virus que convierte los ficheros .doc y docx en xcod.scr (SOLUCIONADO)

Cerrado
tsanse
Mensajes: 2
Registrado: 23 May 2012, 13:46

virus que convierte los ficheros .doc y docx en xcod.scr (SOLUCIONADO)

Mensaje por tsanse » 23 May 2012, 14:02

Hola,

Tengo un servidor de ficheros con unas unidades compartidas en las que hay unos cuantos miles de ficheros .doc y .docx

El caso es que hace unos días que se me están renombrando los ficheros cambiando la extensión de .doc o .docx a xcod.scr

El servidor tiene el S.O. Windows 2003 de 32 bits. Con la versión 7 del WorryFree de Trendmicro.

He borrador todos los ficheros dañados y los he restaurado de la copia de seguridad. Al cabo de unos minutes vuelven a estar renombrados.

He pasado varios antivirus y programas de limpieza de malware sin obtener una solución al problema.

También he comprobado que no hubiera ningún rootkit instalado, siendo el resultado negativo.

Uno de los antivirus vía Web que he probado es el Housecall de trendmicro.

Tambien he pasado el elistara en las versiones 25.51 25.52 y 25.53 que se supone tendrian que haber solucionado el problema.

Tambien he hecho una busqueda del XPSP2RES.DLL.dll que se supone es del virus y no he encontrado nada.

Todos estos pasos los he efectuado en el servidor y los 8 Pcs de la red.



¿Hay alguna solución a ello?



Gracias.

petaka
Mensajes: 2
Registrado: 23 May 2012, 19:41

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Mensaje por petaka » 23 May 2012, 19:53

Nosotros estamos en la misma situación que tu, también hemos probado todo tipo de aplicaciones de limpieza, incluido el ElistarA sin ningún resultado positivo. Si sabes algo comenta, please.



Un saludo.

Mathew
Mensajes: 1
Registrado: 30 May 2012, 10:45

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Mensaje por Mathew » 30 May 2012, 10:53

Buenos días,



Hemos estado descargando las versiones de elistara, desde que en el foro se describió el problema con este virus, ya son 3 las versiones que nos hemos descargado, ya que en una semana actualizaron 3 versiones de elistara.



El precio total del servicio es de 2,36 € impuestos incluidos. El problema se resolvía con alguna de las versiones anteriores, pero no es así y continuamos con el mismo problema de los archivos word renombrados a xcode.scr



Estamos un poco desesperados con este tema.



Espero encontremos entre todos alguna solución al problema.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Mensaje por msc hotline sat » 30 May 2012, 17:16

Ya se informó en su día del FAKEDOC, alias DORIFEL, y el VirusScan de McAfee no solo lo detecta y elimina, sino que con el ultimo EXTRA.DAT, decodifica los DOC correctamente, pero no los DOCX, que deben recuperarse previamente ejecutanbdolos y salvando a una unidad no compartida antes de procesarlos con el VirusScan, pues sino se perderian.



Ver en Noticias del foro varias relativas a FAKEDOC entrando a buscar dicho nombre.



Por ejemplo: http://www.zonavirus.com/noticias/2012/nueva-informacion-de-mcafee-sobre-virus-fakedoc-alias-dorifel-y-su-control-a-partir-de-dat-6721-actuales.asp



y con el ELISTARA vamos controlando las muestras que vamos recibiendo y enviandolas a McAfee, para su analisis exhaustivo,



saludos



ms, 30-5-2012

tsanse
Mensajes: 2
Registrado: 23 May 2012, 13:46

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Mensaje por tsanse » 31 May 2012, 23:53

Hola otra vez,



Acabo de recibir un correo de Trendmicro, en el que me dicen que el TROJ_QUERVAR.AA (es el nombre con el que han bautizado el FAKEDOC, alias DORIFEL) ya es detectado por ellos. El antivirus ha de tener el Pattern 9.150.02 con el scan engine 9.2 o superior.



Lo que no me dicen es si con el HouseCall (herramienta de limpieza vía Web) se puede eliminar.

Supongo que si, ya que esta siempre utiliza el último pattern y scan engine)

Otra herramienta de limpieza muy agresiva y que se utiliza para enviar muestras es el Anti-Threat ToolKid (ATTK). Estas y otras herramientas las podéis descargar de la página de TrendMicro https://foros.zonavirus.com/viewtopic.php?f=1&t=17044



Una cuestión importante es saber que es lo que detecta realmente. El virus en si o simplemente los ficheros “xcod.scr”.

Si son los ficheros “xcod.scr”, esto ya lo hacia 2 semanas atrás, cuando lo detectamos por primera vez, ya que el antivirus nos eliminaba todos estos ficheros. ¿Continuará haciendo lo mismo o limpiará los ficheros infectados?

