Inicio > Seguridad Informática > Virus Troyano elimina archivos

Virus Troyano elimina archivos

0

troyanoSe han reportado varios casos de infección en las redes informáticas cubanas con un malware que elimina los archivos del usuario denominado Troyano BACKDOOR W32.AGENTB.AQCA. Hasta el pasado 10 de febrero de 2016 no es detectado por los principales antivirus internacionales.

Acciones a realizar.
El programa borra todos los archivos del usuario iniciado (“C:\Users\ [usuario_logueado]”), sin importar el tipo de formato, incluyendo los archivos del escritorio del usuario infectado. No obstante deja la estructura de carpetas creadas sin modificación.

Características del malware.
El troyano lleva implícito ingeniería social pues el ícono del archivo es el de una carpeta de Windows, con nombre correlativos del mismo sistema operativo o con una letra “x”, incluido el propio nombre del Sistema. A continuación se relacionan los nombres con los que se puede identificar:

  • x.exe
  • iexpress.exe
  • jogo.exe
  • Jogo.exe
  • windownsx1.exe
  • windows.exe

Modo de proliferación.
El archivo realiza una copia de sí mismo en todas las unidades del sistema, incluyendo los dispositivos USB conectados al ordenador infectado. El troyano puede llegar a crear una copia de sí mismo en cada carpeta de cualquier unidad USB. Sin embargo, al introducir un dispositivo USB con el troyano a un ordenador no infectado, este último no se contamina si no es ejecutado el programa maligno. Es decir, que para infectarse es necesario ejecutar manualmente el archivo.
Al ser ejecutado, solo infecta la sesión del usuario que lo ejecutó.
Como parte de su infección el archivo crea 5 archivos adicionales en las ubicaciones siguientes:

  • C:\ Users\Public\i.bat
  • C:\Windows\System32\Tasks\sjfsdfsjj
  • C:\Windows\System32\Tasks\sjfsdfskk
  • C:\Users\Public\Music\jogo.exe
  • C:\Users\Public\x.exe

El archivo “i.bat” crea 2 tareas en el sistema (“sjfsdfsjj” y “sjfsdfskk”) que rigen la ejecución de los 2 archivos siguientes de la lista, los cuales van a regir el comportamiento de “jogo.exe” y “x.exe”, que se crean en la misma dirección que muestra la lista.
Otro de los archivos que crea el malware y que le permite ejecutar al mismo troyano cada vez que se inicia el sistema es el siguiente:

  • C:\Users\usuario_infestado\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.exe

alerta bombilloRecomendaciones.

1. Desactivar la opción: “Ocultar extensiones de archivos para tipos de archivos conocidos”.
2. No confiar en la imagen de los íconos de las carpetas y abrir las mismas por la estructura de árbol del sistema de archivos.
3. Mantener de forma permanente la protección del antivirus activada.
4. Obtener más información y protección a través de la entidad especializada en programas malignos.

Fuente: Oficina de Seguridad para las redes Informáticas (OSRI)

Descargar el documento completo aquí

Haga un comentario

Los campos con asteriscos (*) son obligatorios

*

code