Troyano Backdoor W32.Agentb.Aqca

Troyano BACKDOOR W32.Agentb.Aqca. Nuevo troyano que elimina archivos de usuario. Se clasifica como un malware del cual se han reportado varios casos de infección en redes cubanas y que elimina los archivos del usuario.

Acciones que realiza

El programa borra todos los archivos del usuario iniciado (“C:\Users\[usuario_logueado]”), sin importar el tipo de formato, incluyendo los archivos del escritorio del usuario infectado, sin embargo deja la estructura de carpetas creadas.

Características del malware

El troyano lleva implícito ingeniería social pues el ícono del archivo es el de una carpeta de Windows, con nombre correlativos del mismo sistema operativo o con una letra “x”, incluido el propio nombre del sistema.

A continuación los nombres con que se puede encontrar el troyano:

• X.exe.
• Iexpress.exe.
• Jogo.exe.
• Jogo.exe.
• Windownsx1.exe.
• Windows.exe.

Mantiene activa la opción: “Ocultar extensiones de archivos para tipos de archivos conocidos”, lo que muestra al archivo ejecutable simulando una inofensiva carpeta.

Modo de proliferarse

El archivo realiza una copia de sí mismo en todas las unidades del sistema, incluyendo los dispositivos USB conectados al ordenador infectado. El troyano puede llegar a crear una copia de sí mismo en cada carpeta de cualquier unidad USB. Sin embargo, al introducir un dispositivo USB con el troyano a un ordenador no infectado, este último no se contamina si no es ejecutado el archivo maligno. Es decir, que para infectarse es necesario ejecutar manualmente el archivo.

Al ser ejecutado, sólo infecta la sesión del usuario que lo ejecutó. Como parte de su infección el archivo crea 5 archivos más en las direcciones que se listan a continuación:

• C:\Users\Public\i.bat.
• C:\Windows\System32\Tasks\sjfsdfsjj.
• C:\Windows\System32\Tasks\sjfsdfskk.
• C:\Users\Public\Music\jogo.exe.
• C:\Users\Public\x.exe.

El archivo “i.bat” crea 2 tareas en el sistema (“sjfsdfsjj” y “sjfsdfskk”) que rigen la ejecución de los 2 siguientes archivos de la lista. Los cuales van a regir el comportamiento de “jogo.exe” y “x.exe”, que se crean en la misma dirección que la lista muestra. Otro de los archivos que el malware crea, y que le permite ejecutar al mismo troyano cada vez que se inicia el sistema es el siguiente: C:\Users\usuario_infestado\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.exe

Método de preveención

• Mantener nuestro sistema operativo actualizado para evitar fallos de seguridad.
• Tener instalado un buen producto antivirus y mantenerlo siempre actualizado.
• No abrir correos electrónicos o archivos con remitentes desconocidos.
• Evitar navegar por páginas no seguras o con contenido no verificado.

Detección y descontaminación

El antivirus Segurmática detecta y descontamina estos archivos de la PC. No así Kaspersky, Nod32, TrendMicro, BitDefender, Avira, McAfee, ClamAV y Avast. Es importante el conocimiento que los archivos borrados no es posible recuperarlos, a menos que se restaure el sistema o se utilice una herramienta de recuperación.

Recomendaciones

Segurmática le aconseja para este troyano:

• Tener desactivada la opción: “Ocultar extensiones de archivos para tipos de archivos conocidos”.
• No fiarse por los íconos de las carpetas y abrir las mismas por la estructura de árbol, del sistema de archivos.
• Tener la protección permanente del antivirus activada.

Fuente

• Sitio web www.segurmatica.cu