Si puedo, mañana mismo intentare solucionar el problema y si no el lunes.



En cuanto sepa algo, lo posteo.



Saludos peña.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Mensaje por msc hotline sat » 01 Jun 2012, 10:14

Nosotros no trabajamos con Trend, sino con McAfee, y supongo que los de Trend, igual que los de Kaspersky, se limitarán a eliminar los ficheros .SCR creados, perdiendo toda la información, a diferencia de McAFee, que ya indicamos consigue descifrar y recuperar los DOC afectados .



Pero ya que lo vas a probar, dinos si recupera la informacion de dichos ficheros y especialmente si lo hace tambien con los DOCX, los cuales solo recuperamos ejecutando el fichero SCR y con un "SALVAR COMO" en una unidad no compartida, obtenemos los ficheros originales, antes de utilizar los antivirus.



saludos



ms, 1-6-2012

GeosNet
Mensajes: 1
Registrado: 07 Jun 2012, 20:35

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Mensaje por GeosNet » 07 Jun 2012, 20:39

Buenas,



Yo tengo el mismo problema en una empresa con 8 ordenadores y 3 servidores. Tienen instalado el trendmicro worry free....



El virus solo modifica los documentos de word de las carpetas compartidas del servidor, y solo aquellos con extension .xdoc, los .doc no se modifican.



He intentado pasar el malwarebytes, el combofix, el trendmicro en los equipos y el malwarebytes i el trendmicro en servidores... y ahora he dejado pasando el panda activescan pero hasta el momento nada de nada....



He recuperado tambien las carpetas de documentos de la copia de seguridad y todo bien pero al colgar-los de la carpeta compartida se vuelven a modificar.



Mañana cuelgo el log del combofix y intentaré pasar-le el spyware, tambien intentaré con el Mcafee tal hi como habeis comentado...



Si a alguien se le ocurre algo mas.....



Muchas gràcias de antemano

diskun
Mensajes: 2
Registrado: 07 Jun 2012, 21:38

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Mensaje por diskun » 07 Jun 2012, 23:11

Buenas noches,



Soy uno de los "afortunados" que está experimentando las miserias de este maravilloso virus/troyano en la empresa. Llevamos todo el día investigando en la red, y la documentación es escasa. Pero gracias a la documentación de Microsoft he encontrado el fichero origen y como funciona. Voy a ser lo más claro posible.



El virus, como ya sabéis, transforma los ficheros acabados en .doc en .scr, y los .docx en xcod.scr. Los ficheros se pueden abrir, y ver el contenido sin problemas incluso trabajando en él. Es abriéndolo como se propaga el virus a otros equipos.



Lo que he detectado con mis compañeros, es que SOLO modifica ficheros compartidos en el servidor, los ficheros locales de los equipos infectados no los modifica.



Por lo tanto, si equipo A sube un fichero infectado al Servidor, y Equipo B lo abre desde su equipo, Equipo B se infecta. Y la pregunta es: ¿Dónde se ubica el fichero ejecutable del virus? Esta es la pregunta del millón, y aquí Microsoft nos ha salvado la vida.



http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWin32%2FQuervar.A



Se ubica en C:\Usuarios\<usuario_que_inicia_sesión_y_ejecuta_elfichero>\AppData\Roaming\Microsoft\<random>.exe



El fichero puede llamarse con cualquier nombre avabado en .exe. Los que he localizado son series de letras en mayúsculas de forma aleatoria, Ejemplo:



MKGDCMKS.exe



Este es el ejecutable del virus y es el que se va copiando en cada equipo que abre un fichero .doc o .docx infectado.



El único antivirus con el que hemso conseguido detectar y eliminar es con Karspersky actualizada su firma a fecha de hoy, todos los demas que hemos probado (Avast!, McAfee, Microsoft Essentials, Microsoft ForeFront, NOD32, SpyBot Search & Destroy, MalwareBytes) solo sirven para ocupar espacio en disco. Eso si, el Karspersky elimina el fichero .exe, y ¡OJO!, los .xcodsrc y .src infectados TAMBIEN, perdiendo los datos. Así que hay que tener cuidado.



Una vez limpiado con Karspersky, hemos probado de volver a infectar el equipo, y lo detiene, así que inmuniza los equipos .



También, a partir de la documentación de Microsoft, sabemos que el objetivo del virus/troyano, intenta robar cuentas y demás, y envía información a las siguientes IPs:



87.106.60.46 avtoclub.eu

82.208.46.25 vnk.sk

212.57.32.49 1nlreality.sk

64.90.59.160 forum.perfect-privacy.com



Os recomiendo poner políticas de firewall para cortar el acceso a dichas IPs.



