Weather Zero es un programa no deseado tipo gotero que se disfraza de widget meteorológico para Windows. Se propaga como software potencialmente no deseado mediante paquetes, y puede entregar malware al sistema de destino. Su apariencia inocente hace que mucha gente lo ignore o crea que es completamente inofensivo y, por lo tanto, tenga poca o ninguna prisa en eliminarlo.. Permítanme explicarles sus peligros en detalle y mostrarles cómo eliminar el programa no deseado del sistema..
Descripción general Zero Weather
Weather Zero parece ser un programa que muestra información meteorológica en tiempo real. A primera vista, parece ser solo un pequeño widget del clima que se encuentra en la esquina inferior derecha. Para ser completamente justo, es menos que útil en Windows moderno 10/11 sistemas, ya que tienen un widget similar integrado directamente en la barra de tareas. Pero el problema clave de la aplicación va mucho más allá de duplicar las funciones del sistema.: tiene algunas capacidades similares a las del malware. De hecho, Weather Zero puede actuar como un cuentagotas., con el objetivo de entregar una carga útil de otro malware al sistema de destino.
La forma más común de propagación de Weather Zero es algún software sospechoso que puedes encontrar en línea.. Modificaciones de juego, entrenadores, trampas, “parches” para juegos más antiguos, o software totalmente pirateado: todo esto generalmente proviene de desarrolladores anónimos que son libres de inyectar cualquier software basura que quieran.. Y Weather Zero es solo un participante más en este plan..
Análisis técnico
Para probar las afirmaciones hechas anteriormente, entremos en los aspectos técnicos de Weather Zero y descubramos por qué este programa no es lo que dice ser.
La primera señal de alerta es que este programa realiza comprobaciones de entornos virtuales y depuradores, lo cual es inusual para una aplicación típica. Normalmente, Las aplicaciones son agnósticas sobre sus entornos.; las comprobaciones de hardware pueden ser una cosa, pero se trata de una lista de verificación bastante breve. Con esta aplicación, He visto las comprobaciones de los siguientes archivos y claves de registro.:
C:\WINDOWS\wininit.ini
C:\Windows\system32\drivers\etc\hosts
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VBOX__
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion
HKEY_LOCAL_MACHINE\Hardware\description\System
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MachineGuid
\Registry\MACHINE\System\CurrentControlSet\Control\SafeBoot\Option
Como se infiere de los nombres de estas claves., el programa está verificando la información del BIOS, detalles de hardware, y específicamente buscar claves relacionadas con máquinas virtuales. Este comportamiento definitivamente no es típico de un widget meteorológico..
Después de asegurarse de que no se esté ejecutando en un entorno virtual, el programa recopila información básica del sistema. Éste «huella dactilar» no incluye datos confidenciales pero es utilizado para identificar la máquina infectada. Este paso, como el anterior, es más característico de un malware que de un widget meteorológico normal.
Conexión C2
El dudoso programa se conecta a su mando y control. (C2) servidores llamando a las siguientes direcciones IP.
TCP 172.67.211.190:443
TCP 20.99.132.105:443
TCP 104.26.11.57:443
UDP 192.168.0.13:137
TCP 142.250.69.195:80
Notablemente, muchos de ellos corresponden a Weatherzero.com, microsoft.com, Azure, Google, Llamarada de nube, y servicios web de Amazon. Esta puede ser una indicación de que Weather Zero hace algunas llamadas genuinas., o simplemente realiza algunas acciones inútiles para confundir los sistemas de seguridad..
Carga útil
Próximo, la aplicación en cuestión continúa con su tarea principal: entregar su carga útil al sistema. El programa coloca los siguientes archivos DLL en la carpeta temporal del sistema %USERPROFILE%AppDataLocalTemp:
nsaE521.tmp\INetC.dll
nsvF2EC.tmp\INetC.dll
nsz528C.tmp\INetC.dll
nso2BAD.tmp\INetC.dll
Desde que Weather Zero se instaló con privilegios administrativos, puede ejecutar estos archivos DLL con el nivel más alto de privilegios. La carga útil que tengo en mis observaciones parece algo aburrido y poco interesante., pero sospecho que esto se debe a que detecta un entorno virtualizado.. No está claro si este software basura puede implementar malware "grave", o parar sobre software publicitario y secuestradores de navegador, como lo hacen algunos de los programas similares.
Cómo eliminar el Weather Zero?
Para eliminar Clima Cero, utilizar GridinSoft Anti-Malware: eliminará de forma fiable el virus y protegerá contra otras amenazas, independientemente de su fuente. Descárgalo a través del enlace a continuación y sigue la guía para que tu sistema esté tan limpio como nuevo..
Descargue e instale GridinSoft Anti-Malware haciendo clic en el botón de abajo. Después de la instalación, ejecutar un escaneo completo: Esto verificará todos los volúmenes presentes en el sistema, incluyendo carpetas ocultas y archivos del sistema. El escaneo tardará 15 acta.
Después de la exploración, Verá la lista de elementos maliciosos y no deseados detectados. Es posible ajustar las acciones que realiza el programa antimalware sobre cada elemento: hacer clic «Modo avanzado» y ver las opciones en los menús desplegables. También puedes ver información ampliada sobre cada detección – tipo de malware, efectos y posible fuente de infección.
Hacer clic «Limpio ahora» para iniciar el proceso de eliminación. Importante: el proceso de eliminación puede tardar varios minutos cuando hay muchas detecciones. No interrumpas este proceso, y conseguirás tu sistema tan limpio como nuevo.
