22 jun 2012

El malware de los “scr”. Una historia de amor y odio (Parte II)

Buenas a todos, a modo de información, en el post de hoy os daré algunos datos importantes sobre el famoso malware de los "scr" (bautizado como Win32/Quevar.gen! por Microsoft) que os comentaba el pasado lunes y que puede que os sean útiles en caso de que lo hayáis padecido y os encontréis en proceso de recuperación:

  • Si tras hacer varios barridos con algunos antivirus veis que todavia siguen existiendo archivos con la extensión "xcod.scr", y tenéis todas las firmas de los AV actualizadas, abrir los archivos con un notepad y veréis con toda probabilidad que se trata de archivos RTF. Estos archivos no son infectados realmente por el malware y simplemente les cambia la extensión de rtf a xcod.scr, por ello los antivirus no los detectan como software malicioso. Para restaurarlos simplemente debéis cambiar la extensión a rtf.
  • El malware crea un ejecutable de nombre aleatorio en la ruta %AppData%\Microsoft\<random characters>.exe . Es decir, "Datos de programa\Microsoft" en WinXP y "AppData\Roaming\Microsoft en Vista, 7 y 8" (al igual que Flu), además de la dll "%windir%\xpsp2res.dll".
  • Crea un lnk con nombre también aleatorio en "AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup".
  • Veréis que los archivos docx infectado adquieren la extensión "xcod.scr" en Windows con versiones de kernel inferior a la 6.0 (XP, 2003 server) y "docx.scr" en versiones con kernel superior a 6.0 (Vista, 7, 8, 2008 server y 2008 server R2)
  • La mayor parte de los AV eliminan directamente los documentos infectados, por lo que si queréis recuperarlos mi recomendación es que los abráis en una máquina virtual (infectaréis la máquina virtual), y una vez abiertos le dáis a "guardar como" y los dejáis con otro nombre en otra unidad. McAfee por el momento (desconozco si algún otro también), limpia estos archivos y los renombra a formato "doc", independientemente de si anteriormente eran "doc" o "docx". Si eran docx os dará un error al abrirlos, para que no vuelva a aparecer el error debéis guardar el documento con un nuevo nombre y la extensión docx.
  • En el primer reinicio de un equipo infectado en el que McAfee detectase archivos maliciosos, estos serán enviados a cuarentena y cuando intentéis restaurarlos volverán a su origen (con el código malicioso inyectado). Por lo que cuando McAfee limpie los archivos y los renombre a "doc", deberéis hacer una copia de los archivos en otra ruta para no perderlos al reiniciar el equipo.
  • El bicho intenta abrir conexiones a las siguientes urls: avtoclub.eu, vnk.sk, 1nlreality.sk, forum.perfect-privacy.com .

Especial agradecimiento a Francis Allan Tan Seng por su análisis que me ha permitido contrastar hipótesis.

Espero que estos datos os sean de utilidad, saludos!

3 comentarios:

  1. Buenos días . Yo hace un par de semanas también me topé con este maldito bicho, y comentarte que también infecta ejecutables que puedas tener en unidades de red.Saludos.

    ResponderEliminar
  2. Jok: Buenos días . Yo hace un par de semanas también me topé con este maldito bicho, y comentarte que también infecta ejecutables que puedas tener en unidades de red.
    Saludos.Gracias! Lo había leído, pero no tenía ninguno para hacer la prueba.saludos!

    ResponderEliminar
  3. [...] y sus historias de amor y odio con el malware… A veces el trabajo y la vida profesional superan la [...]

    ResponderEliminar