Virus de Office (.DOC,.DOCX) FAKEDOC, alias DORIFEL, QUERVAR, HEUR

Síntomas : No se pueden abrir los documentos de Word, cambia el nombre con nombre archivo [xcod].doc.[scr], cuando se intenta copiar el archivo por la red salta un mensaje de error que el usuario no tiene permisos.

El virus se replica solo tanto en el sistema infectado como en todas la unidades de red montadas como disco duro local, lo  que significa que infecta archivos en otros sistemas.

Alias

  • Kaspersky – Trojan-Dropper.Win32.Dorifel.cgt
  • Microsoft – Virus:Win32/Quervar.A
  • Ikarus   – Backdoor.Win32.Beastdoor
  • Symantec – Trojan.Exprez

Los métodos de infección

El virus es auto-replicante. A menudo se transmite por una red o por la transmisión a un medio extraíble, como un disco extraíble, CD grabable o una unidad USB. El virus también puede propagar mediante la infección de archivos en un sistema de archivos de red o un sistema de archivos que es compartida por otro equipo.

El  malware cifra los archivos DOC y DOCX y puede renombrar con una extensión de archivo xcod.scr -. Esto sucede a través de la red, así como a nivel local. También los archivos pueden ser cifrados en varias ocasiones en la máquina infectada.

Una vez ejecutado, crea los archivos en la ubicación siguiente

% AppData% \ Microsoft \ TAKHRIJ.exe
% AppData% \ Microsoft \ Office \ Recent \ Desktop.LNK
% SystemDrive% \ Documents and Settings \ All Users \ Datos de programa \ Microsoft \ Office \ Data \ Opa12.dat
% AppData% \ Microsoft \ Office \ Mso2057.acl
% AppData% \ Microsoft \ UProof \ PERSONAL.DIC
% AppData% \ Microsoft \ Office \ Word12.pip
% AppData% \ Microsoft \ Document Building Blocks \ 1033 \ Bloques de Construcción
% AppData% \ Microsoft \ Office \ Recent \ Templates.LNK
Y cae por las siguientes carpetas en la ubicación siguiente


% AppData% \ Microsoft \ Document Building Blocks
% AppData% \ Microsoft \ Document Building Blocks \ 1033
% AppData% \ Microsoft \ Proof
% Appdata% \ Microsoft \ Plantillas
% AppData% \ Microsoft \ UProof
% AppData% \ Microsoft \ Word
% AppData% \ Microsoft \ Word \ INICIO

Las siguientes claves del registro se ha agregado al sistema de

HKEY_LOCAL_MACHINE \ Software \ Classes \ CLSID \ {64239E90-036B-4B8F-B28D-4FD6DBD27576}
HKEY_LOCAL_MACHINE \ Software \ Classes \ CLSID \ {64239E90-036B-4B8F-B28D-4FD6DBD27576} \ LocalServer32

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Enum \ Root \ LEGACY_STISVC \ 0000 \ Control

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ Root \ LEGACY_STISVC \ 0000 \ Control
Los siguientes valores del registro se ha agregado al sistema de
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {64239E90-036B-4B8F-B28D-4FD6DBD27576} \ LocalServer32 \ «% ProgramFiles% \ Microsoft Office \ Office12 \ WINWORD.EXE / IMG_WIA»
«Microsoft Office Word»
«% Program Files% \ Microsoft Office \ Office12 \ WINWORD.EXE, 1»
«Los archivos% ProgramFiles% \ Microsoft Office \ Office12 \ WINWORD.EXE / IMG_WIA»
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Enum \ Root \ LEGACY_STISVC \ 0000 \ Control \ ActiveService: «stisvc»
«Microsoft Office Word»
«% Program Files% \ Microsoft Office \ Office12 \ WINWORD.EXE, 1»
«% ProgramFiles% \ Microsoft Office \ Office12 \ WINWORD.EXE / IMG_WIA»
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ Root \ LEGACY_STISVC \ 0000 \ Control \ ActiveService: «stisvc»
Los siguientes valores del registro se ha modificado para el sistema
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ ServiceCurrent \: 0x0000000d
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ ServiceCurrent \: 0x0000000E
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ ServiceCurrent \: 0x0000000d
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ ServiceCurrent \: 0x0000000E
0x40D30002
0x40DD0004

Descodificar los archivos infectados

Para descodificar los archivos llama a 691.11.27.21 o deja su incidencia en Registra su incidencia. Hasta ahora ningún de los siguientes antivirus no pueden recuperar los archivos: Kaspesky, F-Secure, Avast, Norton, Panda etc

ver nueva versión del virus

Una respuesta a “Virus de Office (.DOC,.DOCX) FAKEDOC, alias DORIFEL, QUERVAR, HEUR”

  1. Muchas Gracias por su excelente Tutorial, despues de haber navegado en infinidad de foros con las mismas respuestas genericas, encontre la solucion especifica en este Post, hubo un “brote” de este virus en la empresa , hoy se recuperaron cientos de archivos vitales y entendimos de que va este virus gracias a usted. 100/10 Keep Up The Good Work!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Verificación Humana * Límite de tiempo se agote. Por favor, recargar el CAPTCHA por favor.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.