CONSIDERACIONES Y ELIMINACION DE LA NUEVA VARIANTE (3) DEL FAKE DOC (alias XDOCCRYPT, DORIFEL , QUERVAR, etc.)

Publicado el 8 febrero 2013 ¬ 15:28 pmh.mscComentarios desactivados en CONSIDERACIONES Y ELIMINACION DE LA NUEVA VARIANTE (3) DEL FAKE DOC (alias XDOCCRYPT, DORIFEL , QUERVAR, etc.)

A raiz de la infeccion de un cliente con una tercera generación del FAKEDOC, de los que infectan DOC, XLS, EXE que se suben al servidor de datos, o al NAS, cifrandolos con codificacion RC4 y convirtiendolos en .SCR cuya ejecucion propaga el virus, si bien aparenta normalidad al funcionar los mismos, incluso permitiendo visualizar los textos de los documentos, como si del programa original se tratara, pero que su ingenieria sobre inclusion de carácter unicode especial en lugar del “.” de separacion entre nombre de fichero y extension, como sea que de momento el VirusScan no detecta los ficheros infectados con esta variante, en las unidades de red, como servidores de datos y NAS, hemos modificado nuestra utilidad ELIFAKE de modo que la actual versión 2.1 los detectará al analizar dichas unidades, y los aparcará añadiendoles .VIR a su extension, de modo que no puedan ejecutarse, evitando seguir propagando la infeccion.

Cuando en el infosat.txt que genera dicha utilidad, aparezcan dichos ficheros con extension .SCR.VIR, podrán copiarse a una unidad local, en la que el VirusScan ya podrá detectarlos, y al ejecutar dicho antivirus, los decodificará y limpiará, dejando los ficheros sin virus y operativos, y les devolverá  la extensión inicial, los cuales podrán volverse a copiar a las carpetas de las unidades originales, sin mayor problema.

Este virus, que puede ser descargado por un downloader, o recibido por mail en un fichero infectado, falso DOC por ejemplo (FAKEDOC), en el que habrá doble extension, .DOC.SCR , solo será detectado por el antivirus mientras los ficheros estén en las unidades locales, pero si asi fuera, cuidado si se tienen servidores de datos u otras unidades de red, como los NAS (NETWORK ATTACHED STORAGE), pues todos los ficheros que se suben a dichas unidades serán infectados y no detectados facilmente, motivo por el que nos hemos esforzado en lograr que nuestra utilidad ELIFAKE, permita al VirusScan de McAfee detectar, limpiar y decodificar dichos ficheros, eliminando dicho virus sin consecuencias.

Al respecto hemos de decir que otros antivirus que detectan dichos ficheros infectados, los eliminan, perdiendose los datos en ellos contenidos, asi  que mucho cuidado si se detecta dicha infección, que no se trata de un virus mas, es altamente sofisticado y especial en muchos sentidos, codificacion RC4, utilizacion de carácter unicode, infección de ejecutables, DOC y XLS que se suban a unidades de red, pero que no infecta ficheros que están en la unidad de sistema ni reinfecta con otra variante de la misma familia, las unidades infectadas.

Esperamos que entre la nueva version 2.1 de nuestro ELIFAKE y el VirusScan de McAfee, siguiendo estas instrucciones, lo puedan eliminar facilmente.

saludos

ms, 8-2-2013

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies