Ver Tema - [CERRADO] (03471974) Virus que modifica archivos de word en .xcod.scr

[PedroRaez Perfil]

Buenas tardes,

Tengo un servidor con Windows Server 2003 en el que tenemos instalado Panda Cloud Office Protection.

A finales de junio vimos que todos los archivos de word del servidor estaban siendo cambiados a archivos con extensión .xcod.scr.

Investigando vimos que era un virus que afectaba a carpetas compartidas y quitamos esa compartición.

Pasando el antivirus encontraba esos archivos infectados y al principio parecía que los reparaba y dejaba otra vez como .doc, pero cuando lo miramos en profundidad empezamos a ver como algunos estaban desapareciendo. Eran borrados.

Además cuando ya pensábamos que el virus se había quitado volvimos a compartir una de las carpetas ya que la gente no podía trabajar sin esos documentos y el virus volvió a actuar. Nada más detectar que se comparte una carpeta modifica los archivos.

Leímos también que ese virus creaba una librería llamada xpsp2res.dll en la carpeta Windows y aunque lo eliminamos vuelve a aparecer.

Estamos un poco desesperados porque no hemos encontrado ninguna información al respecto excepto en foros que lo bautizan como Dorifel o variante de este virus.

Cada día que pasa perdemos más archivos y lo más preocupante es que no vemos como volver a la normalidad.

Si necesitan archivos o muestras decidme donde os las puedo enviar.

Muchas gracias y un saludo.

Pedro J. Ráez.

[TaTienDo]

Hola,

Indicarte que desde el pasado día 26 de junio que se incluyo la detección de dicha infección en el fichero de firmas.

¿Has realizado análisis en todos los pcs que acceden a esa carpeta compartida? ¿y en el propio servidor? entiendo que todas las máquinas estan parcheadas a nivel de sistema operativo y antivirus. Si no es así, actualiza todo y procede a realizar análisis en los pcs y en el servidor. Si es necesario sube un adjunto con el informe del análisis.

Quedamos a la espera de tus comentarios,

Saludos,

[PedroRaez Perfil]

Buenos días,

Todas las máquinas tienen actualizados sus sistemas operativos XP y Server 2003. Los antivirus también están operativos y actualizados.

Una máquina sospechosa la tenemos desconectada de la red y la vamos a analizar aparte.

He lanzado un nuevo análisis en el servidor y lleva 40 archivos reparados y 80 sin reparar. Cuando acabe intentaré sacar el informe de lo encontrado. Mientras el panda va dándome ventanitas emergentes de virus encontrados y que pinche en "step-by-step guide" para eliminarlos, pero al hacerlo me manda a una pantalla genérica de ayuda.

Gracias y un saludo.

[PandaSupport1]

Adjuntanos el informe una vez finalizado el análisis por favor.
También sería de utilidad que nos adjuntases alguno de los ficheros que no estamos detectando/reparando (comprimidos con contraseña)

[PedroRaez Perfil]

Va por el 74% del análisis, neutralizados 790, no neutralizados 1594. Esta tarde habrá terminado y ya podré mandar el análisis. Aunque con esta versión de Panda no se exactamente como sacar ese análisis, supongo que se podrá hacer desde el gestor web.

Me he fijado en algo que está cambiando, y es que muchos archivos están terminando como .exe.

Os adjunto un documento .rar en el que van varios de los archivos (Espero no infectar a nadie con esto )

Un saludo y muchas gracias.

Editado para borrar la contraseña del archivo (os la mandaré por privado).

[PedroRaez Perfil]

Terminó el escaneado de virus. 1051 neutralizados, 1695 no neutralizados.

Entré en https://managedprotection.pandasecurity.com para sacar el informe de las detecciones pero me sale todo a cero.

Datos obtenidos del 12/07/2012 18:00:00 al 13/07/2012 18:05:05

Información resumen (Últimas 24 horas)

Virus y otras amenazas
0
Spam
0
Operaciones peligrosas bloqueadas
0
Dispositivos bloqueados
0
Tracking cookies
0
Intentos de intrusión bloqueados
0
Detecciones solucionadas
0

Información detalle (últimas 24 horas)

No hay suficiente información para mostrar esta sección

Ahora me pide reiniciar el equipo para limpiar algunas de las infecciones, pero me extraña que no se vean en el resumen de la web. Algo debe ir mal.

Adjunto imágenes de las detecciones.

P1.jpg

P2.png

p3.png

[PandaSupport1]

Hola,

Te he respondido al mensaje privado. Vamos a necesitar tu nº de cliente para poder abrirte una incidencia.

[PedroRaez Perfil]

Enviado.

Muchas gracias.

[PandaSupport1]

Enviado.

Muchas gracias.

Hola,

Te hemos abierto la incidencia nº 03471974
Vamos a estudiar los datos detenidamente para tratar de ofrecerte una solución lo antes posible.

[PandaSupport1]

Hola,

Hemos estado revisando los datos y llegamos a un par de conclusiones:

1. La ultima detección data del 11 de Julio. Si analizas de nuevo todo el Pc (D:\ incluido) que sucede?

2. En ciertos, nuestra rutina de desinfección solo puede añadir la extensión .doc al nombre ya modificado por el malware. Por ejemplo: fichero~1.xcod.scr, lo dejaría como fichero~1.xcod.scr.doc. Estos ficheros ya estarían accesibles (si los abres, funcionan OK), pero tendrías que renombrarlos a mano para dejarlos con su nomenclatura original...