NOVEDADES SOBRE EL VIRUS FAKEDOC, ALIAS DORIFEL, Y NUESTRAS HERRAMIENTAS DE CONTROL Y ELIMINACION
Como sea que este virus FAKEDOC que infecta DOC y EXE, y codifica los DOC de las carpetas mapeadas y compartidas del servidor, convirtiendolos en .SCR infecciosos ejecutables, pero con icono de WORD, sigue expandiendose en nuestro pais, gracias a su polimorfismo y tecnica de ingeniería social que consigue que el usuario ejecute dichos DOC.SCR, al no mostrar Windows por defecto la extensión de los ficheros, y sin ver que son .SCR el usuario los ejecuta al ver su falso icono de Word, vamos perfeccionando nuestras utilidades y creando otras nuevas para su control y protección contra el mismo.
Si bien de entrada usabamos el ELISTARA contra el mismo, aunque éste siga controlando las muestras iniciales, dejamos de implementar nuevas muestras al ver que cada infección creaba una cadena de detección diferente, al ir cambiando el algoritmo de cifrado, y creamos en su día la utilidad específica ELIFAKE.EXE, que es la que detecta y aparca básicamente los ficheros relacionados con dicho virus.
Y hoy mejoramos dicha utilidad ELIFAKE con la version 1.3, implementando, además de las rutinas conocidas, un sistema de protección para que evite la reinfección y la progresión de dicho virus, y para los que ya lo han sufrido y aparcado dicho virus con el ELIFAKE, hemos creado una nueva utilidad de proteccion que llamamos ANTIFAKE.EXE que bloquea la ejecución de dicho virus impidiendo su progresión.
Dicha nueva utilidad ANTIFAKE ofrecerá tres mensajes, segun proceda:
1º En el caso de encontrar infección, indicará:
DETECTADA INFECCION FAKEDOC
INSTALADA PROTECCION
SE ACONSEJA EJECUTAR ELIFAKE.EXE
2º En el caso de que ya encuentre la protección instalada, indicará:
PROTECCION ANTIFAKE YA INSTALADA
3º En el caso de que no encuentre infección ni protección, indicará:
INSTALADA PROTECCION ANTIFAKE
Obrando en cada caso segun proceda.
Con todo ello esperamos dar un paso importante en el control y eliminación de dicho virus, manteniendo los ficheros infectados, pero con extension .VIR, para que no sean ejecutados involuntariamente ni automaticamente (a diferencia de otros AV que los eliminan a la brava)
En cualquier caso, si luego se decide eliminar los ficheros renombrados a .VIR, podrá hacerse facilmente desde una ventana al DOS, con un DEL X:\*.VIR /s , siendo X: la unidad en cuestión.
Ante cualquier problema al respecto, rogamos consulten.
saludos
ms, 13-6-2012
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.