Nueva muestra de fichero .DOC afectado por el FAKEDOC y añadida la coletilla xcod.scr

Recibimos de un usuario otra muestra de fichero codificado por el FAKEDOC o “Dorifel”, como llaman algunos AV, el cual en el preanalisis del virustotal ofrece el siguiente informe:

SHA256: d597362b9db8bbdf26a9aac473218935c5710392978ea0f46a9448b59267c691
SHA1: 22c51a47181bb3b695a4ada71e5305b150455e6d
MD5: b2fc9ccedfbcac02f765f4e9d7afee4e
Tamaño: 149.0 KB ( 152600 bytes )
Nombre: Aniversaris_xcod.scr
Tipo: Win32 EXE
Detecciones: 27 / 42
Fecha de análisis: 2012-05-22 07:02:09 UTC ( hace 1 minuto )

01Más detalles
Antivirus Resultado Actualización
AhnLab-V3 – 20120521
AntiVir TR/Crypt.XPACK.Gen 20120521
Antiy-AVL – 20120522
Avast Win32:Malware-gen 20120522
AVG Downloader.Generic12.CBCX 20120521
BitDefender Trojan.Generic.KDV.626825 20120522
ByteHero – 20120521
CAT-QuickHeal – 20120522
ClamAV BC.Heuristic.Trojan.SusPacked.BF-6.B 20120522
Commtouch W32/Trojan-Gypikon-based.DE!Maximus 20120522
Comodo – 20120521
DrWeb – 20120522
Emsisoft Backdoor.Win32.Beastdoor!IK 20120522
eSafe – 20120520
F-Prot W32/Trojan-Gypikon-based.DE!Maximus 20120521
F-Secure Trojan.Generic.KDV.626825 20120522
Fortinet W32/Dorifel.CGT!tr 20120522
GData Trojan.Generic.KDV.626825 20120522
Ikarus Backdoor.Win32.Beastdoor 20120522
Jiangmin TrojanDropper.Dorifel.qi 20120522
K7AntiVirus Trojan 20120521
Kaspersky Trojan-Dropper.Win32.Dorifel.cgt 20120522
McAfee W32/Downloader-CTO 20120522
McAfee-GW-Edition – 20120522
Microsoft Trojan:Win32/Quervar.A 20120521
NOD32 – 20120522
Norman W32/Obfuscated.D!genr 20120520
nProtect Trojan/W32.Agent.152600.B 20120522
Panda W32/CryptD.A 20120521
PCTools Trojan.Generic 20120522
Rising – 20120522
Sophos – 20120522
SUPERAntiSpyware – 20120522
Symantec Trojan Horse 20120522
TheHacker – 20120521
TotalDefense Win32/Fakedoc_i 20120521
TrendMicro TROJ_FAKEDOC.DEJ 20120522
TrendMicro-HouseCall TROJ_FAKEDOC.DEJ 20120522
VBA32 – 20120521
VIPRE Trojan.Win32.Generic.pak!cobra 20120522
ViRobot Dropper.A.Dorifel.152600 20120522
VirusBuster – 20120521
De momento la solucion pasa por eliminar los ficheros en cuestion y sustituirlos por copia de seguridad, si bien se puede, si no se dispone de copia de seguridad, recuperar antes el texto original ejecutando los .SCR creados y salvar el texto visible con un “salvar como” en otra parte no compartida, pues cada vez que se ejecute uno de estos ficheros irá codificando los ficheros .DOC que encuentre en dicha unidad.

“Trojan has the capabilities to remote access connection handling, perform Denial of Service (DoS) or Distributed DoS (DDoS), capture keyboard inputs, delete file or object, or terminate process.

Quarantine/delete files that are detected and replace infected files with clean backup copies.”

Cabe señalar que hemos visto que la coletilla “xcod.scr” la aplica en sistemas Windows XP, mientras que en Windows 7 dicho añadido es “docx.scr”

Estamos estudiando la posibilidad de crear una utilidad similar a la del SDECODER.EXE que hicimos para decodificar los afectados por el virus de “la policia”, si bien en este caso cabe la recuperacion manual antes indicada.

Cuidado con los ordenadores que lo han sufrido, pues como vemos en la informacion al respecto, tiene propiedades de “remote access connection handling, perform Denial of Service (DoS) or Distributed DoS (DDoS), capture keyboard inputs” o sea que mientras ha estado residente ha permitido el acceso por control remoto y captura de entradas de teclado, con lo que el hacker puede tener informacion privada del ordenador que ha sufrido dicha infección.

Como que esta incidencia sigue en proceso, seguiremos informando de las novedades que veamos al respecto.

saludos

ms, 22-5-2012