Resumen rápido
El Troyano.Tedy/AgentB es un troyano —un programa malicioso que se hace pasar por un archivo legítimo para engañar al usuario—. Pertenece a la familia Tedy, utilizada en campañas sofisticadas. Se detecta en 56 de 76 motores antivirus, lo que señala riesgo alto. Además, puede comportarse como loader (cargador de otros malwares) en dispositivos USB.
Qué hace esta amenaza (explicado fácil)
La cosa es que suele llegar camuflado como ejecutables (.exe), por ejemplo controladores de impresora o utilidades de discos USB —nombres tipo "HP x796w.exe" o "Usb Disk.exe". Si se ejecuta, accede directamente al reloj de la CPU (direct-cpu-clock-access) y carga módulos en tiempo de ejecución (runtime-modules). En muchos casos actúa como launcher: sirve para descargar o lanzar payloads más dañinos en ataques dirigidos. ¿Vínculos con grupos APT? Posible relación con Mustang Panda, aunque los detalles concretos no están claros.
Qué puede pasar si lo ignoras
Si se ejecuta, puede bajar e instalar otros malwares, robar información o abrir una puerta remota para el atacante. En los escenarios típicos de troyanos loaders esto deriva en infecciones persistentes, el PC se ralentiza y la información sensible puede quedar expuesta. El impacto cambia según el caso, pero siempre compromete la seguridad en Windows.
Señales comunes de infección
- Archivos .exe sospechosos en USBs con nombres como "Usb Disk.exe" o "My Passport.exe".
- Procesos inusuales con bajo uso de CPU (idle) pero que realizan accesos directos a hardware.
- Lentitud inexplicable en el equipo o accesos extraños al reloj del procesador.
- El antivirus marca troyanos Tedy o AgentB.
- APIs de Windows manipuladas (imphash común en familias parecidas).
Datos técnicos
| Propiedad | Valor |
|---|---|
| SHA256 | 491d9f6f4e754a430a29ac6842ee12c43615e33b0e720c61e3f06636559813f7 |
| MD5 | b1c2730d5de0722a930c35b2cf117e38 |
| Tipo | Win32 EXE (PE32 executable GUI Intel 80386 para MS Windows) |
| Tamaño | 2.343.936 bytes |
| Nombre del archivo | HP x796w.exe (y variantes como Usb Disk.exe) |
| Primera vista (reportada) | 2021-05-23 |
| Compilado (reportado) | 2021-04-16 |
| Compilador | Embarcadero Delphi |
| Imphash | 84503534c4506fa48f89f1a52a836e23 |
Cómo se detecta (nombres de detección comunes)
- Gen:Variant.Tedy.868526 (MicroWorld-eScan, ALYac, VIPRE, BitDefender)
- Trojan.Win32.Agentb.X!c (Lionic)
- W32.Common.58E268D6 (Bkav)
- Trojan.Agent.Wacatac (ALYac)
- Trojan Horse (Symantec)
- win/malicious_confidence_100% (CrowdStrike)
- Riskware (K7AntiVirus, K7GW)
- Otras: Trojan.Win32CiR (CAT-QuickHeal), W32/MustangPanda.a (Skyhigh)
Qué hacer ahora (si lo detectaste)
Actúa rápido, pero sin pánico. No ejecutes archivos sospechosos provenientes de USBs.
Checklist de 60 segundos
- 1. Desconecta el USB inmediatamente.
- 2. Escanea el USB con USB-AV Antivirus. Elimina la amenaza del USB.
- 3. Reinicia el PC en Modo Seguro (presiona F8 o Shift+Reiniciar).
- 4. Usa un antivirus convencional para escanear todo Windows (USB-AV no desinfecta el PC).
- 5. Cambia contraseñas desde un PC limpio.
USB-AV Antivirus elimina amenazas en el USB al conectarlo. Pero si el malware ya está en Windows, necesita un antivirus completo para sanear el sistema.
Errores comunes al intentar “arreglarlo”
- Ejecutar el archivo "sospechoso" para "ver qué pasa". Eso solo empeora la infección.
- Ignorar porque "parece un driver HP". Los troyanos se disfrazan así, fíjate bien.
- Confiar únicamente en USB-AV para limpiar Windows. No basta; úsalo como complemento junto a un AV principal.
- No reiniciar en Modo Seguro —el malware se esconde si no lo fuerzas a mostrarse—.
- Conectar otros USBs sin escanearlos primero.
Datos interesantes
Este hash se asocia con loaders en USBs usados por grupos APT en campañas contra sectores como la salud europea. Está compilado en Delphi —algo común en malwares diseñados para evitar detección—. Se ha visto en 162 envíos y 130 fuentes únicas. Hay indicios de vínculo con Mustang Panda por detecciones y tags, pero no es concluyente.
Lecturas recomendadas
Cómo prevenir infecciones futuras
- Escanea siempre USBs con USB-AV Antivirus antes de abrirlos.
- No ejecutes .exe de USBs desconocidos, aunque parezcan drivers.
- Mantén un antivirus en Windows actualizado.
- Desactiva Autorun en Windows (busca "desactivar autorun USB").
- Evita sitios maliciosos y correos de phishing.
- Mantén backups offline.
Preguntas frecuentes
¿USB-AV puede eliminarla si la detecta al conectar el USB? Sí, USB-AV Antivirus la elimina del USB automáticamente.
¿USB-AV desinfecta Windows si ya está instalado? No. Para eso debes usar un antivirus convencional en el PC.
¿Es común en pendrives? Sí, se propaga a través de memorias USB infectadas.
Escanea tus dispositivos USB con USB-AV Antivirus antes de conectarlos.