átcsúszott egy virus a ClamAV-on

Debian GNU/Linux

Üdv!

Adott egy Debian 4.0 volatile repóval (deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free) felbővítve.

Ebben a Clamav nem a legújabb:
$clamdscan -V
ClamAV 0.93.1/7672/Wed Jul 9 08:57:07 2008

Adott egy általam forgatott ClamAV:
$clamdscan -V
ClamAV 0.93.3/7673/Wed Jul 9 10:58:15 2008

Adott egy kubuntu gyári ClamAV:
$clamdscan -V
ClamAV 0.92.1/7673/Wed Jul 9 10:22:03 2008

A virus adatbázis mindenhol naprakész.

És az az érdekes, hogy csak a kubuntus ClamAV tudta detektálni az egyik e-mail-ben érkezett jelszóval kódolt vírust, ami egy zipben volt :-(

Tudja valaki, hogy mi lehet az oka?

Előre is köszönöm!

  • 1167 megtekintés

( msandor v | 2008. 07. 10., cs – 09:54 )

teszteltem azóta winen is, átcsúszott a NOD32 és az AVG aktuális verzióin is...

hogy a fenébe fogta meg _csak_ a kubuntus ClamAV?

--
by Mikul@s

( Mico v | 2008. 07. 10., cs – 09:58 )

esetleg minden jelszavas archívot megfog ?

( tr3w v | 2008. 07. 10., cs – 11:30 )

Ha jól értem, a vírus a zipben van, jelszóval védve. Egy biztos: A ClamAV (és semmilyen másik vírusirtó) nem fogja neked feltörni a zip-et, és leellenőrizni a fájlokat benne. A kubuntus tehát vagy false positive, vagy minden ellenőrizhetetlen fájlra azt mondja, hogy vírusos...

Mivel a vírusadatbázis ugyanaz, ilyen kis verziószámeltérés meg nem valószínű, hogy hatalmas változásokat jelentene, szerintem beállítás beli különbségek vannak...

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee."
-- Ted Ts'o

minden ClamAV default configgal fut, én annak örülnék, hogy ha jelszavas archivot elemez, inkább tegye karanténba -esetleg tévesen- minthogy átengedjen egy vírust

ha a kedves ügyfél, akinek gyanús volt a levél és a csatolmánya, kibontja az exet, akkor már gondolom reklamált volna a wines irtója....

--
by Mikul@s