Trojan.java.agent.an

Muy recientemente se ha descubierto un nuevo troyano que emplea lenguaje Java para infectar equipos. Os explicamos sus síntomas y forma de eliminación.

Sergio Méndez Galindo
Sergio Méndez Galindo
24 de January · 434 palabras.
Se trata de un troyano descubierto recientemente, el cual descarga archivos desde la red sin el conocimiento del usuario, para después ejecutarlos. Se trata de un archivo del tipo JAR, que contiene varios lotes de clases Java (archivos “class”) que son los que rigen este tipo de lenguaje. Su tamaño es de 15661 bytes.
INFECCIĂ“N
El archivo .jar malicioso contiene los siguientes archivos:
Meta-infManifest.mf (71 bytes)
a6a7a760c0e (145 bytes)
a.class (7594 bytes; detected by Kaspersky Antivirus as "Trojan-Downloader.Java.OpenConnection.cx")
aa79d1019d8.class (4360 bytes; detected by Kaspersky Antivirus as "Trojan-Downloader.Java.OpenConnection.cx")
a4cb9b1a8a5.class (3559 bytes; detected by Kaspersky Antivirus as "Trojan-Downloader.Java.OpenConnection.cx")
a66d578f084.class (590 bytes)
ab16db71cdc.class (789 bytes)
ab5601d4848.class (1130 bytes)
ae28546890f.class (864 bytes; detected by Kaspersky Antivirus as "Trojan.Java.Agent.an")
af439f03798.class (6135 bytes; detected by Kaspersky Antivirus as "Trojan-Download
El troyano es un applet de Java. Es ejecutado desde una dirección HTML infectada mediante el campo “”, por dicho medio se establece un enlace de descarga, que es encriptado en el parámetro “a”. Después de ejecutarlo, el troyano usas la función class “a” “_K” para decodificar el enlace obtenido usando los siguientes simbolos para el “mapeo” de entrada y salida del mismo:
Simbolos de entrada
F#[email protected];LKU^ZBQ=&MGS!W%HP?TIK,,AN*J)O$X+E
SĂ­mbolos de salida
abcdefghij-klmnopqrstuvwxyz/.-::1234567890
La siguiente subclase es adjuntada al enlace sin encriptar:
?i=6
Usando el enlace obtenido, el troyano descarga el fichero y lo coloca en la carpeta de archivos temporales como:
%Temp%google.exe
Cuando se ha descargado satisfactoriamente el archivo necesario este es ejecutado. El troyano solo descarga y ejecuta dicho archivo si la versión del JRE o entorno de Java instalada está entre la 1.5.0 y la1.6.0_18. SI la versión de Java está entre 1.6.0_10 y 1.6.0_21 y el parámetro “trigger” (gatillo) transferido en “” contiene las subclases “notie” o “isie”, entonces el siguiente script será lanzado mediante la función “getAppletContext().showDocument”:
javascript:JAVASKYLINE();
INSTRUCCIONES DE DESINFECCIĂ“N

Borraremos el archivo original del troyano. Su localización en un ordenador infectado dependerá de cómo el programa llegó a parar al ordenador.
Borraremos el siguiente fichero: %Temp%google.exe
Limpiaremos el directorio de Archivos Temporales de Internet que podrĂ­a contener archivos infectados.
Ejecutaremos una escáner lo más completo posible de todo el sistema, asegurándonos de tener instaladas las últimas versiones de su base de datos.

BORRAR ARCHIVOS TEMPORALES DE INTERNET

En una ventana de Internet Explorer, abriremos el apartado “Herramientas” o “Tools” de su menú superior.
En “Opciones de Internet” > “Borrar archivos temporales” y presionamos “Borrar archivos”. Por último marcaremos la casilla “Borrar todo el contenido Offline” y pulsamos sobre OK.

Compara antivirus y software para acelerar el pc en nuestra web Mejor Antivirus

Comparte tu conocimiento y tus intereses con el mundo.

Publica un artículo →