Inicio de zonavirus, antivirus
SATINFO

CONSIDERACIONES Y ELIMINACION DE LA NUEVA VARIANTE (3) DEL FAKE DOC (alias XDOCCRYPT, DORIFEL , QUERVAR, etc.)

msc hotline sat
viernes, 08 de febrero de 2013

A raiz de la infeccion de un cliente con una tercera generación del FAKEDOC, de los que infectan DOC, XLS, EXE que se suben al servidor de datos, o al NAS, cifrandolos con codificacion RC4 y convirtiendolos en .SCR cuya ejecucion propaga el virus, si bien aparenta normalidad al funcionar los mismos, incluso permitiendo visualizar los textos de los documentos, como si del programa original se tratara, pero que su ingenieria sobre inclusion de carácter unicode especial en lugar del "." de separacion entre nombre de fichero y extension, como sea que de momento el VirusScan no detecta los ficheros infectados con esta variante, en las unidades de red, como servidores de datos y NAS, hemos modificado nuestra utilidad ELIFAKE de modo que la actual versión 2.1 los detectará al analizar dichas unidades, y los aparcará añadiendoles .VIR a su extension, de modo que no puedan ejecutarse, evitando seguir propagando la infeccion.



Cuando en el infosat.txt que genera dicha utilidad, aparezcan dichos ficheros con extension .SCR.VIR, podrán copiarse a una unidad local, en la que el VirusScan ya podrá detectarlos, y al ejecutar dicho antivirus, los decodificará y limpiará, y les devolverá la extensión inicial, dejando los ficheros sin virus y operativos, los cuales podrán volverse a copiar a las carpetas de las unidades originales, sin mayor problema.



Este virus, que puede ser descargado por un downloader, o recibido por mail en un fichero infectado, falso DOC por ejemplo (FAKEDOC), en el que habrá doble extension, .DOC.SCR , solo será detectado por el antivirus mientras los ficheros estén en las unidades locales, pero si asi fuera, cuidado si se tienen servidores de datos u otras unidades de red, como los NAS (NETWORK ATTACHED STORAGE), pues todos los ficheros que se suben a dichas unidades serán infectados y no detectados facilmente, motivo por el que nos hemos esforzado en lograr que nuestra utilidad ELIFAKE, permita al VirusScan de McAfee detectar, limpiar y decodificar dichos ficheros, eliminando dicho virus sin consecuencias.



Al respecto hemos de decir que otros antivirus que detectan dichos ficheros infectados, los eliminan, perdiendose los datos en ellos contenidos, asi que mucho cuidado si se detecta dicha infección, que no se trata de un virus mas, es altamente sofisticado y especial en muchos sentidos, codificacion RC4, utilizacion de carácter unicode, infección de ejecutables, DOC y XLS que se suban a unidades de red, pero que no infecta ficheros que están en la unidad de sistema ni reinfecta con otra variante de la misma familia, las unidades infectadas.



Esperamos que entre la nueva version 2.1 de nuestro ELIFAKE y el VirusScan de McAfee, siguiendo estas instrucciones, lo puedan eliminar facilmente.



saludos



ms, 8-2-2013

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus

>> FaceBook

© 1998-2019 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto