Header Ads

Malware Microsoft Excel.WsF

Squid3: Intentos de acceso de Microsoft Excel.WsF
Update Feb 03/2016
En el post Malware Microsoft Windows Based Script Host, mencionamos la nueva raza de virus con la referencia Microsoft ® Windows Based Script Host, los cuales lanzan un proceso haciendo uso de esta dependencia para poder ejecutar un javascript (o más bien una mezcla de JScript con VBScript)
Sin embargo, de todos nos llamó la atención uno llamado Microsoft Excel.WsF (WsF extensión Windows Script File), que tiene muchos nombres, y que crea una carpeta falsa llamada Microsoft Office en la ruta AppData/Roaming.
Tal y como sucede con otras variantes wscript, pensábamos (erróneamente) que lo único malicioso que hacía era meter el contenido de los dispositivos usb en una carpeta oculta llamada .Trashes (el nombre de la carpeta puede cambiar) y poner en su reemplazo falsos accesos directos para seguir replicándose, pero recientemente detectamos actividad inusual de este malware, comunicándose con algunos dominios.
Tal y como mostramos en la imagen del encabezado del post, los registros de squid3 nos muestran los intentos de conexión de este virus a los dominios:
.maroco.redirectme.net
.maroco.myq-see.com
.maroco.linkpc.net
Algo similar sucede con las variantes wscript, conocidas como "empezar", "Windows Explorer (djirf)", entre otras, que se comunican con los portales:
.futureinterest.org
.pumaskill.com
Asumimos que transfiere información recolectada de la víctima, pero por el momento no podemos afirmarlo.
Por lo anterior recomendamos su eliminación. Puede hacerlo manualmente, tal y como se explica en el post anterior, o con nuestro proyecto Dextroyer
Con la tecnología de Blogger.