INFORMACION SOBRE EL FAKEDOC (ALIAS DORIFEL), QUE SE CONECTA CON RUMANIA …

Estando pendientes de la informacion que aportan otros servicios tecnicos como THREATEXPERT, hemos visto el contenido de esta página:

http://www.threatexpert.com/report.aspx?md5=1015f791440aa9b3fc15f16fc567269e

por la que vemos que se conecta a un servidor de Rumania:

buzznews.ro. RO Romania 06 Bistrita-Nasaud Bistrita 47.1333 24.4833 PF Szabo Csaba PF Szabo Csaba

y que usa un fichero malicioso que pasamos a controlar por su MD5 a partir del ELISTARA de hoy:

c:\logonwinf.exe 7C5F5A68051F6B0C0E9A2AD33C40D415
A partir del ELISTARA 25.55 se controlará, y eliminará en su caso, la existencia de dicho fichero, del que se habla en muchos sites de internet, y sobre el otro de 152 kB, a saber:

152.090 bytes MD5: 0x1015F791440AA9B3FC15F16FC567269E

no hay mas informacion, por lo que si se quiere controlar proponemos hacerlo con nuestra utilidad ELIMD5.EXE, entrandole el hash 1015F791440AA9B3FC15F16FC567269E y si se encuentra, enviarnoslo para analizar y controlar.
No encontramos mas informacion fiable al respecto, cabiendo indicar que con el bloqueo de la creacion de una carpeta con nombre xpsp2res.dll en C:\windows hemmos logrado detener la replicacion de los ficheros codificados (que al parecer son procesados con rutinas de codificacion de winzip/winrar, pero sin zipear) y mientras tanto, entre el VIRUSSCAN, que ya controla las muestras que les hemos enviado, y el ELISTARA, vamos controlando dicha infección.
Seguiremos informando…

saludos

ms, 24-5-2012