http://forum.esetnod32.ru Новое в теме Вирус Exploit.CVE2010-3333.4 форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 02 May 2026 08:07:38 +0300 Вирус Exploit.CVE2010-3333.4 Распространение через файл "*.doc". Вредоносная деятельность, идентификация и удаление в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
После открытия файла с помощью Microsoft Office, на системе выполняется шелкод, который создает и выполняет файл file C:/RECYCLER/server.exe. Этот файл производит на системе следующие действия:

Создает файл vmm2.tmp во временной системной пакет
Переименовывает файл vmm2.tmp в dhcpsrv.dll и переносит его в каталог c:windowssystem32
Вносит изменения в системный реестр относительно поддельной DHCP службы.
=============

Проверил. У меня на компьютере нет файлов C:/RECYCLER/server.exe и c:/windows/system32/dhcpsrv.dll. К тому же, Outpost Firewall Pro должен был заблокировать несанкционированное изменение реестра. А от него никаких сообщений не было. Означает ли это, что вирус не смог-таки проникнуть в систему, и можно быть спокойным?

А что это вообще за вирус? Каково его назначение?
27.03.2012 20:33:34, zmicer_k.]]> http://forum.esetnod32.ru/messages/forum6/topic4912/message38786/ http://forum.esetnod32.ru/messages/forum6/topic4912/message38786/ Tue, 27 Mar 2012 20:33:34 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус Exploit.CVE2010-3333.4 Распространение через файл "*.doc". Вредоносная деятельность, идентификация и удаление в форуме Обнаружение вредоносного кода и ложные срабатывания.
протестил этот файл на машине, разобрался. У меня получился во такой приблизительный вывод:


После открытия файла с помощью Microsoft Office, на системе выполняется шелкод, который создает и выполняет файл file C:/RECYCLER/server.exe. Этот файл производит на системе следующие действия:

   Создает файл vmm2.tmp  во временной системной пакет
   Переименовывает файл vmm2.tmp в dhcpsrv.dll и переносит его в каталог c:windowssystem32
   Вносит изменения в системный реестр относительно поддельной DHCP службы.
27.03.2012 18:58:27, LOVCHIY .]]> http://forum.esetnod32.ru/messages/forum6/topic4912/message38778/ http://forum.esetnod32.ru/messages/forum6/topic4912/message38778/ Tue, 27 Mar 2012 18:58:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус Exploit.CVE2010-3333.4 Распространение через файл "*.doc". Вредоносная деятельность, идентификация и удаление в форуме Обнаружение вредоносного кода и ложные срабатывания.
+ подозрительный файлик с описанием проблемы отправьте на адрес support@esetnod32.ru предварительно запаковав и установив пароль infected
27.03.2012 12:57:57, Валентин.]]> http://forum.esetnod32.ru/messages/forum6/topic4912/message38741/ http://forum.esetnod32.ru/messages/forum6/topic4912/message38741/ Tue, 27 Mar 2012 12:57:57 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус Exploit.CVE2010-3333.4 Распространение через файл "*.doc". Вредоносная деятельность, идентификация и удаление в форуме Обнаружение вредоносного кода и ложные срабатывания.
установить только сканер - это бесплатно, после выполнения сканирования деинсталлируйте его,
----
по эксплойтам справок не даем,
27.03.2012 12:44:06, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4912/message38740/ http://forum.esetnod32.ru/messages/forum6/topic4912/message38740/ Tue, 27 Mar 2012 12:44:06 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус Exploit.CVE2010-3333.4 Распространение через файл "*.doc". Вредоносная деятельность, идентификация и удаление в форуме Обнаружение вредоносного кода и ложные срабатывания.
А хоть какую-нибудь справку об этом вирусе не дадите? На что обращать внимание, пока вирус не будет удален? Заражает ли он, скажем, сменные носители?

А насчет малваребайт -- Вы имеете в виду бесплатную версию? Платить еще за одну полную 25USD - не улыбается. И еще. После установки малваребайт -- конфликтов с уже установленными Nod32 и Firewall Outpost Pro не будет?
27.03.2012 12:02:17, zmicer_k.]]> http://forum.esetnod32.ru/messages/forum6/topic4912/message38737/ http://forum.esetnod32.ru/messages/forum6/topic4912/message38737/ Tue, 27 Mar 2012 12:02:17 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус Exploit.CVE2010-3333.4 Распространение через файл "*.doc". Вредоносная деятельность, идентификация и удаление в форуме Обнаружение вредоносного кода и ложные срабатывания.
проверьте другим сканером систему, например сделайте полное сканирование в малваребайт
27.03.2012 10:35:31, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4912/message38724/ http://forum.esetnod32.ru/messages/forum6/topic4912/message38724/ Tue, 27 Mar 2012 10:35:31 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус Exploit.CVE2010-3333.4 Распространение через файл "*.doc". Вредоносная деятельность, идентификация и удаление в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте!

Вчера получил по электронной почте любопытное сообщение с вложенным файлом info.doc. Всегда отношусь к полученным из неизвестных источников файлам крайне осторожно, но этот документ решил открыть. Предварительно, конечно, протестировав его своим антивирусом Eset Nod32, а потом еще и антишпионским компонентом Outpost Firewall Pro. Ни та, ни другая программа ничего подозрительного в файле не обнаружила. Но при его открытии MS Word сразу же выдал сообщение о критической ошибке ("Приложение будет закрыто, все несохраненные данные -- утеряны"). Заподозрив неладное, я решил проверить файл info.doc еще каким-нибудь антивирусным онлайн-сканером. И был неприятно удивлен, когда, отправив файл на проверку на сайте Dr.Web, получил уведомление, что он инфицирован:

info.doc - infected modify Exploit.CVE2010-3333.4

Хотел бы проконсультироваться у специалистов, что это за "бяка", насколько опасна, как себя проявляет, как можно проверить был ли все-таки компьютер инфицирован при попытке открытия документа и как этот вирус удаляется.

Будучи наслышанным о макровирусах, распространяемых именно через файлы формата *.doc, еще вчера "пошерстил" шаблоны.

Спасибо заранее!

P. S. И сегодня, после очередного обновления баз, мой Nod32 по-прежнему хранит молчание.
27.03.2012 10:26:48, zmicer_k.]]> http://forum.esetnod32.ru/messages/forum6/topic4912/message38722/ http://forum.esetnod32.ru/messages/forum6/topic4912/message38722/ Tue, 27 Mar 2012 10:26:48 +0400 Обнаружение вредоносного кода и ложные срабатывания