Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Win.Trojan.NetWiredRC-2: Zamieszanie na serwerach pocztowych – fałszywy alert o virusach w polskim wordzie

03 czerwca 2016, 14:02 | W biegu | komentarzy 5

Sporo użytkowników alertuje że nie może wysłać plików .doc na Gmaila, inne serwery pocztowe, Facebooka, itp.

Wyświetlana jest informacja o rzekomym malware: Win.Trojan.NetWiredRC-2

vt

Problem najprawdopodobniej wynika z false positive na skanerze ClamAV (który najwidoczniej jest wykorzystywany m.in. przez Google). Skaner ten traktuje słowo Akapitzlist znalezione w pliku zip jako symptom wspomnianego wcześniej malware.

w1

Prosty docx

Powyżej widzicie wynik skanowania prostego docx z listą niewypunktowaną:

Z kolei po rozpakowaniu pliku docx (to zwykły zip) i zmianie pliku word/document.xml (usunięcie Akapitzlist) problem już nie jest raportowany.

Na koniec, z dużym prawdopodobieństwem problem występuje w Polsce, bo jak wskazuje jeden z użytkowników elektrody „Akapit z listą” daje po przetworzeniu na worda feralny: „Akapitzlist”.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Kerutra

    Podobnie zadziałał Synology Essentials Antivirus, który można uruchomić na serwerach Synology (np. DS214+). Mam ustawione skanowanie raz w tygodniu. Po ostatnim skanowaniu, antywirus przeniósł do kwarantanny większość plików docx. Przywróciłem je z powrotem, ale gdy uruchomię skanowanie, pliki ponownie są rozpoznawane jako zainfekowane Win.Trojan.NetWiredRC-2. By antywirus ignorował te pliki, trzeba dodać do białej listy.

    Odpowiedz
    • Konrad

      To masz farta, ja mam 5700 plików i nie mogę ich „odzyskać”. Chcąc je przywrócić do domyślnej lokalizacji.

      Odpowiedz
  2. Maciej
    Odpowiedz
    • Darek

      W dzisiejszej aktualizacji sygnatur 21682 sygnatura Win.Trojan.NetWiredRC-2 zostala usunieta

      Odpowiedz
  3. Dominik

    To już 4 dzień i dalej brak poprawki :/
    Zna ktoś tymczasowe obejście tego problemu (postfix/amavis/clamav) ?

    Odpowiedz

Odpowiedz