Diferencia entre revisiones de «Troyano Backdoor W32.Agentb.Aqca»
(Etiqueta: revisar proyecto) |
(Etiqueta: revisar proyecto) |
||
| Línea 1: | Línea 1: | ||
| − | |||
{{Definición | {{Definición | ||
| − | |nombre=Troyano Bakcdoor W32.Agentb.Aqca | + | |nombre= Troyano Bakcdoor W32.Agentb.Aqca |
| − | |imagen=Trojan | + | |imagen= Trojan |
|tamaño= | |tamaño= | ||
| − | |concepto=Nuevo troyano que elimina | + | |concepto= Nuevo troyano que elimina [[archivo]]s de [[usuario]]. |
| − | }}<div align=justify> | + | }} |
| − | + | <div align=justify> | |
| − | + | '''Troyano BACKDOOR W32.Agentb.Aqca.''' Nuevo troyano que elimina [[archivo]]s de [[usuario]]. Se clasifica como un [[malware]] del cual se han reportado varios casos de [[infección]] en [[red]]es cubanas y que elimina los archivos del usuario. | |
==Acciones que realiza== | ==Acciones que realiza== | ||
| − | + | El [[programa]] borra todos los [[archivo]]s del [[usuario]] iniciado (“C:\Users\[usuario_logueado]”), sin importar el tipo de formato, incluyendo los archivos del [[escritorio]] del usuario infectado, sin embargo deja la estructura de [[carpeta]]s creadas. | |
| − | El [[programa]] borra todos los | ||
| − | los | ||
==Características del malware== | ==Características del malware== | ||
| + | El troyano lleva implícito [[ingeniería social]] pues el ícono del [[archivo]] es el de una [[carpeta]] de [[Windows]], con nombre correlativos del mismo [[sistema operativo]] o con una [[letra]] “[[x]]”, incluido el propio nombre del sistema. | ||
| − | |||
A continuación los nombres con que se puede encontrar el troyano: | A continuación los nombres con que se puede encontrar el troyano: | ||
| + | *X.exe. | ||
| + | *Iexpress.exe. | ||
| + | *Jogo.exe. | ||
| + | *Jogo.exe. | ||
| + | *Windownsx1.exe. | ||
| + | *Windows.exe. | ||
| − | + | Mantiene activa la opción: “Ocultar extensiones de archivos para tipos de archivos conocidos”, lo que muestra al archivo ejecutable simulando una inofensiva [[carpeta]]. | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | + | ==Modo de proliferarse== | |
| + | El [[archivo]] realiza una copia de sí mismo en todas las unidades del sistema, incluyendo los [[USB|dispositivos USB]] conectados al [[ordenador]] infectado. El troyano puede llegar a crear una copia de sí mismo en cada [[carpeta]] de cualquier unidad [[USB]]. Sin embargo, al introducir un dispositivo USB con el troyano a un [[ordenador]] no infectado, este último no se contamina si no es ejecutado el archivo maligno. Es decir, que para infectarse es necesario ejecutar manualmente el archivo. | ||
| − | + | Al ser ejecutado, sólo infecta la sesión del usuario que lo ejecutó. Como parte de su [[infección]] el archivo crea 5 archivos más en las direcciones que se listan a continuación: | |
| − | + | *C:\Users\Public\i.bat. | |
| − | + | *C:\Windows\System32\Tasks\sjfsdfsjj. | |
| + | *C:\Windows\System32\Tasks\sjfsdfskk. | ||
| + | *C:\Users\Public\Music\jogo.exe. | ||
| + | *C:\Users\Public\x.exe. | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
El archivo “i.bat” crea 2 tareas en el sistema (“sjfsdfsjj” y “sjfsdfskk”) que rigen la ejecución de los 2 siguientes archivos de la lista. Los cuales van a regir el comportamiento de “jogo.exe” y “x.exe”, que se crean en la misma dirección que la lista muestra. | El archivo “i.bat” crea 2 tareas en el sistema (“sjfsdfsjj” y “sjfsdfskk”) que rigen la ejecución de los 2 siguientes archivos de la lista. Los cuales van a regir el comportamiento de “jogo.exe” y “x.exe”, que se crean en la misma dirección que la lista muestra. | ||
| − | Otro de los archivos que el malware crea, y que le permite ejecutar al mismo troyano cada vez que se inicia el sistema es el siguiente: | + | Otro de los archivos que el [[malware]] crea, y que le permite ejecutar al mismo troyano cada vez que se inicia el sistema es el siguiente: |
C:\Users\usuario_infestado\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.exe | C:\Users\usuario_infestado\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.exe | ||
| − | ==Método de | + | ==Método de preveención== |
| − | + | *Mantener nuestro [[sistema operativo]] actualizado para evitar fallos de seguridad. | |
| − | *Mantener nuestro sistema operativo actualizado para evitar fallos de seguridad. | + | *Tener instalado un buen [[producto]] [[antivirus]] y mantenerlo siempre actualizado. |
| − | *Tener instalado un buen producto [[antivirus]] y mantenerlo siempre actualizado. | + | *No abrir [[Correo electrónico|correos electrónicos]] o [[archivo]]s con remitentes desconocidos. |
| − | *No abrir [[correos electrónicos]] o | ||
*Evitar navegar por páginas no seguras o con contenido no verificado. | *Evitar navegar por páginas no seguras o con contenido no verificado. | ||
==Detección y descontaminación== | ==Detección y descontaminación== | ||
