{"id":271,"date":"2026-02-13T06:20:10","date_gmt":"2026-02-13T11:20:10","guid":{"rendered":"https:\/\/usbavfree.com\/threats\/trojan-graftor-keylogger\/"},"modified":"2026-02-13T06:20:10","modified_gmt":"2026-02-13T11:20:10","slug":"trojan-graftor-keylogger","status":"publish","type":"post","link":"https:\/\/usbavfree.com\/threats\/trojan-graftor-keylogger\/","title":{"rendered":"Trojan.Graftor\/Keylogger: Qu\u00e9 es y C\u00f3mo Protegerte"},"content":{"rendered":"<h2>Resumen r\u00e1pido<\/h2>\n<p>Un <strong>troyano<\/strong> (o trojan) es un tipo de malware que se hace pasar por software leg\u00edtimo para enga\u00f1arte. Se clasifica como Trojan.Graftor\/Keylogger, parte de la familia Graftor. Funciona como <strong>keylogger<\/strong>: registra cada tecla que pulsas para robar contrase\u00f1as y datos personales.<\/p>\n<p>Importa porque 56 de 76 an\u00e1lisis lo marcan como malicioso. Riesgo <strong>alto<\/strong>. Puede adem\u00e1s instalar m\u00e1s malware o enviar informaci\u00f3n a atacantes.<\/p>\n<h2>Qu\u00e9 hace esta amenaza (explicado f\u00e1cil)<\/h2>\n<p>Este troyano emplea t\u00e9cnicas para camuflarse. Detecta entornos de depuraci\u00f3n \u2014es decir, evita que lo analicen en sandboxes\u2014 y hace llamadas a WMI (Windows Management Instrumentation, el servicio de Windows para gestionar sistemas).<\/p>\n<p>Como keylogger de la familia Graftor, normalmente registra teclas (keystrokes), realiza capturas de pantalla y puede monitorizar actividad de red. En muchos casos termina instalando adware u otros troyanos. No hay detalles confirmados del payload exacto para esta muestra concreta, pero la familia Graftor suele desplegar software no deseado.<\/p>\n<p>Compilado con Borland Delphi en 2012 (fecha reportada). Primer avistamiento reportado en 2026. Tama\u00f1o de 1.2 MB, t\u00edpico de ejecutables Windows.<\/p>\n<h2>Qu\u00e9 puede pasar si lo ignoras<\/h2>\n<p>Robo de contrase\u00f1as, datos bancarios o correos. Puede abrir la puerta a ransomware u otras infecciones. Tu PC puede volverse lento, con uso alto de recursos. En casos de la familia Graftor, instala adware que muestra anuncios intrusivos o incluso miners de cripto (una detecci\u00f3n menciona CoinMiner).<\/p>\n<p>Impacto t\u00edpico: p\u00e9rdida de privacidad, robo financiero y posible control remoto del equipo.<\/p>\n<h2>Se\u00f1ales comunes de infecci\u00f3n<\/h2>\n<ul>\n<li>Lentitud inexplicable en el PC.<\/li>\n<li>Procesos desconocidos en el Administrador de Tareas (como nombres raros: php0hiwYj.exe).<\/li>\n<li>Uso alto de CPU o red sin raz\u00f3n aparente.<\/li>\n<li>Antivirus que alerta de troyano o keylogger.<\/li>\n<li>Cambios en contrase\u00f1as o accesos no autorizados.<\/li>\n<li>Pop-ups o redirecciones extra\u00f1as en el navegador.<\/li>\n<\/ul>\n<h2>Datos t\u00e9cnicos<\/h2>\n<table>\n<thead>\n<tr>\n<th>Propiedad<\/th>\n<th>Valor<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>SHA256<\/td>\n<td>ef60f936e522dbe5f014abbc4be41d86643e990f66001eb7585d0144f7d4211a<\/td>\n<\/tr>\n<tr>\n<td>MD5<\/td>\n<td>3053f317aa64312784b17ae385b81792<\/td>\n<\/tr>\n<tr>\n<td>Tipo<\/td>\n<td>Win32 EXE (PE32 executable GUI Intel 80386, for MS Windows)<\/td>\n<\/tr>\n<tr>\n<td>Tama\u00f1o<\/td>\n<td>1240195 bytes (1.2 MB)<\/td>\n<\/tr>\n<tr>\n<td>Nombre archivo<\/td>\n<td>php0hiwYj.exe (otros: phpnjcTTn, jwyz828e1.exe, phptlfSCZ)<\/td>\n<\/tr>\n<tr>\n<td>Fecha compilaci\u00f3n reportada<\/td>\n<td>2012-11-16<\/td>\n<\/tr>\n<tr>\n<td>Primer visto reportado<\/td>\n<td>2026-02-12<\/td>\n<\/tr>\n<tr>\n<td>Compilador<\/td>\n<td>Borland Delphi<\/td>\n<\/tr>\n<tr>\n<td>ImpHash<\/td>\n<td>40fcea7007c743b8ee39d1ea123ad325<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>C\u00f3mo se detecta (nombres de detecci\u00f3n comunes)<\/h2>\n<ul>\n<li>Gen:Variant.Graftor.939508<\/li>\n<li>Trojan.Win32.Generic.lhQR<\/li>\n<li>Generic.Malware<\/li>\n<li>Win.Malware.CoinMiner-9872527-1<\/li>\n<li>cld.trojanspy.keylogger<\/li>\n<li>BehavesLike.Win32.Infected.th<\/li>\n<li>Trojan (7000000f1)<\/li>\n<li>win\/malicious_confidence_100% (W)<\/li>\n<li>Trojan.Graftor.DE55F4<\/li>\n<li>W32.AIDetectMalware<\/li>\n<\/ul>\n<h2>Qu\u00e9 hacer ahora (si lo detectaste)<\/h2>\n<p>Act\u00faa r\u00e1pido. No ignores las alertas.<\/p>\n<h3>Checklist de 60 segundos<\/h3>\n<ol>\n<li>Desconecta de internet.<\/li>\n<li>Escanea con un antivirus convencional (Windows Defender u otro de confianza).