clamav - wykrywa wirusa, amavis - nie...

Andrzej Zawadzki zawadaa w wp.pl
Śro, 10 Mar 2004, 17:45:15 CET


Jacek Osiecki wrote:
> Witam,
> 
> Ostatnio coraz więcej wirusów z zaszyfrowanym ZIPem...
> Nie wiem jak - ale clamav ślicznie je wykrywa.
> 
> Jest np. taki wirus:
> 
>  xxxxxxxxxxxxx the plaintext
>  
> password: - tu cośtam cyfrowe
> 
> [tu załącznik - zaszyfrowany zip]
> 
> Najpierw clamav: w /tmp/qqaw jest mail (nagłówki, body, załącznik):
> 
> [root w mainframe root]# clamscan /tmp/qqaw 
> /tmp/qqaw: Worm.Bagle.F-zippwd-3 FOUND
> 
> ----------- SCAN SUMMARY -----------
> Known viruses: 20427
> Scanned directories: 0
> Scanned files: 1
> Infected files: 1
> Data scanned: 0.03 MB
> I/O buffer size: 131072 bytes
> Time: 1.805 sec (0 m 1 s)
> 
> Ślicznie, wykrył. Teraz wysyłam to pine'm przez amavisa:
> 
> Mar 10 16:15:09 mainframe amavisd[29902]: (29902-01) Passed,
> <joshua w ceti.pl> -> <joshua w hybrid.pl>, Message-ID:
> <flpjvlmgddschlfnhdx w interia.pl>
> 
> Dlaczego tak się dzieje? Coś źle zrobiłem? Wirusy w niezaszyfrowanym ZIPie
> wykrywa bez problemu - przykładowo:
> 
> Mar 10 16:21:24 mainframe amavisd[29901]: (29901-01) INFECTED
> (Worm.SomeFool.Gen-1), <joshua w ceti.pl> -> <joshua w hybrid.pl>, quarantine
> virus-20040310-162124-29901-01, Message-ID:
> <20040309213323.641B7202FE8 w tau.ceti.pl>
> 
> Pozdrawiam,

Rozwiązania dla Ciebie:
- albo przechodzisz na amavisd-new
- nakładasz odpowiedniego patcha na clamav'a (był na liście clamava) 
(ewentualnie najnowszy snapshot z clamav.net)
- ewentualnie może są jakieś patche na amavisa, ale tego to nie wiem

-- 
Andrzej Zawadzki



Więcej informacji o liście dyskusyjnej pld-users-pl