Clamav i wirusy spakowane zipem z hasłem

Andrzej Zawadzki zawadaa w wp.pl
Czw, 9 Wrz 2004, 12:03:02 CEST 

Krzysztof Królikowski wrote:
> Witam.
> 
> Ku mojemu zdziwieniu podczas wizyty u użytkownika, McAfee zainstalowany
> stacjonarnie wykrył wirusa w mailu. Zidentyfikował go jako
> W32/Bagle.gen w MM!pwdzip. Clam w swojej bazie ma wirusa zidentyfikowanego
> jako: Worm.Bagle.Gen-zippwd. Nazwa wygląda podobnie, więc może to być
> ten sam wirus (jeśli tak, to dlaczego ClamAV go nie odrzucił?). Chyba,
> że to jest jakaś mutacja tego wirusa której nie zna Clam.

Niestety tylko wersja developerska (np. wczorajszy snap) go wykrywa.
Trochę mnie to wkurza ale chłopaki z clamava robią tak, że nie ma 
poprawek do wersji 0.75.1 takich, które powodowałyby np. wykrycie 
nowych, innych w nie wiem budowie robali tylko grzebią w kilku miejscach 
naraz :-(

W każdym razie sygnatura na to padło jest.
Jak chcesz to mogę dać Ci speca albo gdzieś wystawić mojego snapa devel 
- tylko, że ja mam Ra ;-)
Ładnie działa od wczoraj :-)

> Zauważyłem, że ostatni daily.cvd został pobrany 2 września. Czyżby
> zespół Clamav zmienił politykę aktualizacji definicji wirusów?

To coś nie tak - przynajmniej raz dziennie są nowe definicje wirów!

> Zauważyłem jeszcze jedną anomalię. W logach sporo zapisów tego typu:
> 
> 2004-09-06 22:57:03 1C4QXa-0000tF-5c H=smtp5k.aaa.ddd.pl
> [213.180.130.50] F=<xxx w ww.aaa.zzzz> rejected after DATA: Virus
> found :unknown

Brak, ale może to mks tak robi??

> Jak mam to rozumie? Clam wykrył wirusa ale nie wie jakiego? (heurystyka
> jakaś?)
> Dodatkowo mam jeszcze podpiętego mksa ale on wogóle nie dochodzi do
> głosu (najpierw sprawdza Clam).

Powinien dochodzić bo tak jest ustawione (domyślnie), że oba dochodzą...

> Z kolei mksupdate check od czasu
> instalacji cały czas mi mówi, że mam aktualne bazy. To też mnie dziwi.
> Może mam złe źródło updejtów ustawione w mks'ie? Jeśli tak, to jakie
> powinno być ustawione?

MKS z HEAD jest OK (skrypty działają) - tylko, że on też tego wira nie 
widział wczoraj.

Gorzej, że na Ra nie działa, bo zmiany są tylko na HEAD :-(

BTW. Jak się tego pozbyć (jak ładnie ustawiać to w skryptach starowych 
czy limits.conf)? amavisd musi mieć więcej mem, tak?

kernel: grsec: attempted resource overstep by requesting 4096 for 
RLIMIT_CORE against limit 0 by (rar:4895) uid/euid:97/97 
gid/egid:116/116, parent (amavisd:3541) uid/euid:97/97 gid/egid:116/116


-- 
Andrzej Zawadzki

Więcej informacji o liście dyskusyjnej pld-users-pl