Hallo zusammen,

folgende Problematik stellt sich mir, vielleicht kann mir ja jemand auf die Sprünge helfen.

Am heutigen Morgen um 06:36 Uhr wurde auf meinem Server eine Mail angenommen, welche ein EXE File im Attachment hatte. Aufgrund der eingestellten Richtlinie, wurde die Datei gescanned, jedoch befand weder Clamav noch Avira sie als "infected". Da EXE jedoch als Dateiendung verboten ist, wurde die Datei als "banned" abgelegt.

Nachdem ich die Datei dann via Clamav und Avira Webseite habe prüfen lassen, wurde mir seitens Clamav mitgeteilt, dass dieser Virus seit ca. 03:40 Uhr bekannt sei. Daraufhin habe ich geprüft, wann das letzte Update der Siganturen durchgeführt wurde, es lief um 04:00 und hat auf die daily-12233.cdiff upgedated.

Führe ich clamscan auf die entsprechende Datei in der Quarantäne durch, erkenne Clamav sie als banned-3.gz: Suspect.Bredozip-zippwd-2.

So. Nun stellt sich mir die Frage - was ist hier das Problem, warum wurde das File nicht bereits um 06:36 Uhr bei der Eingangsprüfung als Virus erkannt?

Schicke ich Eicar als Test über das System, funktioniert alles wunderbar, grundsätzlich scheint der Scanner also zu laufen.

Manche Scanner scannen "tiefer" (mehr Heuristik, mehr Signaturvergleiche) wenn man sie direkt auf eine Datei ansetzt. Stand mal in der C't . Ich weiß nicht ob das bei Clamav auch zutrifft.

Wenn ja kannst du das bestimmt bei den Clamav Einstellungen ändern, allerdings wird dann der Scan langsamer.

Guter Ansatz, aber das würde ja bedeuten, dass wenn ich das Attachment jetzt nochmal schicke, es ebenfalls nicht erkannt wird. Dem ist aber nicht so, habs grad getestet:

Ein Virus (Suspect.Bredozip-zippwd-2) wurde gefunden.

Scanner der einen Virus fand: ClamAV-clamd

By the way - als zweiter Scanner läuft Avira (kommerzielle Version) auf dem System. Auch zwei Stunden nach Meldung an Avira ist das Ding noch immer nicht als Virus in den Siganturen bekannt....

03:40 bis 4 ist nicht wirklich lange - um 3:40 bekannt, heißt ja nicht, daß die Signatur auch schon um 4:00
eingestellt war.

Auch das würde ich gelten lassen, wenn nicht folgendes Tatsache wäre: Die letzte Signaturaktualisierung war die um 04:00 Uhr, seit dem gab es keine mehr (laut freshclam.log)


ClamAV update process started at Thu Nov 11 03:00:01 2010
main.cvd is up to date (version: 52, sigs: 704727, f-level: 44, builder: sven)
daily.cld is up to date (version: 12232, sigs: 145647, f-level: 53, builder: guitar)
bytecode.cld is up to date (version: 90, sigs: 10, f-level: 53, builder: edwin)
--------------------------------------
ClamAV update process started at Thu Nov 11 04:00:01 2010
main.cvd is up to date (version: 52, sigs: 704727, f-level: 44, builder: sven)
Downloading daily-12233.cdiff [100%]
daily.cld updated (version: 12233, sigs: 145651, f-level: 53, builder: guitar)
bytecode.cld is up to date (version: 90, sigs: 10, f-level: 53, builder: edwin)
Database updated (850388 signatures) from db.DE.clamav.net (IP: 91.198.238.33)
Clamd successfully notified about the update.
--------------------------------------
ClamAV update process started at Thu Nov 11 05:00:01 2010
main.cvd is up to date (version: 52, sigs: 704727, f-level: 44, builder: sven)
daily.cld is up to date (version: 12233, sigs: 145651, f-level: 53, builder: guitar)
bytecode.cld is up to date (version: 90, sigs: 10, f-level: 53, builder: edwin)
--------------------------------------
ClamAV update process started at Thu Nov 11 06:00:01 2010
main.cvd is up to date (version: 52, sigs: 704727, f-level: 44, builder: sven)
daily.cld is up to date (version: 12233, sigs: 145651, f-level: 53, builder: guitar)
bytecode.cld is up to date (version: 90, sigs: 10, f-level: 53, builder: edwin)
--------------------------------------
ClamAV update process started at Thu Nov 11 07:00:01 2010
main.cvd is up to date (version: 52, sigs: 704727, f-level: 44, builder: sven)
daily.cld is up to date (version: 12233, sigs: 145651, f-level: 53, builder: guitar)
bytecode.cld is up to date (version: 90, sigs: 10, f-level: 53, builder: edwin)
--------------------------------------
ClamAV update process started at Thu Nov 11 08:00:01 2010
main.cvd is up to date (version: 52, sigs: 704727, f-level: 44, builder: sven)
daily.cld is up to date (version: 12233, sigs: 145651, f-level: 53, builder: guitar)
bytecode.cld is up to date (version: 90, sigs: 10, f-level: 53, builder: edwin)
--------------------------------------
ClamAV update process started at Thu Nov 11 09:00:01 2010
main.cvd is up to date (version: 52, sigs: 704727, f-level: 44, builder: sven)
daily.cld is up to date (version: 12233, sigs: 145651, f-level: 53, builder: guitar)
bytecode.cld is up to date (version: 90, sigs: 10, f-level: 53, builder: edwin)

Faszinierend.. Ich habe keine weiteren Ideen .. . außer vielleicht die Uhrzeit im Mailheader stimmt aus irgendwelchen Gründen nicht.. wenn die Mail in Wirklichkeit vor 4:00:01 angekommen wäre wäre das Ganze erklärbar.

