrowdStrike: win/malicious_confidence_100% (W)
  • BitDefender: Trojan.GenericKD.77516909
  • K7GW: Trojan (0060d8011)
  • K7AntiVirus: Trojan (0060d8011)
  • Arcabit: Trojan.Generic.D49ED06D
  • VirIT: Trojan.Win32.Genus.YYX
  • Symantec: ML.Attribute.HighConfidence
  • Elastic: malicious (moderate confidence)

Qué hacer ahora (si lo detectaste)

Actúa rápido, pero sin pánico. No ignores las alertas, en serio.

Checklist de 60 segundos

  • Desconecta internet para cortar el envío de datos.
  • Escanea cualquier USB con USB-AV Antivirus si vino por ahí (elimínalo del USB).
  • Actualiza y ejecuta un escaneo completo con tu antivirus de Windows.
  • Reinicia en Modo Seguro y vuelve a escanear.
  • Cambia contraseñas desde otro equipo limpio.

Nota: USB-AV Antivirus elimina amenazas en USB al conectarlo, pero no desinfecta Windows si el malware ya está instalado. Para el sistema usa un antivirus convencional.

Errores comunes al intentar “arreglarlo”

  • Ignorar la alerta y seguir usando el equipo: eso permite que el robo continúe.
  • Borrar solo el archivo visible: a menudo quedan rastros y payloads.
  • Desactivar el antivirus para “probar”: básicamente abres la puerta a más infecciones.
  • No cambiar contraseñas: la información robada se usa con el tiempo.
  • Usar herramientas no confiables sin hacer un respaldo previo.

Datos interesantes

La familia Occamy es conocida por sus capacidades de control remoto. Muchas variantes operan silenciosamente para robar credenciales bancarias. Se suele propagar vía emails de phishing con adjuntos o descargas maliciosas. Fuentes fiables confirman que puede espiar y unir equipos a botnets.

Lecturas recomendadas

Cómo prevenir infecciones futuras

  • No abras adjuntos de correos desconocidos.
  • Descarga software solo desde sitios oficiales.
  • Usa USB-AV Antivirus para escanear USB antes de conectarlos.
  • Mantén Windows y tu antivirus actualizados.
  • Activa el firewall y evita cracks o software pirata.
  • Usa contraseñas robustas y activa 2FA.

Preguntas frecuentes

¿USB-AV puede eliminarla si la detecta al conectar el USB? Sí: si la amenaza está en la unidad, la elimina directamente del USB.

¿USB-AV desinfecta Windows si ya está instalado? No. Para limpiar Windows necesitas un antivirus completo en el sistema.

¿Es difícil remover Occamy? Requiere un escaneo integral; en ocasiones el Modo Seguro facilita la limpieza.

Escanea tus dispositivos USB con USB-AV Antivirus antes de conectarlos.