clamav - wykrywa wirusa, amavis - nie...
Andrzej Zawadzki
zawadaa w wp.pl
Śro, 10 Mar 2004, 17:45:15 CET
Jacek Osiecki wrote:
> Witam,
>
> Ostatnio coraz więcej wirusów z zaszyfrowanym ZIPem...
> Nie wiem jak - ale clamav ślicznie je wykrywa.
>
> Jest np. taki wirus:
>
> xxxxxxxxxxxxx the plaintext
>
> password: - tu cośtam cyfrowe
>
> [tu załącznik - zaszyfrowany zip]
>
> Najpierw clamav: w /tmp/qqaw jest mail (nagłówki, body, załącznik):
>
> [root w mainframe root]# clamscan /tmp/qqaw
> /tmp/qqaw: Worm.Bagle.F-zippwd-3 FOUND
>
> ----------- SCAN SUMMARY -----------
> Known viruses: 20427
> Scanned directories: 0
> Scanned files: 1
> Infected files: 1
> Data scanned: 0.03 MB
> I/O buffer size: 131072 bytes
> Time: 1.805 sec (0 m 1 s)
>
> Ślicznie, wykrył. Teraz wysyłam to pine'm przez amavisa:
>
> Mar 10 16:15:09 mainframe amavisd[29902]: (29902-01) Passed,
> <joshua w ceti.pl> -> <joshua w hybrid.pl>, Message-ID:
> <flpjvlmgddschlfnhdx w interia.pl>
>
> Dlaczego tak się dzieje? Coś źle zrobiłem? Wirusy w niezaszyfrowanym ZIPie
> wykrywa bez problemu - przykładowo:
>
> Mar 10 16:21:24 mainframe amavisd[29901]: (29901-01) INFECTED
> (Worm.SomeFool.Gen-1), <joshua w ceti.pl> -> <joshua w hybrid.pl>, quarantine
> virus-20040310-162124-29901-01, Message-ID:
> <20040309213323.641B7202FE8 w tau.ceti.pl>
>
> Pozdrawiam,
Rozwiązania dla Ciebie:
- albo przechodzisz na amavisd-new
- nakładasz odpowiedniego patcha na clamav'a (był na liście clamava)
(ewentualnie najnowszy snapshot z clamav.net)
- ewentualnie może są jakieś patche na amavisa, ale tego to nie wiem
--
Andrzej Zawadzki
Więcej informacji o liście dyskusyjnej pld-users-pl