Jedenfalls weiß ich jetzt warum unsere IT .exe "banned", ich .exe Dateien also explizit als .zip versenden muss / Unterauftragnehmer bitten muss .exe zu "zippen" wenn ich welche von ihnen benötige ...


Da ClamAv eigenlich nicht den Ruf einer sehr guten Erkennungsleistung hat finde ich es auch interessant dass er Avira mal voraus ist...

Leider wars das auch nicht.


Nov 11 06:36:25 mail2 postfix/smtpd[3080]: connect from 75-143-166-228.dhcp.gnvl.sc.charter.com[75.143.166.228]
Nov 11 06:36:25 mail2 postfix/policy-spf[3085]: handler sender_policy_framework: is decisive.
Nov 11 06:36:25 mail2 postfix/policy-spf[3085]: : Policy action=PREPEND Received-SPF: none (dhl.com: No applicable sender policy available) receiver=mail2.domain.de; identity=mailfrom; envelope-from="usps.no.1015@dhl.com"; helo=dhl.com; client-ip=75.143.166.228
Nov 11 06:36:25 mail2 postgrey[9991]: action=pass, reason=recipient whitelist, client_name=75-143-166-228.dhcp.gnvl.sc.charter.com, client_address=75.143.166.228, sender=usps.no.1015@dhl.com, recipient=john.doe@domain.com

Zum Thema ZIP und EXE - Freshclam checkt bei mir auch gepackte Dateien und blockiert sie falls die Endung unerwünscht ist. Ich kann Deiner Auffassung nur zustimmen, dass es so absolut richtig ist. Ausführbare Dateien haben meiner Meinung nach nichts in einer Mail zu suchen.

Zum Thema Avira: Ich hatte den gleichen Fall vor ein paar Wochen schon mal. Jedes Mal, wenn ich die Dateien zu Clamav und Avira schicke, liegt Avira immer hinten und kennt sie nicht, Clamav jedoch schon.
Mittlerweile hat Avira das gute Stück als TR/Drop.Oficla.F. bestätigt.

Bei uns muss man manchmal .exe verschicken oder erhalten.. da ist aber der Kompromiss dass die nur in .exe verschickt werden ganz gut: da besteht dann keine Gefahr dass da jemand durch Doppelklick ausversehen etwas startet was er besser nicht starten soll..

Faszinierend... du hast schon die Kaufversion von Avira installiert ?

Ja, also wenn ich sicher sein könnte, dass nur Leute hinter dem PC sitzen, die nicht noch versehentlich die dhl_ich_crack_dich.exe aus einer ZIP Datei asuführen, dann wäre das in der Tat sinnig. Das sind aber Endkundensysteme, da weiss man nie so genau, wer da was macht.
Das ist auch der Grund für den kommerziellen Avira Scanner. Das mal jemand kommt und schaut, was denn da so läuft ist ja eher unwahrscheinlich, aber sicher ist sicher.

Die freien Versionen der Scanner werden nicht so häufig mit neuen Signaturen versehen wie die gekauften... daher die Frage... in dem Falle könntest du mal eine Mail an den Support nach Tettnang schicken ...

Was Avira angeht - ganz ehrlich habe ich keine Lust mir wieder so saublöde Aussagen wie "wir können nicht garantieren, dass die Pattern aktuell sind bla bla". Sowas hatte ich schon derart oft. Letztendlich ist es denen doch Sche*** egal ob ich verärgert bin, nach zwei Jahren nicht mehr verlängere oder gleich nen anderen Scanner nehme.

Was Clamav angeht bin ich so langsam etwas verwirrt: Lade ich das ZIP File nochmal hoch, dann bekomme ich jetzt:

This virus is already recognized by ClamAV 0.96.3/12234/Thu Nov 11 14:02:16 2010 (timezone: ) as Suspect.Bredozip-zippwd-2 .

Anscheinend bin ich aber nicht der einzige mit dem Problem. Nur, dass derjenige es schon vor über einem Jahr hatte! Mit dem Virus der angeblich heute erkannt wurde.

http://www.bluequartz.us/phpBB2/viewtopic.php?p=394070&sid=dccb367eaad6bf59a167f3439d0f7da6

Juhu - guten Morgen Welt. Weiter gehts. Vergangene Nacht gabs wieder eine Attacke. Diesmal scheint die suspekte Datei aber bei beiden Herstellern unbekannt zu sein.

Mittleweile denke ich über einen weiteren Scanner nach, sei es nur zum Test...

Ein einziger Traum...



Ein Virus (Trojan.Bredolab-1026) wurde gefunden.

Ein verbotener Dateiname (.exe,.exe-ms,FedEx_mailing_label/FedEx_mailing_label.exe) wurde gefunden.



Scanner der einen Virus fand: ClamAV-clamd

Die Mail stammt von: <?@[213.4.16.121]>

Der 'Received:' Spur zufolge stammt die Nachricht von:
fedex.com 121.Red-213-4-16.staticIP.rima-tde.net [213.4.16.121]

Der Absender erhält keine Benachrichtigung.

Die Nachricht wird NICHT ausgeliefert an:
<johne.doe@domain.de>:
250 2.7.0 Ok, discarded, id=10207-05 - INFECTED: Trojan.Bredolab-1026

Viren-Scanner Ausgabe:
p007: Trojan.Bredolab-1026 FOUND

Die Nachricht wurde isoliert unter:
virus-eBcyuURCbKMN