Trojan.java.agent.an
Muy recientemente se ha descubierto un nuevo troyano que emplea lenguaje Java para infectar equipos. Os explicamos sus síntomas y forma de eliminación.
24 de January · 434 palabras.
🕘 Resumen
Se ha identificado un nuevo tipo de troyano que ejecuta la descarga y ejecución de archivos de forma inadvertida para el usuario. Este troyano es un archivo JAR que contiene clases Java que controlan su ejecución.
El tamaño total del archivo es de 15661 bytes y se ejecuta a través de un applet Java desde una dirección HTML infectada. El enlace de descarga se encripta en el parámetro "a" y el troyano se encarga de descifrarlo mediante la función de clase "a" y los símbolos de entrada/salida establecidos.
Una vez descargado el archivo, éste se coloca en la carpeta temporal del sistema operativo y se ejecuta automáticamente. Solamente descarga y ejecuta archivos si la versión del Java Runtime Environment instalada está entre la 1.5.0 y la 1.6.0_18.
Este troyano representa una amenaza significativa para los sistemas con software desactualizado y es fundamental que los expertos en seguridad informática continúen desarrollando soluciones para su eliminación.
INFECCIÓN
El archivo .jar malicioso contiene los siguientes archivos:
Meta-infManifest.mf (71 bytes)
a6a7a760c0e (145 bytes)
a.class (7594 bytes; detected by Kaspersky Antivirus as "Trojan-Downloader.Java.OpenConnection.cx")
aa79d1019d8.class (4360 bytes; detected by Kaspersky Antivirus as "Trojan-Downloader.Java.OpenConnection.cx")
a4cb9b1a8a5.class (3559 bytes; detected by Kaspersky Antivirus as "Trojan-Downloader.Java.OpenConnection.cx")
a66d578f084.class (590 bytes)
ab16db71cdc.class (789 bytes)
ab5601d4848.class (1130 bytes)
ae28546890f.class (864 bytes; detected by Kaspersky Antivirus as "Trojan.Java.Agent.an")
af439f03798.class (6135 bytes; detected by Kaspersky Antivirus as "Trojan-Download
El troyano es un applet de Java. Es ejecutado desde una dirección HTML infectada mediante el campo “”, por dicho medio se establece un enlace de descarga, que es encriptado en el parámetro “a”. Después de ejecutarlo, el troyano usas la función class “a” “_K” para decodificar el enlace obtenido usando los siguientes simbolos para el “mapeo” de entrada y salida del mismo:
Simbolos de entrada
F#VD@YCR;LKU^ZBQ=&MGS!W%HP?TIK,,AN*J)O$X+E
Símbolos de salida
abcdefghij-klmnopqrstuvwxyz/.-::1234567890
La siguiente subclase es adjuntada al enlace sin encriptar:
?i=6
Usando el enlace obtenido, el troyano descarga el fichero y lo coloca en la carpeta de archivos temporales como:
%Temp%google.exe
Cuando se ha descargado satisfactoriamente el archivo necesario este es ejecutado. El troyano solo descarga y ejecuta dicho archivo si la versión del JRE o entorno de Java instalada está entre la 1.5.0 y la1.6.0_18. SI la versión de Java está entre 1.6.0_10 y 1.6.0_21 y el parámetro “trigger” (gatillo) transferido en “” contiene las subclases “notie” o “isie”, entonces el siguiente script será lanzado mediante la función “getAppletContext().showDocument”:
javascript:JAVASKYLINE();
INSTRUCCIONES DE DESINFECCIÓN
Borraremos el archivo original del troyano. Su localización en un ordenador infectado dependerá de cómo el programa llegó a parar al ordenador.
Borraremos el siguiente fichero: %Temp%google.exe
Limpiaremos el directorio de Archivos Temporales de Internet que podría contener archivos infectados.
Ejecutaremos una escáner lo más completo posible de todo el sistema, asegurándonos de tener instaladas las últimas versiones de su base de datos.
BORRAR ARCHIVOS TEMPORALES DE INTERNET
En una ventana de Internet Explorer, abriremos el apartado “Herramientas” o “Tools” de su menú superior.
En “Opciones de Internet” > “Borrar archivos temporales” y presionamos “Borrar archivos”. Por último marcaremos la casilla “Borrar todo el contenido Offline” y pulsamos sobre OK.
Compara antivirus y software para acelerar el pc en nuestra web Mejor Antivirus