Por último, para recuperar los ficheros doc y docx infectados, con abrirlos y darles a Guardar como... y poener su extensión correcta, es suficiente. Karspersky al scanear no los eliminará.



Y esto es todo lo que hemos recopilado de información, la noche es larga y toca revisar PC por PC la ruta donde se ubica el ejecutable, y destruirlo cual bastardo que es.



Si detectamos mas cambios os informaré





Saludos y que no sufráis como nosotros :)

pinchaki
Mensajes: 1
Registrado: 08 Jun 2012, 00:11

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Mensaje por pinchaki » 08 Jun 2012, 00:20

Hola.

Llevamos sufriendo todo el día con este troyano/virus.

Más de 250000 ficheros de word "tocados", los exe son fáciles de recuperar con las copias de seguridad , pero y los doc y docx que ha modificado????, hasta que nos dimos cuenta del problema se modificaron más del 60% de los ficheros....

Hemos probado con casi todos los antivirus y muchos ni lo detectan....ahora estoy con el karspersky pasandolo en uno de los servidores de ficheros a ver si al menos me marco todos los ficheros a .VIR y así por lo menos se para un poco la epidemia...

Lo más frustrante es que no se por donde ha entrado.....correo???? Pendrive???? alguién aburrrido en la ofi?????

Noche larga....

CRI
Mensajes: 3
Registrado: 07 Jun 2012, 19:20

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Mensaje por CRI » 08 Jun 2012, 00:42

Lo primero disculpad por no haber visto este post antes...........



En nuestra compañia llevamos hoy todo el dia igual, y somos testigos de como se contagia equipo a equipo directorio compartido uno tras otro y no sabiamos que c*** hacer.



Hes adquirido elitstar y no nos ha funcionado como esperabamos. Esperamos que suban el elifake para mitigar un poco con la extension vir pero..............gracias a Dios teniamos shadow copies y las personas han podido trabajar en sus equipos fisicos para que no se contagiaran.



Hare todo lo que nos ha comentado el amigo diskun, muchas gracias de antemano diskun.



Estamos todos en contacto os voy comentando.

diskun
Mensajes: 2
Registrado: 07 Jun 2012, 21:38

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Mensaje por diskun » 08 Jun 2012, 02:10

Hola de nuevo:



Prácticamente hemos instalado Karspersky en todos los equipos con Windows de la empresa, y hemos detectado 4 equipos infectados. El propio antivirus, al scanear los encuentra, pero yo manualmente iba mirando en la ruta correcta y así veía si el fichero existía, cuando se creó, y así comprobar la fecha y hora cuando se corrompieron los ficheros y ver si coinciden; que es que si.



Creemos que lo tenemos controlado el asunto, ya que cortamos a la tarde el acceso al servidor de ficheros, para que no se propagase. Pero habrá que ver si lo habilitamos mañana, y comprobar que no hay mas casos del dichoso virus.



Espero que mi post anterior ayude a mas de uno y no tenga que hacer horas extras como el menda y sus compis :)







Por cierto, la propagación del virus, puede ser via mail, web, irc,p2p o pendrive. Vamos, de cualquier forma :D

CRI
Mensajes: 3
Registrado: 07 Jun 2012, 19:20

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Mensaje por CRI » 08 Jun 2012, 02:21

Totalmente, gracias de nuevo diskun.



Con Kaspersky inoculamos puestos y gracias a las shadow copys hemos podido borrar y volver a cargar los archivos. El mismo antivirus cuando se instala y lo pasas ya detecta el virus, y todos los archivos infectados.





Ha sido un placer contar con vuestras ayudas.





Un abrazo a todos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus que convierte los ficheros .doc y docx en xcod.scr

Mensaje por msc hotline sat » 08 Jun 2012, 11:02

lo malo de los antivirus que lo detectan es que eliminen los ficheros a saco.



Por eso hemos hecho el ELIFAKE, que aparca los ficheros infectados añadiendoles extension .VIR para aparcar la infeccion sin perder los ficheros.



Recomendamos antes ejecutar los SCR (FAKEDOC) imprescindibles y salvar el documento con un GUARDAR COMO, en una carpeta no compartida, luego con el ELIFAKE se aparcarán todos los infectados, y, por cierto, ya hemos hecho la v 1.1 controlando las 4 variantes conocidas actualmente del mismo.



Ver:



http://www.zonavirus.com/noticias/2012/nueva-utilidad-elifakeexe-para-control-del-malware-fakedoc-alias-dorfiel.asp





y para descargra dicha utilidad:



DESCARGA DEL ELIFAKE.EXE

http://www.zonavirus.com/descargas/elifake.asp



NOTA: Con el ELISTARA teniamos que ir añadiendo cadenas de deteccion para cada caso, por lo que hemos optado por esta otra solucion del ELIFAKE.



y dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms, 8-6-2012

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”