Registrese o identifiquese, para no ver la publicidad

virus que convierte los ficheros .doc y docx en xcod.scr (SOLUCIONADO)

¿tu ordenador va lento, pierdes la conexion a internet, se reinicia solo, salen errores continuamente... este es tu foro para tu problemas con los virus

virus que convierte los ficheros .doc y docx en xcod.scr (SOLUCIONADO)

Notapor tsanse » 26-01-2013 10:47

Hola,
Tengo un servidor de ficheros con unas unidades compartidas en las que hay unos cuantos miles de ficheros .doc y .docx
El caso es que hace unos días que se me están renombrando los ficheros cambiando la extensión de .doc o .docx a xcod.scr
El servidor tiene el S.O. Windows 2003 de 32 bits. Con la versión 7 del WorryFree de Trendmicro.
He borrador todos los ficheros dañados y los he restaurado de la copia de seguridad. Al cabo de unos minutes vuelven a estar renombrados.
He pasado varios antivirus y programas de limpieza de malware sin obtener una solución al problema.
También he comprobado que no hubiera ningún rootkit instalado, siendo el resultado negativo.
Uno de los antivirus vía Web que he probado es el Housecall de trendmicro.
Tambien he pasado el elistara en las versiones 25.51 25.52 y 25.53 que se supone tendrian que haber solucionado el problema.
Tambien he hecho una busqueda del XPSP2RES.DLL.dll que se supone es del virus y no he encontrado nada.
Todos estos pasos los he efectuado en el servidor y los 8 Pcs de la red.

¿Hay alguna solución a ello?

Gracias.
tsanse
Novato
Novato
 
Mensajes: 2
Registrado: 26-01-2013 10:47

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Notapor petaka » 26-01-2013 10:47

Nosotros estamos en la misma situación que tu, también hemos probado todo tipo de aplicaciones de limpieza, incluido el ElistarA sin ningún resultado positivo. Si sabes algo comenta, please.

Un saludo.
petaka
Novato
Novato
 
Mensajes: 2
Registrado: 26-01-2013 10:47

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Notapor Mathew » 26-01-2013 10:47

Buenos días,

Hemos estado descargando las versiones de elistara, desde que en el foro se describió el problema con este virus, ya son 3 las versiones que nos hemos descargado, ya que en una semana actualizaron 3 versiones de elistara.

El precio total del servicio es de 2,36 € impuestos incluidos. El problema se resolvía con alguna de las versiones anteriores, pero no es así y continuamos con el mismo problema de los archivos word renombrados a xcode.scr

Estamos un poco desesperados con este tema.

Espero encontremos entre todos alguna solución al problema.
Mathew
Novato
Novato
 
Mensajes: 1
Registrado: 26-01-2013 10:47

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Notapor msc hotline sat » 26-01-2013 10:47

Ya se informó en su día del FAKEDOC, alias DORIFEL, y el VirusScan de McAfee no solo lo detecta y elimina, sino que con el ultimo EXTRA.DAT, decodifica los DOC correctamente, pero no los DOCX, que deben recuperarse previamente ejecutanbdolos y salvando a una unidad no compartida antes de procesarlos con el VirusScan, pues sino se perderian.

Ver en Noticias del foro varias relativas a FAKEDOC entrando a buscar dicho nombre.

Por ejemplo: http://www.zonavirus.com/noticias/2012/ ... tuales.asp

y con el ELISTARA vamos controlando las muestras que vamos recibiendo y enviandolas a McAfee, para su analisis exhaustivo,

saludos

ms, 30-5-2012
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 80610
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Notapor tsanse » 26-01-2013 10:47

Hola otra vez,

Acabo de recibir un correo de Trendmicro, en el que me dicen que el TROJ_QUERVAR.AA (es el nombre con el que han bautizado el FAKEDOC, alias DORIFEL) ya es detectado por ellos. El antivirus ha de tener el Pattern 9.150.02 con el scan engine 9.2 o superior.

Lo que no me dicen es si con el HouseCall (herramienta de limpieza vía Web) se puede eliminar.
Supongo que si, ya que esta siempre utiliza el último pattern y scan engine)
Otra herramienta de limpieza muy agresiva y que se utiliza para enviar muestras es el Anti-Threat ToolKid (ATTK). Estas y otras herramientas las podéis descargar de la página de TrendMicro viewtopic.php?f=1&t=17044

Una cuestión importante es saber que es lo que detecta realmente. El virus en si o simplemente los ficheros “xcod.scr”.
Si son los ficheros “xcod.scr”, esto ya lo hacia 2 semanas atrás, cuando lo detectamos por primera vez, ya que el antivirus nos eliminaba todos estos ficheros. ¿Continuará haciendo lo mismo o limpiará los ficheros infectados?
Si puedo, mañana mismo intentare solucionar el problema y si no el lunes.

