Clamav i wirusy spakowane zipem z hasłem
Andrzej Zawadzki
zawadaa w wp.pl
Czw, 9 Wrz 2004, 12:03:02 CEST
Krzysztof Królikowski wrote:
> Witam.
>
> Ku mojemu zdziwieniu podczas wizyty u użytkownika, McAfee zainstalowany
> stacjonarnie wykrył wirusa w mailu. Zidentyfikował go jako
> W32/Bagle.gen w MM!pwdzip. Clam w swojej bazie ma wirusa zidentyfikowanego
> jako: Worm.Bagle.Gen-zippwd. Nazwa wygląda podobnie, więc może to być
> ten sam wirus (jeśli tak, to dlaczego ClamAV go nie odrzucił?). Chyba,
> że to jest jakaś mutacja tego wirusa której nie zna Clam.
Niestety tylko wersja developerska (np. wczorajszy snap) go wykrywa.
Trochę mnie to wkurza ale chłopaki z clamava robią tak, że nie ma
poprawek do wersji 0.75.1 takich, które powodowałyby np. wykrycie
nowych, innych w nie wiem budowie robali tylko grzebią w kilku miejscach
naraz :-(
W każdym razie sygnatura na to padło jest.
Jak chcesz to mogę dać Ci speca albo gdzieś wystawić mojego snapa devel
- tylko, że ja mam Ra ;-)
Ładnie działa od wczoraj :-)
> Zauważyłem, że ostatni daily.cvd został pobrany 2 września. Czyżby
> zespół Clamav zmienił politykę aktualizacji definicji wirusów?
To coś nie tak - przynajmniej raz dziennie są nowe definicje wirów!
> Zauważyłem jeszcze jedną anomalię. W logach sporo zapisów tego typu:
>
> 2004-09-06 22:57:03 1C4QXa-0000tF-5c H=smtp5k.aaa.ddd.pl
> [213.180.130.50] F=<xxx w ww.aaa.zzzz> rejected after DATA: Virus
> found :unknown
Brak, ale może to mks tak robi??
> Jak mam to rozumie? Clam wykrył wirusa ale nie wie jakiego? (heurystyka
> jakaś?)
> Dodatkowo mam jeszcze podpiętego mksa ale on wogóle nie dochodzi do
> głosu (najpierw sprawdza Clam).
Powinien dochodzić bo tak jest ustawione (domyślnie), że oba dochodzą...
> Z kolei mksupdate check od czasu
> instalacji cały czas mi mówi, że mam aktualne bazy. To też mnie dziwi.
> Może mam złe źródło updejtów ustawione w mks'ie? Jeśli tak, to jakie
> powinno być ustawione?
MKS z HEAD jest OK (skrypty działają) - tylko, że on też tego wira nie
widział wczoraj.
Gorzej, że na Ra nie działa, bo zmiany są tylko na HEAD :-(
BTW. Jak się tego pozbyć (jak ładnie ustawiać to w skryptach starowych
czy limits.conf)? amavisd musi mieć więcej mem, tak?
kernel: grsec: attempted resource overstep by requesting 4096 for
RLIMIT_CORE against limit 0 by (rar:4895) uid/euid:97/97
gid/egid:116/116, parent (amavisd:3541) uid/euid:97/97 gid/egid:116/116
--
Andrzej Zawadzki
Więcej informacji o liście dyskusyjnej pld-users-pl