{"id":300,"date":"2026-04-22T02:06:06","date_gmt":"2026-04-22T06:06:06","guid":{"rendered":"https:\/\/usbavfree.com\/threats\/worm-zusy-sality-2\/"},"modified":"2026-04-22T02:06:06","modified_gmt":"2026-04-22T06:06:06","slug":"worm-zusy-sality-2","status":"publish","type":"post","link":"https:\/\/usbavfree.com\/threats\/worm-zusy-sality-2\/","title":{"rendered":"worm.zusy\/sality: an\u00e1lisis y c\u00f3mo proteger tu USB"},"content":{"rendered":"<h2>Resumen r\u00e1pido<\/h2>\n<p><strong>worm.zusy\/sality<\/strong> es un gusano, dentro de la familia <strong>Zusy\/Sality<\/strong>. En la pr\u00e1ctica, estamos ante un malware pensado para propagarse y para dejar abiertas varias v\u00edas de da\u00f1o. El riesgo: <strong>alto<\/strong>, porque la tasa de detecci\u00f3n es 64\/77 \u2014eso apunta a una se\u00f1al consistente de actividad maliciosa.<\/p>\n<p>Para quien no se menea en nombres t\u00e9cnicos, lo relevante no es el sello sino el efecto: puede infectar ejecutables, tratar de copiarse a otros medios y convertir un USB en un vector de propagaci\u00f3n. <a href=\"https:\/\/usbavfree.com\">USB-AV Antivirus<\/a> ayuda a limpiar la amenaza en el USB cuando lo conectas. Si Windows ya qued\u00f3 infectado, hace falta un antivirus convencional para desinfectar el sistema.<\/p>\n<p><strong>En pocas palabras:<\/strong> no lo trates como un fichero inocuo ni como una alerta cualquiera. Si aparece en un pendrive, pi\u00e9nsalo como si ese USB pudiera volver a llevar la amenaza a otros equipos.<\/p>\n<h2>Qu\u00e9 hace esta amenaza (explicado f\u00e1cil)<\/h2>\n<p>Un <strong>gusano<\/strong> es malware que busca copiarse y moverse solo. Un <strong>troyano<\/strong> parece leg\u00edtimo, pero hace otra cosa por detr\u00e1s. En esta familia se mezclan ambos enfoques: propagaci\u00f3n, uso de ejecutables y capacidad para dejar cargas adicionales.<\/p>\n<p>En esta muestra concreta, los indicadores p\u00fablicos m\u00e1s claros apuntan a un EXE de Windows con conducta propagadora. Los rasgos marcados como <strong>spreader<\/strong> y <strong>executes-dropped-file<\/strong> encajan con un malware que se apoya en ficheros que deja caer o que ejecuta para seguir funcionando. \u201cDropped file\u201d es, vamos, un archivo secundario que el malware crea o lanza para continuar su actividad.<\/p>\n<p>La familia <strong>Zusy\/Sality<\/strong> suele actuar sobre ejecutables de Windows. No quiere decir que todas las variantes hagan exactamente lo mismo \u2014ojo\u2014 pero s\u00ed que, en muchos casos, el objetivo es expandir la infecci\u00f3n, complicar la limpieza y mantenerse presente en el equipo o en dispositivos conectados.<\/p>\n<p>Lo m\u00e1s sensato es asumir que la amenaza puede afectar primero al USB o a un archivo abierto desde el USB y despu\u00e9s intentar extenderse. Por eso limpiar el dispositivo extra\u00edble es tan importante.<\/p>\n<h2>Qu\u00e9 puede pasar si lo ignoras<\/h2>\n<ul>\n<li>El USB puede seguir siendo fuente de reinfecci\u00f3n cada vez que lo conectes.<\/li>\n<li>Ejecutables del dispositivo pueden quedar da\u00f1ados o alterados.<\/li>\n<li>Otros equipos quedan expuestos si usan el mismo pendrive o memoria USB.<\/li>\n<li>Pueden quedar componentes secundarios que complican la revisi\u00f3n manual.<\/li>\n<li>Cuanto m\u00e1s tiempo est\u00e9 activa la amenaza, m\u00e1s dif\u00edcil ser\u00e1 limpiarla.<\/li>\n<\/ul>\n<p>En casa suele traducirse en desconfianza hacia el USB y en p\u00e9rdida de tiempo revisando ficheros. En entornos de trabajo el impacto es mayor: un solo dispositivo compartido puede tocar varias estaciones si se usa sin control.<\/p>\n<h2>Se\u00f1ales comunes de infecci\u00f3n<\/h2>\n<ul>\n<li>El USB muestra archivos raros o nombres que no recuerdas haber creado.<\/li>\n<li>Un ejecutable del pendrive deja de abrirse con normalidad o parece modificado.<\/li>\n<li>El dispositivo tarda m\u00e1s de lo habitual en mostrar su contenido.<\/li>\n<li>Ves copias inesperadas de archivos en el medio extra\u00edble.<\/li>\n<li>Tu equipo se comporta de forma extra\u00f1a tras abrir un archivo del USB.