<\/li>\n<li>Si viene de un USB, conecta y usa <a href=\"https:\/\/usbavfree.com\">USB-AV Antivirus<\/a>: elimina del USB autom\u00e1ticamente.<\/li>\n<li>Cambia todas las contrase\u00f1as desde un PC limpio.<\/li>\n<li>Actualiza Windows y el resto de tu software.<\/li>\n<\/ol>\n<p><strong>Nota:<\/strong> <a href=\"https:\/\/usbavfree.com\">USB-AV Antivirus<\/a> limpia los USB al conectarlos. No desinfecta Windows si ya est\u00e1 infectado; para eso usa un antivirus completo.<\/p>\n<h2>Errores comunes al intentar \u201carreglarlo\u201d<\/h2>\n<ul>\n<li><strong>Ignorar porque &#8216;no pasa nada&#8217;:<\/strong> suele actuar en segundo plano.<\/li>\n<li><strong>Borrar archivos manualmente:<\/strong> deja restos o puede reactivarse.<\/li>\n<li><strong>No cambiar contrase\u00f1as:<\/strong> es probable que los datos ya hayan sido robados.<\/li>\n<li><strong>Usar solo el Administrador de Tareas:<\/strong> no elimina la ra\u00edz del problema.<\/li>\n<li><strong>Olvidar el USB:<\/strong> puede reinfectar al reconectarlo.<\/li>\n<\/ul>\n<h2>Datos interesantes<\/h2>\n<p>La familia Graftor circula desde hace a\u00f1os a trav\u00e9s de campa\u00f1as de spam con adjuntos Excel que explotan vulnerabilidades antiguas. Es una mezcla de troyano y adware. Este ejemplo est\u00e1 hecho en Delphi, algo com\u00fan en malware antiguo pero todav\u00eda efectivo.<\/p>\n<p>Como keylogger, est\u00e1 orientado al espionaje. No hay informaci\u00f3n p\u00fablica concluyente sobre campa\u00f1as espec\u00edficas para esta muestra.<\/p>\n<h3>Lecturas recomendadas<\/h3>\n<ul>\n<li><a href=\"https:\/\/www.infoblox.com\/blog\/threat-intelligence\/cyber-campaign-briefs\/graftor-adware-still-circulating\/\">Graftor Adware Still Circulating<\/a><\/li>\n<li><a href=\"https:\/\/www.threatdown.com\/threat-detections\/adware-graftor\/\">Adware.Graftor &#8211; ThreatDown<\/a><\/li>\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/wdsi\/threats\/malware-encyclopedia-description?Name=Trojan:Win32\/Graftor.AGF!MTB\">Trojan:Win32\/Graftor &#8211; Microsoft<\/a><\/li>\n<li><a href=\"https:\/\/www.malwarebytes.com\/blog\/detections\/trojan-keylogger\">Trojan.Keylogger &#8211; Malwarebytes<\/a><\/li>\n<\/ul>\n<h2>C\u00f3mo prevenir infecciones futuras<\/h2>\n<ul>\n<li>No abras adjuntos de correos desconocidos.<\/li>\n<li>Mant\u00e9n Windows siempre actualizado.<\/li>\n<li>Usa un antivirus en el PC y <a href=\"https:\/\/usbavfree.com\">USB-AV Antivirus<\/a> para los USB.<\/li>\n<li>Evita descargar software de sitios dudosos.<\/li>\n<li>Activa el firewall y las protecciones en tiempo real.<\/li>\n<li>Escanea los USB antes de conectarlos con USB-AV: previene al eliminar la amenaza en la memoria.<\/li>\n<li>Usa VPN en redes p\u00fablicas.<\/li>\n<\/ul>\n<h2>Preguntas frecuentes<\/h2>\n<p><strong>\u00bfUSB-AV puede eliminarla si la detecta al conectar el USB?<\/strong> S\u00ed, act\u00faa sobre el USB y la elimina autom\u00e1ticamente.<\/p>\n<p><strong>\u00bfUSB-AV desinfecta Windows si ya est\u00e1 instalado?<\/strong> No. Para Windows necesitas un antivirus convencional como Windows Defender.<\/p>\n<p><strong>\u00bfEs solo para USB o afecta PC?<\/strong> Puede venir en un USB pero termina infectando Windows. USB-AV limpia el stick; protege el PC con un AV completo.<\/p>\n<p><strong>Escanea tus dispositivos USB con <a href=\"https:\/\/usbavfree.com\">USB-AV Antivirus<\/a> antes de conectarlos.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Trojan.Graftor\/Keylogger es un troyano que roba pulsaciones de teclas y datos. Descubre qu\u00e9 hace, se\u00f1ales de alerta y pasos para eliminarlo con USB-AV Antivirus.<\/p>\n","protected":false},"author":2,"featured_media":270,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-271","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-troyanos"],"_links":{"self":[{"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/posts\/271","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/comments?post=271"}],"version-history":[{"count":0,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/posts\/271\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/media\/270"}],"wp:attachment":[{"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/media?parent=271"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/categories?post=271"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/tags?post=271"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}