Análisis de trojan.msil/agentb: qué es y cómo protegerte

Resumen rápido

El trojan.msil/agentb es un tipo de troyano, es decir, un programa malicioso que se disfraza de uno legítimo para entrar al equipo sin que nos demos cuenta y causar daños o tomar control. Pertenece a la familia msil, lo que quiere decir que fue desarrollado usando la tecnología Microsoft Intermediate Language, típica de las aplicaciones .NET. La verdad es que este malware es bastante peligroso porque logra ocultarse muy bien y controlar varias funciones del sistema sin que el usuario se percate.

Su nivel de detección es moderado: lo identifican como malicioso 45 de 76 motores antivirus. Eso sugiere que el troyano utiliza trucos para escaparse de los análisis, por eso, tener herramientas especializadas es súper importante. Aunque se detectó por primera vez en 2019, en realidad fue compilado en 2017, lo que indica que ha estado rondando con distintas versiones durante un buen tiempo.

Señales de infección

Este troyano no pasa desapercibido del todo; tiene algunas señales que pueden alertar sobre su presencia:

  • Persistencia: se asegura de mantenerse activo incluso después de que reinicies el equipo.
  • Uso de módulos en tiempo real: puede cargar componentes mientras la aplicación corre, lo que complica que lo detecten.
  • Detecta si están tratando de analizarlo o depurarlo para evitar que especialistas lo estudien.
  • Accede directamente al reloj del CPU y utiliza llamadas a WMI (Windows Management Instrumentation), lo que le permite controlar o espiar el sistema.

Estos comportamientos pueden afectar la velocidad del equipo o provocar que actúe de formas extrañas.

Datos técnicos

Dato Información
Nombre del archivo USB Cleaner.exe (y otros similares)
Tipo Win32 EXE (ejecutable para Windows)
Tamaño Unos 120 KB aproximadamente (122880 bytes)
Hash SHA256 5e46fc7ec555a2dfe50fcae57912b216ccc8a7d25eebbc2b78e21820a418310a
Hash MD5 81794f3119ed538c5d3517288a2529a4
Compilado con .NET Microsoft Linker
Primera vista Marzo de 2019

Motores que lo detectan

Son varios los antivirus que lo reconocen como una amenaza. Entre ellos destacan:

  • Lionic: Trojan.Win32.Agentb.X!c
  • CTX: exe.trojan.msil
  • CAT-QuickHeal: Trojan.Ghanarava
  • Skyhigh: BehavesLike.Win32.Infected.ct
  • ALYac: Application.Agent.KFQ
  • Cylance: Unsafe
  • K7AntiVirus & K7GW: Unwanted-Program
  • BitDefender: Application.Agent.KFQ
  • CrowdStrike: win/malicious_confidence_60%
  • Arcabit: Application.Agent.KFQ
  • huorong: Trojan/Agent.acy
  • Elastic: malicious (alta confianza)
  • ESET-NOD32: MSIL/USBCleaner.A potencialmente peligroso
  • APEX: Malicious
  • Paloalto: generic.ml

Cómo eliminarlo en Windows

Si quieres deshacerte de este troyano con seguridad, sigue estos pasos:

  • Revisa cualquier dispositivo USB buscando archivos con nombres sospechosos como USB Cleaner.exe, peweg72.exe, usb cleaner.exe, gUSB Cleaner.exe o archivos temporales tipo ~5.tmp.exe, que suelen estar disfrazados con extensión .exe.
  • Pon especial atención al archivo con el hash SHA256: 5e46fc7ec555a2dfe50fcae57912b216ccc8a7d25eebbc2b78e21820a418310a.
  • Usa USB-AV Antivirus para escanear y eliminar las amenazas directamente en el USB cuando lo conectes. Esta herramienta es superútil porque detecta y elimina el malware antes de que pueda instalarse o ejecutarse.
  • Si ya se instaló el malware en tu equipo, tendrás que apoyarte en un antivirus tradicional para limpiar el sistema operativo.

Cómo prevenir infecciones futuras

  • Nunca dejes de escanear cualquier USB con USB-AV Antivirus antes de conectarlo a tu computadora.
  • Evita abrir archivos sospechosos o que no conozcas, sobre todo si vienen de USB o correos extraños.
  • Mantén siempre actualizados tu sistema operativo y tus programas para cerrar las puertas a posibles vulnerabilidades.
  • No conectes dispositivos USB que provengan de fuentes dudosas o en las que no confíes del todo.
  • Además de USB-AV, es buena idea tener un antivirus confiable instalado en tu PC para sumar una capa extra de protección.

Preguntas frecuentes

¿USB-AV puede eliminar el troyano.msil/agentb si lo detecta al conectar el USB?
Sí, de hecho USB-AV elimina esta amenaza en el momento en que la detecta al conectar el dispositivo. Eso es justamente para lo que está pensado.
¿USB-AV limpia si el troyano ya está instalado en Windows?
No. USB-AV solo funciona para eliminar amenazas en dispositivos USB. Si el troyano ya está dentro de Windows, necesitas usar un antivirus convencional para borrarlo del sistema.
¿Qué hacer si encuentro archivos sospechosos como USB Cleaner.exe en mi USB?
Lo mejor es escanear el USB de inmediato con USB-AV Antivirus. Si notas que tu equipo ya presenta problemas, complementa con un antivirus tradicional para eliminar cualquier infección instalada.

Recuerda siempre escanear tus dispositivos USB con USB-AV Antivirus antes de conectarlos.