Dorifel/Quervar: Nuevo malware con viejas técnicas

En los últimos años hemos visto cómo la mayoría de muestras de malware que recibíamos en nuestros laboratorios correspondían principalmente a troyanos, spyware y, en los últimos meses, varios tipos de ransomware como el “Virus de la Policía”. Los virus clásicos que infectan otros archivos apenas han tenido presencia en el porcentaje de amenazas detectadas, pero eso no significa que hayan desaparecido por completo.

El recientemente descubierto virus Dorifel/XDocCrypt (o Win32/Quervar.C según la nomenclatura de ESET) significa una vuelta al uso de técnicas clásicas pero con la inclusión de alguna novedad que lo hace más interesante y efectivo. A grandes rasgos, este malware infecta archivos de Word y Excel, los cifra y los convierte en ejecutables con extensión .scr.

Además, tal y como nos comentan en el blog de Hispasec, este malware tiene una peculiaridad, y es que utiliza un carácter especial de la codificación Unicode para hacer que se le dé la vuelta a todo lo escrito a partir de dicho carácter. Por ejemplo, si este malware crea un archivo con el nombre “Presupuesto[U+202E]slx.scr”, el archivo tendrá una extensión .scr, pero el usuario solo verá un fichero con nombre y extensión “Presupuestoscr.xls”.

[Imagen cortesía del blog “Una al día” de Hispasec]

Como los virus clásicos, este malware busca archivos para infectar en todas aquellas unidades de disco o de red conectadas al sistema infectado, aunque evita aquellas que contengan la carpeta “System Volume Information”. Además, crea una entrada en el registro para ejecutarse en cada inicio del sistema:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
«load» = «%appdata%\%variable1%\%variable2%.exe.lnk»

Desde Hispasec también nos avisan de que este malware contacta con un centro de control, aunque de momento no se ha observado que envíen comandos desde él. El vector de infección también resulta curioso, puesto que tan solo aquellos sistemas que se han visto afectados por variantes del malware Citadel han sufrido una infección por Dorifel/Quervar. En caso de estar infectados, podemos usar la herramienta de desinfección que hemos desarrollado en ESET.

Tampoco han tardado en aparecer oportunistas que se aprovechan de la alarma creada por este nuevo malware y, al igual que ocurriera con Medre, han aparecido casos de scammers que ofrecen su “ayuda” por teléfono a los usuarios. Muchos de estos casos se han detectado en Holanda (donde se han registrado muchos casos de infección por este nuevo malware), aunque no sería de extrañar que se extendiese a otros países. Nuestro compañero David Harley ha publicado un interesante artículo hablando sobre este tema en el blog de eset.com.

Como vemos, las viejas técnicas de infección aún pueden dar mucho de sí adaptándose a los nuevos tiempos. Es por eso que, desde el laboratorio de ESET en Ontinet.com, recomendamos no bajar la guardia e instalar un antivirus actualizado para evitar infectarnos con este malware. Asimismo, el uso complementario de otras herramientas como WinLockLess desarrollada por Hispasec también ayuda a mantener nuestro sistema protegido.

Josep Albors

@JosepAlbors

¿Existe una interconexión entre Gauss y otros malware como Stuxnet, Duqu o Flame?