<\/li>\n<li>El archivo sospechoso parece un programa de Windows aunque ven\u00eda en la memoria USB.<\/li>\n<\/ul>\n<p>Estas se\u00f1ales no confirman por s\u00ed solas la infecci\u00f3n, pero s\u00ed justifican una revisi\u00f3n inmediata. Si el archivo sali\u00f3 del USB y a\u00fan no lo abriste en Windows, el momento de actuar es ahora.<\/p>\n<h2>Datos t\u00e9cnicos<\/h2>\n<table>\n<thead>\n<tr>\n<th>Campo<\/th>\n<th>Detalle<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>SHA256<\/td>\n<td>9f609fa1f2700ff84787dc9434a35cd9155dcfdaaf881e8acf0442c03009c24b<\/td>\n<\/tr>\n<tr>\n<td>MD5<\/td>\n<td>840e2a8490042e1d903fed0a162c4ff0<\/td>\n<\/tr>\n<tr>\n<td>Tipo<\/td>\n<td>Win32 EXE<\/td>\n<\/tr>\n<tr>\n<td>Tama\u00f1o<\/td>\n<td>4075520 bytes<\/td>\n<\/tr>\n<tr>\n<td>Nombre del archivo<\/td>\n<td>nottepad.exe<\/td>\n<\/tr>\n<tr>\n<td>Fecha de compilaci\u00f3n reportada<\/td>\n<td>2014-01-02<\/td>\n<\/tr>\n<tr>\n<td>Primera observaci\u00f3n reportada<\/td>\n<td>2018-07-20<\/td>\n<\/tr>\n<tr>\n<td>Compiler<\/td>\n<td>Borland C++<\/td>\n<\/tr>\n<tr>\n<td>Firma digital<\/td>\n<td>Desconocido<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Tambi\u00e9n aparece un nombre alternativo de muestra: <strong>840e2a8490042e1d903fed0a162c4ff0.virus<\/strong>. Eso no prueba por s\u00ed solo la intenci\u00f3n del fichero, pero ayuda a entender c\u00f3mo rotulan algunos ejemplares en an\u00e1lisis t\u00e9cnico.<\/p>\n<h2>C\u00f3mo se detecta (nombres de detecci\u00f3n comunes)<\/h2>\n<p>Se suele etiquetar como:<\/p>\n<ul>\n<li>Worm.Win32.Autorun.touu<\/li>\n<li>Gen:Variant.Ser.Zusy.1599<\/li>\n<li>exe.worm.autorun<\/li>\n<li>Trojan.Ghanarava.16998591422c4ff0<\/li>\n<li>BehavesLike.Win32.Dropper.wh<\/li>\n<li>W32\/Autorun-FSV!840E2A849004<\/li>\n<li>Worm.AutoRun.Win32.141256<\/li>\n<li>Trojan.Win32.Save.a<\/li>\n<li>P2PWorm (004bf0fa1)<\/li>\n<li>Win32.Worm.Delf.br<\/li>\n<\/ul>\n<p>Lo importante es el patr\u00f3n: algunas detecciones lo tratan como gusano, otras como troyano o dropper. \u201cDropper\u201d es un cargador que instala otra carga maliciosa. Esa mezcla aparece cuando una familia cumple varias funciones y no encaja en una sola etiqueta.<\/p>\n<h2>Qu\u00e9 hacer ahora (si lo detectaste)<\/h2>\n<p>Si ya viste este archivo en un USB, no lo abras otra vez. Desconecta el dispositivo con seguridad y p\u00e1salo por un an\u00e1lisis completo. Si ya se ejecut\u00f3 en Windows, considera que el USB y el equipo deben revisarse por separado.<\/p>\n<h3>Checklist de 60 segundos<\/h3>\n<ul>\n<li>Desconecta el USB del equipo.<\/li>\n<li>No copies nada desde ese pendrive a otro ordenador.<\/li>\n<li>Revisa el USB con una herramienta de limpieza para dispositivos extra\u00edbles.<\/li>\n<li>Si el archivo se abri\u00f3 en Windows, usa un antivirus convencional para analizar el sistema completo.<\/li>\n<li>Elimina accesos directos, copias sospechosas y archivos que no reconozcas.<\/li>\n<li>Cambia contrase\u00f1as solo si confirmas que hubo exposici\u00f3n en el equipo, no solo en el USB.<\/li>\n<\/ul>\n<p><strong>USB-AV Antivirus s\u00ed puede eliminar la amenaza cuando la detecta en el USB al conectarlo.<\/strong> Eso ayuda a cortar la reinfecci\u00f3n desde el dispositivo extra\u00edble. <strong>USB-AV Antivirus no desinfecta Windows si el malware ya est\u00e1 instalado en el PC<\/strong>; en ese caso, la limpieza debe hacerla un antivirus convencional en el sistema operativo.<\/p>\n<p>Si compartes memorias USB con trabajo, estudio o casa, revisa tambi\u00e9n el equipo desde el que apareci\u00f3 el archivo. Si no lo haces, puedes limpiar un pendrive y volver a infectarlo luego.<\/p>\n<h2>Errores comunes al intentar \u201carreglarlo\u201d<\/h2>\n<ul>\n<li>Formatear solo el USB y pensar que el problema termin\u00f3.<\/li>\n<li>Abrir el archivo sospechoso \u201cpara ver qu\u00e9 hace\u201d.<\/li>\n<li>Copiar primero los archivos importantes y revisar despu\u00e9s.<\/li>\n<li>Borrar solo el ejecutable visible sin comprobar si dej\u00f3 copias o componentes secundarios.<\/li>\n<li>Creer que una amenaza en el USB desaparece del PC sin revisar Windows.