Вирус Exploit.CVE2010-3333.4 , Распространение через файл "*.doc". Вредоносная деятельность, идентификация и удаление

1
RSS
Здравствуйте!

Вчера получил по электронной почте любопытное сообщение с вложенным файлом info.doc. Всегда отношусь к полученным из неизвестных источников файлам крайне осторожно, но этот документ решил открыть. Предварительно, конечно, протестировав его своим антивирусом Eset Nod32, а потом еще и антишпионским компонентом Outpost Firewall Pro. Ни та, ни другая программа ничего подозрительного в файле не обнаружила. Но при его открытии MS Word сразу же выдал сообщение о критической ошибке ("Приложение будет закрыто, все несохраненные данные -- утеряны"). Заподозрив неладное, я решил проверить файл info.doc еще каким-нибудь антивирусным онлайн-сканером. И был неприятно удивлен, когда, отправив файл на проверку на сайте Dr.Web, получил уведомление, что он инфицирован:

info.doc - infected modify Exploit.CVE2010-3333.4

Хотел бы проконсультироваться у специалистов, что это за "бяка", насколько опасна, как себя проявляет, как можно проверить был ли все-таки компьютер инфицирован при попытке открытия документа и как этот вирус удаляется.

Будучи наслышанным о макровирусах, распространяемых именно через файлы формата *.doc, еще вчера "пошерстил" шаблоны.

Спасибо заранее!

P. S. И сегодня, после очередного обновления баз, мой Nod32 по-прежнему хранит молчание.
проверьте другим сканером систему, например сделайте полное сканирование в малваребайт
А хоть какую-нибудь справку об этом вирусе не дадите? На что обращать внимание, пока вирус не будет удален? Заражает ли он, скажем, сменные носители?

А насчет малваребайт -- Вы имеете в виду бесплатную версию? Платить еще за одну полную 25USD - не улыбается. И еще. После установки малваребайт -- конфликтов с уже установленными Nod32 и Firewall Outpost Pro не будет?
установить только сканер - это бесплатно, после выполнения сканирования деинсталлируйте его,
----
по эксплойтам справок не даем,
+ подозрительный файлик с описанием проблемы отправьте на адрес support@esetnod32.ru предварительно запаковав и установив пароль infected
ESET Technical Support
протестил этот файл на машине, разобрался. У меня получился во такой приблизительный вывод:


После открытия файла с помощью Microsoft Office, на системе выполняется шелкод, который создает и выполняет файл file C:/RECYCLER/server.exe. Этот файл производит на системе следующие действия:

   Создает файл vmm2.tmp  во временной системной пакет
   Переименовывает файл vmm2.tmp в dhcpsrv.dll и переносит его в каталог c:windowssystem32
   Вносит изменения в системный реестр относительно поддельной DHCP службы.
Цитата
После открытия файла с помощью Microsoft Office, на системе выполняется шелкод, который создает и выполняет файл file C:/RECYCLER/server.exe. Этот файл производит на системе следующие действия:

Создает файл vmm2.tmp во временной системной пакет
Переименовывает файл vmm2.tmp в dhcpsrv.dll и переносит его в каталог c:windowssystem32
Вносит изменения в системный реестр относительно поддельной DHCP службы.

Проверил. У меня на компьютере нет файлов C:/RECYCLER/server.exe и c:/windows/system32/dhcpsrv.dll. К тому же, Outpost Firewall Pro должен был заблокировать несанкционированное изменение реестра. А от него никаких сообщений не было. Означает ли это, что вирус не смог-таки проникнуть в систему, и можно быть спокойным?

А что это вообще за вирус? Каково его назначение?
1
Читают тему (гостей: 1)