En cuanto sepa algo, lo posteo.

Saludos peña.
tsanse
Novato
Novato
 
Mensajes: 2
Registrado: 26-01-2013 10:47

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Notapor msc hotline sat » 26-01-2013 10:47

Nosotros no trabajamos con Trend, sino con McAfee, y supongo que los de Trend, igual que los de Kaspersky, se limitarán a eliminar los ficheros .SCR creados, perdiendo toda la información, a diferencia de McAFee, que ya indicamos consigue descifrar y recuperar los DOC afectados .

Pero ya que lo vas a probar, dinos si recupera la informacion de dichos ficheros y especialmente si lo hace tambien con los DOCX, los cuales solo recuperamos ejecutando el fichero SCR y con un "SALVAR COMO" en una unidad no compartida, obtenemos los ficheros originales, antes de utilizar los antivirus.

saludos

ms, 1-6-2012
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 80610
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Notapor GeosNet » 26-01-2013 10:47

Buenas,

Yo tengo el mismo problema en una empresa con 8 ordenadores y 3 servidores. Tienen instalado el trendmicro worry free....

El virus solo modifica los documentos de word de las carpetas compartidas del servidor, y solo aquellos con extension .xdoc, los .doc no se modifican.

He intentado pasar el malwarebytes, el combofix, el trendmicro en los equipos y el malwarebytes i el trendmicro en servidores... y ahora he dejado pasando el panda activescan pero hasta el momento nada de nada....

He recuperado tambien las carpetas de documentos de la copia de seguridad y todo bien pero al colgar-los de la carpeta compartida se vuelven a modificar.

Mañana cuelgo el log del combofix y intentaré pasar-le el spyware, tambien intentaré con el Mcafee tal hi como habeis comentado...

Si a alguien se le ocurre algo mas.....

Muchas gràcias de antemano
GeosNet
Novato
Novato
 
Mensajes: 1
Registrado: 26-01-2013 10:47

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Notapor diskun » 26-01-2013 10:47

Buenas noches,

Soy uno de los "afortunados" que está experimentando las miserias de este maravilloso virus/troyano en la empresa. Llevamos todo el día investigando en la red, y la documentación es escasa. Pero gracias a la documentación de Microsoft he encontrado el fichero origen y como funciona. Voy a ser lo más claro posible.

El virus, como ya sabéis, transforma los ficheros acabados en .doc en .scr, y los .docx en xcod.scr. Los ficheros se pueden abrir, y ver el contenido sin problemas incluso trabajando en él. Es abriéndolo como se propaga el virus a otros equipos.

Lo que he detectado con mis compañeros, es que SOLO modifica ficheros compartidos en el servidor, los ficheros locales de los equipos infectados no los modifica.

Por lo tanto, si equipo A sube un fichero infectado al Servidor, y Equipo B lo abre desde su equipo, Equipo B se infecta. Y la pregunta es: ¿Dónde se ubica el fichero ejecutable del virus? Esta es la pregunta del millón, y aquí Microsoft nos ha salvado la vida.

http://www.microsoft.com/security/porta ... FQuervar.A

Se ubica en C:\Usuarios\<usuario_que_inicia_sesión_y_ejecuta_elfichero>\AppData\Roaming\Microsoft\<random>.exe

El fichero puede llamarse con cualquier nombre avabado en .exe. Los que he localizado son series de letras en mayúsculas de forma aleatoria, Ejemplo:

MKGDCMKS.exe

Este es el ejecutable del virus y es el que se va copiando en cada equipo que abre un fichero .doc o .docx infectado.

El único antivirus con el que hemso conseguido detectar y eliminar es con Karspersky actualizada su firma a fecha de hoy, todos los demas que hemos probado (Avast!, McAfee, Microsoft Essentials, Microsoft ForeFront, NOD32, SpyBot Search & Destroy, MalwareBytes) solo sirven para ocupar espacio en disco. Eso si, el Karspersky elimina el fichero .exe, y ¡OJO!, los .xcodsrc y .src infectados TAMBIEN, perdiendo los datos. Así que hay que tener cuidado.

Una vez limpiado con Karspersky, hemos probado de volver a infectar el equipo, y lo detiene, así que inmuniza los equipos .

También, a partir de la documentación de Microsoft, sabemos que el objetivo del virus/troyano, intenta robar cuentas y demás, y envía información a las siguientes IPs:

87.106.60.46 avtoclub.eu
82.208.46.25 vnk.sk
212.57.32.49 1nlreality.sk
64.90.59.160 forum.perfect-privacy.com

Os recomiendo poner políticas de firewall para cortar el acceso a dichas IPs.

Por último, para recuperar los ficheros doc y docx infectados, con abrirlos y darles a Guardar como... y poener su extensión correcta, es suficiente. Karspersky al scanear no los eliminará.