| − | + | El [[antivirus]] [[Segurmática]] detecta y descontamina estos [[archivo]]s de la PC. No así [[Kaspersky]], [[Nod32]], [[TrendMicro]], [[BitDefender]], [[Avira]], [[McAfee]], [[ClamAV]] y [[Avast]]. Es importante el conocimiento que los archivos borrados no es posible recuperarlos, a menos que se restaure el sistema o se utilice una herramienta de recuperación. | |
| − | El antivirus [[ | ||
| − | Es importante el conocimiento que los archivos borrados no es posible recuperarlos, a menos que se restaure el sistema o se utilice una herramienta de recuperación. | ||
==Recomendaciones== | ==Recomendaciones== | ||
| − | + | [[Segurmática]] le aconseja para este troyano: | |
| − | Segurmática le aconseja para este troyano: | ||
*Tener desactivada la opción: “Ocultar extensiones de archivos para tipos de archivos conocidos”. | *Tener desactivada la opción: “Ocultar extensiones de archivos para tipos de archivos conocidos”. | ||
| − | *No fiarse por los íconos de las | + | *No fiarse por los íconos de las [[carpeta]]s y abrir las mismas por la estructura de [[árbol]], del [[sistema de archivos]]. |
| − | *Tener la protección permanente del antivirus activada. | + | *Tener la protección permanente del [[antivirus]] activada. |
| − | |||
| − | |||
| − | * | + | ==Fuente== |
| + | *[[Sitio web]] [http://www.segurmatica.cu www.segurmatica.cu] | ||
[[Category:Informática]] | [[Category:Informática]] | ||
[[Category:Virus_informáticos]] | [[Category:Virus_informáticos]] | ||
última versión al 15:29 20 mar 2017
| ||||||
Troyano BACKDOOR W32.Agentb.Aqca. Nuevo troyano que elimina archivos de usuario. Se clasifica como un malware del cual se han reportado varios casos de infección en redes cubanas y que elimina los archivos del usuario.
Sumario
Acciones que realiza
El programa borra todos los archivos del usuario iniciado (“C:\Users\[usuario_logueado]”), sin importar el tipo de formato, incluyendo los archivos del escritorio del usuario infectado, sin embargo deja la estructura de carpetas creadas.
Características del malware
El troyano lleva implícito ingeniería social pues el ícono del archivo es el de una carpeta de Windows, con nombre correlativos del mismo sistema operativo o con una letra “x”, incluido el propio nombre del sistema.
A continuación los nombres con que se puede encontrar el troyano:
- X.exe.
- Iexpress.exe.
- Jogo.exe.
- Jogo.exe.
- Windownsx1.exe.
- Windows.exe.
Mantiene activa la opción: “Ocultar extensiones de archivos para tipos de archivos conocidos”, lo que muestra al archivo ejecutable simulando una inofensiva carpeta.
Modo de proliferarse
El archivo realiza una copia de sí mismo en todas las unidades del sistema, incluyendo los dispositivos USB conectados al ordenador infectado. El troyano puede llegar a crear una copia de sí mismo en cada carpeta de cualquier unidad USB. Sin embargo, al introducir un dispositivo USB con el troyano a un ordenador no infectado, este último no se contamina si no es ejecutado el archivo maligno. Es decir, que para infectarse es necesario ejecutar manualmente el archivo.
Al ser ejecutado, sólo infecta la sesión del usuario que lo ejecutó. Como parte de su infección el archivo crea 5 archivos más en las direcciones que se listan a continuación:
- C:\Users\Public\i.bat.
- C:\Windows\System32\Tasks\sjfsdfsjj.
- C:\Windows\System32\Tasks\sjfsdfskk.
- C:\Users\Public\Music\jogo.exe.
- C:\Users\Public\x.exe.
El archivo “i.bat” crea 2 tareas en el sistema (“sjfsdfsjj” y “sjfsdfskk”) que rigen la ejecución de los 2 siguientes archivos de la lista. Los cuales van a regir el comportamiento de “jogo.exe” y “x.exe”, que se crean en la misma dirección que la lista muestra.
Otro de los archivos que el malware crea, y que le permite ejecutar al mismo troyano cada vez que se inicia el sistema es el siguiente:
C:\Users\usuario_infestado\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.exe
Método de preveención
- Mantener nuestro sistema operativo actualizado para evitar fallos de seguridad.
- Tener instalado un buen producto antivirus y mantenerlo siempre actualizado.
- No abrir correos electrónicos o archivos con remitentes desconocidos.
- Evitar navegar por páginas no seguras o con contenido no verificado.
Detección y descontaminación
El antivirus Segurmática detecta y descontamina estos archivos de la PC. No así Kaspersky, Nod32, TrendMicro, BitDefender, Avira, McAfee, ClamAV y Avast. Es importante el conocimiento que los archivos borrados no es posible recuperarlos, a menos que se restaure el sistema o se utilice una herramienta de recuperación.
Recomendaciones
Segurmática le aconseja para este troyano:
- Tener desactivada la opción: “Ocultar extensiones de archivos para tipos de archivos conocidos”.
- No fiarse por los íconos de las carpetas y abrir las mismas por la estructura de árbol, del sistema de archivos.
- Tener la protección permanente del antivirus activada.
