Trojan.java.agent.an

Se trata de un troyano descubierto recientemente, el cual descarga archivos desde la red sin el conocimiento del usuario, para después ejecutarlos. Se trata de un archivo del tipo JAR, que contiene varios lotes de clases Java (archivos "class") que son los que rigen este tipo de lenguaje. Su tamaño es de 15661 bytes.

Infección

El archivo .jar malicioso contiene los siguientes archivos:

• Meta-infManifest.mf (71 bytes)
• a6a7a760c0e (145 bytes)
• a.class (7594 bytes; detected by Kaspersky Antivirus as "Trojan-Downloader.Java.OpenConnection.cx")
• aa79d1019d8.class (4360 bytes; detected by Kaspersky Antivirus as "Trojan-Downloader.Java.OpenConnection.cx")
• a4cb9b1a8a5.class (3559 bytes; detected by Kaspersky Antivirus as "Trojan-Downloader.Java.OpenConnection.cx")
• a66d578f084.class (590 bytes)
• ab16db71cdc.class (789 bytes)
• ab5601d4848.class (1130 bytes)
• ae28546890f.class (864 bytes; detected by Kaspersky Antivirus as "Trojan.Java.Agent.an")
• af439f03798.class (6135 bytes; detected by Kaspersky Antivirus as "Trojan-Downloader.Java.OpenConnection.cx")

El troyano es un applet de Java. Es ejecutado desde una dirección HTML infectada mediante el campo "<APPLET>", por dicho medio se establece un enlace de descarga, que es encriptado en el parámetro "a". Después de ejecutarlo, el troyano usa la función class "a" "_K" para decodificar el enlace obtenido usando los siguientes símbolos para el mapeo de entrada y salida del mismo:

Símbolos de entrada
F#VD@YCR;LKU^ZBQ=&MGS!W%HP?TIK,,AN*J)O$X+E

Símbolos de salida
abcdefghij-klmnopqrstuvwxyz/.-::1234567890

La siguiente subclase es adjuntada al enlace sin encriptar:
?i=6

Usando el enlace obtenido, el troyano descarga el fichero y lo coloca en la carpeta de archivos temporales como:
%Temp%google.exe

Cuando se ha descargado satisfactoriamente el archivo necesario, este es ejecutado. El troyano solo descarga y ejecuta dicho archivo si la versión del JRE o entorno de Java instalada está entre la 1.5.0 y la 1.6.0_18. Si la versión de Java está entre 1.6.0_10 y 1.6.0_21 y el parámetro "trigger" (gatillo) transferido en "<APPLET>" contiene las subclases "notie" o "isie", entonces el siguiente script será lanzado mediante la función "getAppletContext().showDocument":

javascript:JAVASKYLINE();

Instrucciones de desinfección

Borraremos el archivo original del troyano. Su localización en un ordenador infectado dependerá de cómo el programa llegó a parar al ordenador.

Borraremos el siguiente fichero: %Temp%google.exe

Limpiaremos el directorio de Archivos Temporales de Internet que podría contener archivos infectados.

Ejecutaremos un escáner lo más completo posible de todo el sistema, asegurándonos de tener instaladas las últimas versiones de su base de datos.

Borrar archivos temporales de Internet

En una ventana de Internet Explorer, abriremos el apartado "Herramientas" de su menú superior.

En "Opciones de Internet" > "Borrar archivos temporales" y presionamos "Borrar archivos". Por último marcaremos la casilla "Borrar todo el contenido offline" y pulsamos sobre OK.

Compara antivirus y software para acelerar el pc en nuestra web Mejor Antivirus