{"id":298,"date":"2026-04-22T02:05:35","date_gmt":"2026-04-22T06:05:35","guid":{"rendered":"https:\/\/usbavfree.com\/threats\/worm-zusy-sality\/"},"modified":"2026-04-22T02:05:35","modified_gmt":"2026-04-22T06:05:35","slug":"worm-zusy-sality","status":"publish","type":"post","link":"https:\/\/usbavfree.com\/threats\/worm-zusy-sality\/","title":{"rendered":"worm.zusy\/sality: c\u00f3mo proteger tu USB y detectarlo"},"content":{"rendered":"<h2>Resumen r\u00e1pido<\/h2>\n<p>La muestra se identifica como <strong>worm.zusy\/sality<\/strong>. Un gusano es un tipo de malware capaz de replicarse y propagarse por s\u00ed solo; en familias como esta el blanco frecuente suele ser Windows y los ejecutables del sistema. En esta revisi\u00f3n el riesgo se considera <strong>alto<\/strong>: la tasa de detecciones es de 64\/77, una se\u00f1al clara de amenaza.<\/p>\n<p>El nombre remitente apunta a la familia <strong>Zusy\/Sality<\/strong>, famosa por infectar ejecutables de Windows y moverse con facilidad entre equipos y unidades extra\u00edbles. El fichero analizado se llama <strong>nottepad.exe<\/strong>, un nombre que aparentemente busca hacerse pasar por un archivo leg\u00edtimo para confundir al usuario.<\/p>\n<h2>Qu\u00e9 hace esta amenaza (explicado f\u00e1cil)<\/h2>\n<p>Con lo que hay p\u00fablico y los rasgos t\u00e9cnicos observados, lo m\u00e1s sensato es considerarla malware de propagaci\u00f3n dirigido a Windows. Los indicadores se\u00f1alan un comportamiento tipo <strong>spreader<\/strong> \u2014es decir, algo que se encarga de expandirse a otros archivos, dispositivos o ubicaciones\u2014. Tambi\u00e9n aparecen indicios de <strong>autorun<\/strong>, una funcionalidad que en muchos casos se aprovecha del arranque autom\u00e1tico de medios extra\u00edbles para ejecutarse sin que el usuario lo note.<\/p>\n<p>La familia Sality suele relacionarse con la infecci\u00f3n de ejecutables .exe y con t\u00e9cnicas de persistencia. Persistencia quiere decir que el malware intenta permanecer activo tras reinicios o al reconectar el medio infectado. En esta muestra adem\u00e1s figura la etiqueta <strong>executes-dropped-file<\/strong>, lo que sugiere que podr\u00eda lanzar otro archivo durante su actividad. No afirmamos con certeza la carga final concreta porque eso no est\u00e1 confirmado de forma s\u00f3lida para este binario en particular.<\/p>\n<p>La fecha de compilaci\u00f3n reportada es <strong>2014-01-02<\/strong> y la primera aparici\u00f3n reportada es <strong>2018-07-20<\/strong>. Esa fecha de compilaci\u00f3n debe leerse como un dato reportado, no como prueba concluyente del momento en que naci\u00f3 la muestra.<\/p>\n<h2>Qu\u00e9 puede pasar si lo ignoras<\/h2>\n<p>Si se deja pasar, este tipo de amenaza puede causar varios problemas indeseados:<\/p>\n<ul>\n<li>Reinfectar el mismo USB cada vez que se conecte.<\/li>\n<li>Pasar a otros equipos si el archivo se abre o se copia sin revisar.<\/li>\n<li>Corromper ejecutables leg\u00edtimos y volverlos inestables o inutilizables.<\/li>\n<li>Facilitar que se descarguen o ejecuten otros componentes maliciosos.<\/li>\n<li>Prolongar el problema, porque el medio extra\u00edble puede seguir actuando como veh\u00edculo de reinfecci\u00f3n.<\/li>\n<\/ul>\n<p>En familias como Zusy\/Sality tambi\u00e9n puede haber impacto adicional sobre la seguridad del sistema. Eso puede incluir interferencias con herramientas de defensa, aunque el alcance exacto de esta muestra concreta sigue siendo <strong>Desconocido<\/strong> en varios puntos.<\/p>\n<h2>Se\u00f1ales comunes de infecci\u00f3n<\/h2>\n<ul>\n<li>Aparece un archivo .exe con nombre extra\u00f1o en el USB, o uno que imita programas conocidos.<\/li>\n<li>El USB se comporta de forma lenta o muestra archivos que no deber\u00edan estar ah\u00ed.<\/li>\n<li>Un ejecutable deja de abrirse con normalidad o parece cambiado.<\/li>\n<li>El archivo vuelve a aparecer despu\u00e9s de borrarlo, sobre todo tras reconectar el pendrive.<\/li>\n<li>Se detectan alertas al conectar la memoria USB a Windows.