WshRAT

¿Qué es?

WshRAT, también llamado Wsh o Wsh RAT, es un malware de tipo troyano de acceso remoto (RAT) que se enfoca en infectar dispositivos Windows para controlarlos remotamente y proporcionar una puerta trasera a los atacantes que permite incluirlos como parte de una botnet y realizar otras actividades maliciosas. Se trata de una evolución del malware Houdini.

¿Qué hace?

Este malware, una vez se instala en el equipo, tiene capacidad para realizar las siguientes acciones:

• Accede y roba la información del dispositivo.
• Captura y registra los datos introducidos con el teclado.
• Captura las imágenes de pantalla del dispositivo infectado.
• Crea una clave de registro en el sistema del dispositivo afectado para crear persistencia.
• Deshabilita la protección antivirus del dispositivo infectado.
• Intenta expandirse por la red del dispositivo infectado para infectarlos también.
• Obtiene privilegios de administrador.
• Realiza conexiones con sitios no legítimos y descarga otros ficheros y programas maliciosos.
• Toma el control del dispositivo remotamente.

Sistemas afectados

Los principales dispositivos afectados son:

• Sistemas con Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de la descarga de adjuntos en correos de phishing y de archivos maliciosos de Internet, a través de la explotación de vulnerabilidades conocidas no parcheadas y a través de conexiones con dispositivos extraíbles (USB).

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

• Campaña de Phishing distribuye WSH RAT.
• Double Trouble: RevengeRAT and WSHRAT
• WSHRAT: troyano de acceso remoto capaz de realizar múltiples acciones en un equipo infectado
• Houdini (Malpedia)