FICHEROS .DOC CONVERTIDOS EN .SCR, EN SERVIDORES CON COMPARTICION DE FICHEROS DE DICHO TIPO (RELACIONADO CON FAKEDOC)

Nos ha llegado información de varios clientes, que los documentos DOC de sus servidores han sido modificados con un añadido XCOD.SCR al final del nombre de sus miles de ficheros de dicho tipo, y pasando a ser cifrado su contenido, si bien los ficheros creados quedan ejecutables y su ejecución visualiza el contenido, el cual puede salvarse con el nombre que se desee y asi recuperarlo, pero ello es un transtorno si se ha de hacer manualmente uno a uno, en los servidores que contienen miles de ficheros afectados de dicha manera, aparte de lo que pueda conllevar la ejecución de dichos ficheros…

Estos ficheros son detectados y eliminados por algunos antivirus como McAfee o Kaspersky, y no detectados por otros, pero ello implica actualmente tener que proceder manualmente, antes  de ello, a la ejecucion de dichos .SCR y posterior salvado del documento con otro nombre, salvo que se pueda prescindir de dichos documentos por tenerlos en copia de seguridad aparte.

Recibidos ficheros originales y alterados por dicha modificación, estamos estudiando la posibilidad de crear utilidad automatica de recuperación, de lo cual informamos a traves de este aviso para quienes hayan sufrido dicha alteración, estén atentos a las novedades que vayamos publicando al respecto.

De momento con el ELISTARA 25.51 actual ya se controlan los ejecutables que participan en dicha modificación, tanto el .EXE como la DLL, pasando a ser controlados como FAKEDOC (como es el caso de las muestras procesadas y controladas como FakeDOC “XPSP2RES.DLL y ZJIAPSVSQ.EXE”).

Sin duda es la avanzadilla de una temible oleada de infección en los ficheros .DOC de los servidores que compartan ficheros .DOC con los usuarios, lo cual es muy comun en la mayoría de empresas.

Seguiremos informando.

saludos

ms, 18-5-2012