<\/li>\n<li>Otros dispositivos que tocaron ese USB empiezan a mostrar s\u00edntomas parecidos.<\/li>\n<\/ul>\n<h2>Datos t\u00e9cnicos<\/h2>\n<table>\n<thead>\n<tr>\n<th>Campo<\/th>\n<th>Detalle<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>SHA-256<\/td>\n<td>9f609fa1f2700ff84787dc9434a35cd9155dcfdaaf881e8acf0442c03009c24b<\/td>\n<\/tr>\n<tr>\n<td>MD5<\/td>\n<td>840e2a8490042e1d903fed0a162c4ff0<\/td>\n<\/tr>\n<tr>\n<td>Tipo<\/td>\n<td>Win32 EXE<\/td>\n<\/tr>\n<tr>\n<td>Tama\u00f1o<\/td>\n<td>4075520 bytes<\/td>\n<\/tr>\n<tr>\n<td>Nombre del archivo<\/td>\n<td>nottepad.exe<\/td>\n<\/tr>\n<tr>\n<td>Fecha reportada de compilaci\u00f3n<\/td>\n<td>2014-01-02<\/td>\n<\/tr>\n<tr>\n<td>Primera aparici\u00f3n reportada<\/td>\n<td>2018-07-20<\/td>\n<\/tr>\n<tr>\n<td>Compilador<\/td>\n<td>Borland C++<\/td>\n<\/tr>\n<tr>\n<td>Firma digital<\/td>\n<td>Ninguna identificada<\/td>\n<\/tr>\n<tr>\n<td>Imphash<\/td>\n<td>2fa86cb57a5030f9c5607799e33c71ba<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>C\u00f3mo se detecta (nombres de detecci\u00f3n comunes)<\/h2>\n<p>Se suele etiquetar como:<\/p>\n<ul>\n<li>W32.AIDetectMalware<\/li>\n<li>Worm.Win32.Autorun.touu<\/li>\n<li>malicious (high confidence)<\/li>\n<li>Gen:Variant.Ser.Zusy.1599<\/li>\n<li>exe.worm.autorun<\/li>\n<li>Trojan.Ghanarava.16998591422c4ff0<\/li>\n<li>BehavesLike.Win32.Dropper.wh<\/li>\n<li>W32\/Autorun-FSV!840E2A849004<\/li>\n<li>Unsafe<\/li>\n<li>Worm.AutoRun.Win32.141256<\/li>\n<li>Trojan.Win32.Save.a<\/li>\n<li>P2PWorm ( 004bf0fa1 )<\/li>\n<li>Worm:Win32\/Autorun.c054d5c4<\/li>\n<li>win\/malicious_confidence_100% (W)<\/li>\n<li>Win32.Worm.Delf.br<\/li>\n<\/ul>\n<h2>Qu\u00e9 hacer ahora (si lo detectaste)<\/h2>\n<p>Si acabas de conectar el USB y apareci\u00f3 esta amenaza, mant\u00e9n la calma. No abras el archivo. No lo ejecutes. No lo compartas con otros equipos. La prioridad es cortar la propagaci\u00f3n cuanto antes.<\/p>\n<h3>Checklist de 60 segundos<\/h3>\n<ul>\n<li>Desconecta el USB de forma segura.<\/li>\n<li>No hagas doble clic sobre <strong>nottepad.exe<\/strong>.<\/li>\n<li>Escanea el USB con <a href=\"https:\/\/usbavfree.com\">USB-AV Antivirus<\/a>.<\/li>\n<li>Si <a href=\"https:\/\/usbavfree.com\">USB-AV Antivirus<\/a> lo detecta en el USB, elim\u00ednalo o ponlo en cuarentena desde el propio medio.<\/li>\n<li>Si crees que el archivo ya se ejecut\u00f3 en Windows, usa un antivirus convencional para revisar el PC.<\/li>\n<li>Actualiza las definiciones del antivirus de Windows antes del an\u00e1lisis completo.<\/li>\n<li>Si ese pendrive se us\u00f3 en m\u00e1s de un equipo, repite la revisi\u00f3n en todos ellos.<\/li>\n<\/ul>\n<p>Importante: <a href=\"https:\/\/usbavfree.com\">USB-AV Antivirus<\/a> puede eliminar la amenaza cuando la detecta al conectar el USB. Pero <a href=\"https:\/\/usbavfree.com\">USB-AV Antivirus<\/a> no desinfecta Windows si el malware ya qued\u00f3 instalado en el PC. En ese caso hace falta un antivirus convencional en Windows.<\/p>\n<h2>Errores comunes al intentar \u201carreglarlo\u201d<\/h2>\n<ul>\n<li>Buscar el archivo \u201ca ver qu\u00e9 hace\u201d y terminar ejecut\u00e1ndolo.<\/li>\n<li>Borrarlo solo del explorador sin revisar si dej\u00f3 copias en el USB.<\/li>\n<li>Formatear la memoria y olvidar que el PC tambi\u00e9n pudo haber quedado expuesto.<\/li>\n<li>Confiar en que un reinicio arregla todo.<\/li>\n<li>Seguir usando el pendrive en otros equipos sin escanearlo antes.<\/li>\n<\/ul>\n<h2>Datos interesantes<\/h2>\n<p>La familia asociada a esta muestra, <strong>Zusy\/Sality<\/strong>, lleva a\u00f1os apareciendo en an\u00e1lisis de seguridad. Su rasgo m\u00e1s conocido es infectar ejecutables de Windows y favorecer la propagaci\u00f3n entre equipos y unidades extra\u00edbles. Tambi\u00e9n se le asocian mecanismos de comunicaci\u00f3n y persistencia m\u00e1s complejos que los de un malware b\u00e1sico. Eso no implica que esta muestra haga exactamente todo lo observado en otros casos; simplemente encaja con una familia con historial y presencia sostenida.