Virus de Office (.DOC,.DOCX) FAKEDOC, alias DORIFEL, QUERVAR, HEUR

23 julio, 2012

Inicio, Limpieza de virus, Windows

Síntomas : No se pueden abrir los documentos de Word, cambia el nombre con nombre archivo [xcod].doc.[scr], cuando se intenta copiar el archivo por la red salta un mensaje de error que el usuario no tiene permisos.

El virus se replica solo tanto en el sistema infectado como en todas la unidades de red montadas como disco duro local, lo  que significa que infecta archivos en otros sistemas.

Alias

  • Kaspersky – Trojan-Dropper.Win32.Dorifel.cgt
  • Microsoft – Virus:Win32/Quervar.A
  • Ikarus   – Backdoor.Win32.Beastdoor
  • Symantec – Trojan.Exprez

Los métodos de infección

El virus es auto-replicante. A menudo se transmite por una red o por la transmisión a un medio extraíble, como un disco extraíble, CD grabable o una unidad USB. El virus también puede propagar mediante la infección de archivos en un sistema de archivos de red o un sistema de archivos que es compartida por otro equipo.

El  malware cifra los archivos DOC y DOCX y puede renombrar con una extensión de archivo xcod.scr -. Esto sucede a través de la red, así como a nivel local. También los archivos pueden ser cifrados en varias ocasiones en la máquina infectada.

Una vez ejecutado, crea los archivos en la ubicación siguiente

% AppData% \ Microsoft \ TAKHRIJ.exe
% AppData% \ Microsoft \ Office \ Recent \ Desktop.LNK
% SystemDrive% \ Documents and Settings \ All Users \ Datos de programa \ Microsoft \ Office \ Data \ Opa12.dat
% AppData% \ Microsoft \ Office \ Mso2057.acl
% AppData% \ Microsoft \ UProof \ PERSONAL.DIC
% AppData% \ Microsoft \ Office \ Word12.pip
% AppData% \ Microsoft \ Document Building Blocks \ 1033 \ Bloques de Construcción
% AppData% \ Microsoft \ Office \ Recent \ Templates.LNK
Y cae por las siguientes carpetas en la ubicación siguiente


% AppData% \ Microsoft \ Document Building Blocks
% AppData% \ Microsoft \ Document Building Blocks \ 1033
% AppData% \ Microsoft \ Proof
% Appdata% \ Microsoft \ Plantillas
% AppData% \ Microsoft \ UProof
% AppData% \ Microsoft \ Word
% AppData% \ Microsoft \ Word \ INICIO

Las siguientes claves del registro se ha agregado al sistema de

HKEY_LOCAL_MACHINE \ Software \ Classes \ CLSID \ {64239E90-036B-4B8F-B28D-4FD6DBD27576}
HKEY_LOCAL_MACHINE \ Software \ Classes \ CLSID \ {64239E90-036B-4B8F-B28D-4FD6DBD27576} \ LocalServer32

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Enum \ Root \ LEGACY_STISVC \ 0000 \ Control

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ Root \ LEGACY_STISVC \ 0000 \ Control
Los siguientes valores del registro se ha agregado al sistema de
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {64239E90-036B-4B8F-B28D-4FD6DBD27576} \ LocalServer32 \ “% ProgramFiles% \ Microsoft Office \ Office12 \ WINWORD.EXE / IMG_WIA”
“Microsoft Office Word”
“% Program Files% \ Microsoft Office \ Office12 \ WINWORD.EXE, 1”
“Los archivos% ProgramFiles% \ Microsoft Office \ Office12 \ WINWORD.EXE / IMG_WIA”
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Enum \ Root \ LEGACY_STISVC \ 0000 \ Control \ ActiveService: “stisvc”
“Microsoft Office Word”
“% Program Files% \ Microsoft Office \ Office12 \ WINWORD.EXE, 1”
“% ProgramFiles% \ Microsoft Office \ Office12 \ WINWORD.EXE / IMG_WIA”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ Root \ LEGACY_STISVC \ 0000 \ Control \ ActiveService: “stisvc”
Los siguientes valores del registro se ha modificado para el sistema
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ ServiceCurrent \: 0x0000000d
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ ServiceCurrent \: 0x0000000E
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ ServiceCurrent \: 0x0000000d
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ ServiceCurrent \: 0x0000000E
0x40D30002
0x40DD0004

Descodificar los archivos infectados

Para descodificar los archivos llama a 691.11.27.21 o deja su incidencia en Registra su incidencia. Hasta ahora ningún de los siguientes antivirus no pueden recuperar los archivos: Kaspesky, F-Secure, Avast, Norton, Panda etc

ver nueva versión del virus

One Response to “Virus de Office (.DOC,.DOCX) FAKEDOC, alias DORIFEL, QUERVAR, HEUR”

  1. Galex Says:

    Muchas Gracias por su excelente Tutorial, despues de haber navegado en infinidad de foros con las mismas respuestas genericas, encontre la solucion especifica en este Post, hubo un “brote” de este virus en la empresa , hoy se recuperaron cientos de archivos vitales y entendimos de que va este virus gracias a usted. 100/10 Keep Up The Good Work!

    Reply

Leave a Reply

Verificación Humana *