Troj/Agent.EC. Acceso remoto por puerta traseraNombre: Troj/Agent.EC
Nombre NOD32: Win32/Agent.EC
Tipo: Caballo de Troya
Alias: Agent.EC, Win32/Agent.EC, Backdoor.Jupdate, Backdoor.Win32.Agent.ec, BackDoor-CLH, TROJ_RANKY.AS
Plataforma: Windows 32-bit
Tamaño: 47,616 bytes
Este troyano crea un acceso por puerta trasera en la máquina infectada, por la cuál un atacante puede descargar y ejecutar archivos en forma remota.
Puede ser descargado y ejecutado por el troyano Troj/Down.Small.AAQ (ver: "Troj/Down.Small.AAQ. Descarga y ejecuta archivos",
http://www.vsantivirus.com/down-small-aaq.htm).
Cuando se ejecuta, crea una copia de si mismo en la carpeta del sistema de Windows, con un nombre al azar:
c:\windows\system32\[nombre al azar].exe
Modifica el registro para autoejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
JavaUpdate0.07 = c:\windows\system32\[nombre al azar].exe
El troyano intenta finalizar cualquiera de los procesos de la siguiente lista, que estén activos en el equipo infectado (incluye antivirus, cortafuegos, etc.):
_avpcc.exe
_avpm.exe
ackwin32.exe
anti-trojan.exe
apvxdwin.exe
autodown.exe
avconsol.exe
ave32.exe
avgctrl.exe
avkserv.exe
avnt.exe
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avptc32.exe
avpupd.exe
avsched32.exe
avwin95.exe
avwupd32.exe
blackd.exe
blackice.exe
ccapp.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
claw95.exe
claw95cf.exe
cleaner.exe
cleaner3.exe
dvp95.exe
dvp95_0.exe
ecengine.exe
esafe.exe
espwatch.exe
f-agnt95.exe
findviru.exe
fprot.exe
f-prot.exe
f-prot95.exe
fp-win.exe
frw.exe
f-stopw.exe
iamapp.exe
iamserv.exe
ibmasn.exe
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icsupp95.exe
icsuppnt.exe
iface.exe
iomon98.exe
jedi.exe
lockdown2000.exe
luall.exe
moolive.exe
mpftray.exe
n32scanw.exe
navapw32.exe
navlu32.exe
navnt.exe
navw32.exe
navwnt.exe
nisum.exe
nmain.exe
normist.exe
nupgrade.exe
nvc95.exe
outpost.exe
padmin.exe
pavcl.exe
pavsched.exe
pavw.exe
pccwin98.exe
pcfwallicon.exe
persfw.exe
rav7.exe
rav7win.exe
rescue.exe
safeweb.exe
scan32.exe
scan95.exe
scanpm.exe
scrscan.exe
serv95.exe
smc.exe
smc.exe
sphinx.exe
sweep95.exe
tbscan.exe
tca.exe
tds2-98.exe
tds2-nt.exe
vet95.exe
vettray.exe
vscan40.exe
vsecomr.exe
vshwin32.exe
vsstat.exe
webscanx.exe
wfindv32.exe
zlclient.exe
zonealarm.exe
Mientras está activo, el troyano queda a la escucha por puertos TCP seleccionados al azar. A través de dichos puertos un atacante remoto podrá ejecutar diferentes acciones en el equipo infectado.
Reparación manualNOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
JavaUpdate0.07
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/troj-agent-ec.htm