<\/li>\n<\/ul>\n<h2>Datos interesantes<\/h2>\n<p>La familia Zusy\/Sality es conocida por mezclar propagaci\u00f3n y modificaci\u00f3n de ejecutables en Windows. Eso explica por qu\u00e9 distintas firmas usan nombres distintos para el mismo fichero. No hay informaci\u00f3n p\u00fablica concluyente que apunte a una \u00fanica campa\u00f1a o vector de entrada para esta muestra; lo m\u00e1s razonable es leerla como una amenaza orientada a propagarse mediante ejecutables y medios extra\u00edbles, con capacidad de dejar carga secundaria.<\/p>\n<p>Un detalle \u00fatil: el nombre <strong>nottepad.exe<\/strong> intenta parecerse a una aplicaci\u00f3n leg\u00edtima. Esa imitaci\u00f3n visual es una t\u00e1ctica com\u00fan para que el usuario haga doble clic sin pensar. Si el nombre parece una app conocida pero est\u00e1 mal escrito, desconf\u00eda de inmediato.<\/p>\n<h3>Lecturas recomendadas<\/h3>\n<ul>\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/wdsi\/threats\/malware-encyclopedia-description?Name=Trojan:Win32\/Zusy.HF!MTB\">Microsoft Security Intelligence: Trojan:Win32\/Zusy.HF!MTB<\/a><\/li>\n<li><a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.sality\">Malpedia: Sality<\/a><\/li>\n<li><a href=\"https:\/\/www.sentinelone.com\/blog\/zusy-powerpoint-malware-spreads-without-needing-macros\/\">SentinelOne: Zusy malware analysis<\/a><\/li>\n<li><a href=\"https:\/\/www.opswat.com\/blog\/no-macros-needed-zusy-malware-spreads-legitimate-powerpoint-feature\">OPSWAT: Zusy malware propagation overview<\/a><\/li>\n<\/ul>\n<h2>C\u00f3mo prevenir infecciones futuras<\/h2>\n<ul>\n<li>Escanea cualquier USB antes de abrir archivos.<\/li>\n<li>No ejecutes .exe, .scr ni instaladores desde memorias que no controlas.<\/li>\n<li>Evita compartir pendrives entre equipos sin revisi\u00f3n previa.<\/li>\n<li>Mant\u00e9n Windows y tu antivirus convencional actualizados.<\/li>\n<li>Desconf\u00eda de archivos con nombres enga\u00f1osos o parecidos a programas reales.<\/li>\n<li>Usa <a href=\"https:\/\/usbavfree.com\">USB-AV Antivirus<\/a> como capa de prevenci\u00f3n para revisar el dispositivo extra\u00edble antes de conectarlo al equipo principal.<\/li>\n<li>Haz copias de seguridad peri\u00f3dicas para reducir el impacto si algo se da\u00f1a.<\/li>\n<li>Si trabajas con varios equipos, separa USBs de uso personal y USBs de trabajo.<\/li>\n<\/ul>\n<h2>Preguntas frecuentes<\/h2>\n<h3>\u00bfUSB-AV puede eliminarla si la detecta al conectar el USB?<\/h3>\n<p>S\u00ed, en el USB. Ese es precisamente el escenario para el que USB-AV est\u00e1 dise\u00f1ado: detectar y limpiar la amenaza en el dispositivo extra\u00edble al conectarlo.<\/p>\n<h3>\u00bfUSB-AV desinfecta Windows si ya est\u00e1 instalado?<\/h3>\n<p>No. Si el malware ya est\u00e1 dentro de Windows, necesitas un antivirus convencional para limpiar el sistema operativo.<\/p>\n<h3>\u00bfBasta con borrar el archivo sospechoso?<\/h3>\n<p>No siempre. Algunas amenazas dejan copias o cambios secundarios. Lo correcto es revisar el USB y, si hubo ejecuci\u00f3n en Windows, analizar tambi\u00e9n el equipo completo.<\/p>\n<p><strong>Escanea tus dispositivos USB con USB-AV Antivirus antes de conectarlos.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>worm.zusy\/sality: aprende qu\u00e9 hace, se\u00f1ales, riesgos y c\u00f3mo actuar si lo detectas en un USB o en Windows.<\/p>\n","protected":false},"author":2,"featured_media":299,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-300","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware"],"_links":{"self":[{"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/posts\/300","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/comments?post=300"}],"version-history":[{"count":0,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/posts\/300\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/media\/299"}],"wp:attachment":[{"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/media?parent=300"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/categories?post=300"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/usbavfree.com\/threats\/wp-json\/wp\/v2\/tags?post=300"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}