Enviado por dtorres el Vie, 31/05/2019 - 15:20

 

Andromeda afecta a ordenadores con sistema operativo Windows. Los ordenadores infectados con este malware pasan a ser parte de una botnet, los cuales son capaces de descargar datos y configuraciones de sitios remotos y ejecutar archivos arbitrarios.

Las funcionalidades de la botnet incluyen:

  • Descargar y ejecutar software adicional.
  • Robo de credenciales de acceso a algunos sitios web.
  • Creación de proxy de salida en la máquina infectada.

¿Como realizar la limpieza?

El primer paso para realizar la desinfección es identificar cual es el equipo afectado. Los datos que aparecen en el reporte que se les envía: fecha y hora (en UTC) de la detección del incidente, ayudarán a la identificación de las estaciones de trabajo infectadas.

Una vez detectado el equipo infectado realizar la limpieza:

1. Descargar y desinfectar con: http://www.kaspersky.com/antivirus-removal-tool?form=1

  • Después de iniciar el programa debe cambiar los parámetros de análisis:
antivirus

 

  • Luego el programa escaneara todo su sistema:
antivirus

 

  • Cuando finalice el escaneo, el programa mostrara todos los archivo sospechosos. Seleccione eliminar los mismos:

antivirus

 

  • Finalmente el programa mostrara que los elementos sospechosos fueron eliminados
antivirus

De forma alternativa se puede usar:

http://www.sophos.com/es-es/products/free-tools/virus-removal-tool.aspx



2. Descargar y limpiar con: https://security.symantec.com/nbrt/npe.aspx

  • Inicie la aplicación y seleccionar "Analizar en busca de riesgos"

antivirus

 

  • Aceptar reiniciar para realizar el escaneo
antivirus

 

 

  • Despues de realizar el reinicio, el programa efectuara el escaneo. Luego debera seleccionar la acción "eliminar" y luego "reparar"

antivirus

 

  • Finalmente el programa le pedirá reiniciar el equipo.

antivirus

 

Alternativamente puede usar:

http://pandacloudcleaner.pandasecurity.com/



3. En caso de detectar cualquier malware de la siguiente lista, debera cambiar los passwords de servicios en linea (correos, redes sociales, banca en linea, etc) ya que estos pueden haber sido comprometidos:

- andromeda

- suppobox

- tinba

- nymaim

- necurs

- matsnu

- Avalanche

 

Recuerda que estas herramientas no sustituyen en ningún caso  a los sistemas antivirus o anti-malware.


Referencias:

https://www.us-cert.gov/ncas/alerts/TA16-336A

https://www.osi.es/es/servicio-antibotnet/info/andromeda