Nueva variante de FAKEDOC (ALIAS XDOCCRYPT, DORIFEL, QUERVAR, etc)
Una nueva muestra de este fastidioso malware que codifica los ficheros DOC que se suben al servidor de ficheros, y les añade la extension .SCR, nos demuestra que dicho engendro va mutando y propagandose por internet.
El preanalisis de virustotal sobre dicha muestra, ofrece este informe:
SHA256: e87e2ee9f6e9291cbf4a9dabfbb2c82c72cbbd94031f794d995d16ca16ca8590
SHA1: 264a55f5ef1084ca48c32e54440aff887d0981e0
MD5: f1c5f0a4aa26f9b275d299b5c977c202
Tamaño: 186.5 KB ( 190942 bytes )
Nombre: TEORIA – 4.6. BANKSY_cod.scr
Tipo: Win32 EXE
Etiquetas: peexe
Detecciones: 36 / 46
Fecha de análisis: 2013-01-31 16:32:15 UTC ( hace 54 minutos )
Antivirus Resultado Actualización
Agnitum – 20130131
AhnLab-V3 Dropper/Win32.Dorifel 20130131
AntiVir – 20130131
Antiy-AVL – 20130131
Avast Win32:Spyware-gen [Spy] 20130131
AVG SHeur4.ANSC 20130131
BitDefender Win32.Davion.C 20130131
ByteHero – 20130131
CAT-QuickHeal – 20130131
ClamAV – 20130131
Commtouch W32/Trojan2.NTSI 20130131
Comodo TrojWare.Win32.Dorifel.a 20130131
DrWeb Trojan.Siggen4.18211 20130131
Emsisoft Trojan-Ransom.Win32.Dorifel (A) 20130131
eSafe – 20130131
ESET-NOD32 Win32/Quervar.E 20130131
F-Prot W32/Trojan2.NTSI 20130131
F-Secure Win32.Davion.C 20130131
Fortinet W32/Dorifel.AB!tr 20130131
GData Win32.Davion.C 20130131
Ikarus Trojan.Filecoder 20130131
Jiangmin Worm/Dorifel.b 20121221
K7AntiVirus EmailWorm 20130131
Kaspersky Worm.Win32.Dorifel.b 20130131
Kingsoft Worm.Dorifel.a.(kcloud) 20130131
Malwarebytes Trojan.Dropper 20130131
McAfee W32/XDocCrypt.a 20130131
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious.H 20130131
Microsoft Virus:Win32/Quervar.C 20130131
MicroWorld-eScan Win32.Davion.C 20130131
NANO-Antivirus Trojan.Win32.Siggen4.wsdeb 20130131
Norman – 20130131
nProtect Win32.Davion.C 20130131
Panda W32/CryptD.A 20130131
PCTools Trojan.Exprez 20130131
Rising Virus.Ravy!4A99 20130131
Sophos W32/Quervar-C 20130131
SUPERAntiSpyware – 20130131
Symantec Trojan.Exprez.B 20130131
TheHacker W32/Dorifel.a 20130129
TotalDefense Win32/FakeDoc_i 20130131
TrendMicro PE_QUERVAR.D 20130131
TrendMicro-HouseCall PE_QUERVAR.D 20130131
VBA32 Virus.Dorifel.3905 20130131
VIPRE Virus.Win32.Quervar.a (v) 20130131
ViRobot – 20130131
Con los DAT 6971 de hoy, el VIRUSSCAN ENTERPRISE DE McAfee ya detecta y elimina dicho malware, decodificando los ficheros codificados y devolviendoles la extension original.
La muestra analizada la ha convertido en TEORIA – 4.6. BANK.docx de 42 KB
Hay que resaltar que otros antivirus tambien lo detectan pero que eliminan el fichero infectado, perdiendo asi su contenido. Ya en su dia con el ELIFAKE aparcabamos dichos ficheros añadiendoles .VIR a su extension, en espera que McAfee hiciera su cometido, como es el caso, y asi no se perdian los ficheros en cuestion.
ms, 31-1-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.