<\/p>\n<p>No hay informaci\u00f3n p\u00fablica concluyente adicional sobre este archivo concreto m\u00e1s all\u00e1 de sus rasgos t\u00e9cnicos y su perfil de detecci\u00f3n. Por eso la recomendaci\u00f3n pr\u00e1ctica sigue siendo la misma: revisar el USB antes de abrir cualquier fichero y mantener protegido el equipo Windows con un antivirus convencional.<\/p>\n<h3>Lecturas recomendadas<\/h3>\n<ul>\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/wdsi\/threats\/malware-encyclopedia-description?Name=Trojan:Win32\/Zusy.HF!MTB&amp;ThreatID=2147949751\">Microsoft Security Intelligence: Trojan:Win32\/Zusy.HF!MTB<\/a><\/li>\n<li><a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.sality\">Malpedia: Sality<\/a><\/li>\n<li><a href=\"https:\/\/www.sentinelone.com\/blog\/zusy-powerpoint-malware-spreads-without-needing-macros\/\">SentinelOne: Zusy PowerPoint Malware Spreads Without Needing Macros<\/a><\/li>\n<li><a href=\"https:\/\/www.huntress.com\/threat-library\/malware\/sality\">Huntress: Sality Malware<\/a><\/li>\n<\/ul>\n<h2>C\u00f3mo prevenir infecciones futuras<\/h2>\n<p>La prevenci\u00f3n empieza por el USB. Antes de abrir archivos desde una memoria desconocida, escan\u00e9ala con <a href=\"https:\/\/usbavfree.com\">USB-AV Antivirus<\/a>. Si el medio trae un ejecutable con nombre raro, mejor no fiarse. Un nombre que parece \u201cnormal\u201d no garantiza que sea seguro.<\/p>\n<p>Adem\u00e1s, conviene seguir estas pr\u00e1cticas:<\/p>\n<ul>\n<li>No abras archivos .exe de origen dudoso.<\/li>\n<li>Mant\u00e9n Windows y tu antivirus convencional actualizados.<\/li>\n<li>Evita reutilizar pendrives entre muchos equipos sin revisi\u00f3n previa.<\/li>\n<li>Desactiva el inicio autom\u00e1tico de medios extra\u00edbles desde la configuraci\u00f3n de Windows.<\/li>\n<li>Haz copias de seguridad peri\u00f3dicas de lo importante.<\/li>\n<li>Escanea tambi\u00e9n los archivos descargados de Internet antes de moverlos al USB.<\/li>\n<li>Si trabajas con varios equipos, usa una rutina fija: conectar, escanear, revisar y solo despu\u00e9s abrir.<\/li>\n<\/ul>\n<p>La clave no es confiar en un solo control. Lo m\u00e1s seguro es combinar un escaneo espec\u00edfico del USB con un antivirus convencional en Windows.<\/p>\n<h2>Preguntas frecuentes<\/h2>\n<p><strong>\u00bfUSB-AV puede eliminarla si la detecta al conectar el USB?<\/strong><br \/>S\u00ed, en el USB. <a href=\"https:\/\/usbavfree.com\">USB-AV Antivirus<\/a> puede actuar sobre la amenaza cuando aparece en la memoria conectada.<\/p>\n<p><strong>\u00bfUSB-AV desinfecta Windows si ya est\u00e1 instalado?<\/strong><br \/>No. Si el malware ya se ejecut\u00f3 en el PC, hace falta un antivirus convencional para Windows.<\/p>\n<p><strong>\u00bfPuedo volver a usar el pendrive despu\u00e9s?<\/strong><br \/>S\u00ed, pero solo despu\u00e9s de escanearlo y confirmar que ya no contiene archivos peligrosos. Si lo usaste en otros equipos, rev\u00edsalos tambi\u00e9n.<\/p>\n<p><strong>Escanea tus dispositivos USB con USB-AV Antivirus antes de conectarlos.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>worm.zusy\/sality: an\u00e1lisis claro, se\u00f1ales, riesgo y qu\u00e9 hacer para proteger tu USB y evitar que se replique.<\/p>\n","protected":false},"author":2,"featured_media":297,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-298","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware"],"_links":{"self":[{"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/posts\/298","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/comments?post=298"}],"version-history":[{"count":0,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/posts\/298\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/media\/297"}],"wp:attachment":[{"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/media?parent=298"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/categories?post=298"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/tags?post=298"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}