Y esto es todo lo que hemos recopilado de información, la noche es larga y toca revisar PC por PC la ruta donde se ubica el ejecutable, y destruirlo cual bastardo que es.

Si detectamos mas cambios os informaré


Saludos y que no sufráis como nosotros :)
diskun
Novato
Novato
 
Mensajes: 2
Registrado: 26-01-2013 10:47

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Notapor pinchaki » 26-01-2013 10:47

Hola.
Llevamos sufriendo todo el día con este troyano/virus.
Más de 250000 ficheros de word "tocados", los exe son fáciles de recuperar con las copias de seguridad , pero y los doc y docx que ha modificado????, hasta que nos dimos cuenta del problema se modificaron más del 60% de los ficheros....
Hemos probado con casi todos los antivirus y muchos ni lo detectan....ahora estoy con el karspersky pasandolo en uno de los servidores de ficheros a ver si al menos me marco todos los ficheros a .VIR y así por lo menos se para un poco la epidemia...
Lo más frustrante es que no se por donde ha entrado.....correo???? Pendrive???? alguién aburrrido en la ofi?????
Noche larga....
pinchaki
Novato
Novato
 
Mensajes: 1
Registrado: 26-01-2013 10:47

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Notapor CRI » 26-01-2013 10:47

Lo primero disculpad por no haber visto este post antes...........

En nuestra compañia llevamos hoy todo el dia igual, y somos testigos de como se contagia equipo a equipo directorio compartido uno tras otro y no sabiamos que c*** hacer.

Hes adquirido elitstar y no nos ha funcionado como esperabamos. Esperamos que suban el elifake para mitigar un poco con la extension vir pero..............gracias a Dios teniamos shadow copies y las personas han podido trabajar en sus equipos fisicos para que no se contagiaran.

Hare todo lo que nos ha comentado el amigo diskun, muchas gracias de antemano diskun.

Estamos todos en contacto os voy comentando.
CRI
Novato
Novato
 
Mensajes: 3
Registrado: 26-01-2013 10:47

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Notapor diskun » 26-01-2013 10:47

Hola de nuevo:

Prácticamente hemos instalado Karspersky en todos los equipos con Windows de la empresa, y hemos detectado 4 equipos infectados. El propio antivirus, al scanear los encuentra, pero yo manualmente iba mirando en la ruta correcta y así veía si el fichero existía, cuando se creó, y así comprobar la fecha y hora cuando se corrompieron los ficheros y ver si coinciden; que es que si.

Creemos que lo tenemos controlado el asunto, ya que cortamos a la tarde el acceso al servidor de ficheros, para que no se propagase. Pero habrá que ver si lo habilitamos mañana, y comprobar que no hay mas casos del dichoso virus.

Espero que mi post anterior ayude a mas de uno y no tenga que hacer horas extras como el menda y sus compis :)



Por cierto, la propagación del virus, puede ser via mail, web, irc,p2p o pendrive. Vamos, de cualquier forma :D
diskun
Novato
Novato
 
Mensajes: 2
Registrado: 26-01-2013 10:47

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Notapor CRI » 26-01-2013 10:47

Totalmente, gracias de nuevo diskun.

Con Kaspersky inoculamos puestos y gracias a las shadow copys hemos podido borrar y volver a cargar los archivos. El mismo antivirus cuando se instala y lo pasas ya detecta el virus, y todos los archivos infectados.


Ha sido un placer contar con vuestras ayudas.


Un abrazo a todos.
CRI
Novato
Novato
 
Mensajes: 3
Registrado: 26-01-2013 10:47

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Notapor msc hotline sat » 26-01-2013 10:47

lo malo de los antivirus que lo detectan es que eliminen los ficheros a saco.

Por eso hemos hecho el ELIFAKE, que aparca los ficheros infectados añadiendoles extension .VIR para aparcar la infeccion sin perder los ficheros.

Recomendamos antes ejecutar los SCR (FAKEDOC) imprescindibles y salvar el documento con un GUARDAR COMO, en una carpeta no compartida, luego con el ELIFAKE se aparcarán todos los infectados, y, por cierto, ya hemos hecho la v 1.1 controlando las 4 variantes conocidas actualmente del mismo.

Ver:

http://www.zonavirus.com/noticias/2012/ ... orfiel.asp


y para descargra dicha utilidad:

DESCARGA DEL ELIFAKE.EXE
http://www.zonavirus.com/descargas/elifake.asp

NOTA: Con el ELISTARA teniamos que ir añadiendo cadenas de deteccion para cada caso, por lo que hemos optado por esta otra solucion del ELIFAKE.

y dando por solucionado el Tema, procedemos a cerrarlo

saludos

ms, 8-6-2012
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 80610
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)


Volver a Foro Virus - Cuentanos tu problema

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 8 invitados


Registrese o identifiquese, para no ver la publicidad