Re: clamav-cgp

От: Andy Igoshin <CGatePro_at_mx_ru>
Дата: Mon 14 Jan 2008 - 14:47:08 MSK

Hello!

когда-то давно я посылал патч для пропуска CGP хидера разработчикам clamav, но они сказали, что это не кошерно и все сделают сами. и в общем-то сделали. только вот сейчас оно у них опять вылезло, как вы говорите.

так что заинтересованные лица могут еще раз инициировать такой case для clamav.

On Monday 14 January 2008, Varinov Nicolay wrote:
> День добрый Dmitry,
>
> Friday, January 11, 2008, 6:44:40 PM, Вы пишете:
>
> DB> На продакшн-сервере drweb через drweb-cgp и касперский через cgpav
> DB> успешно такое отлавливают.
>
> Выдрав файлик такого письма отправленного через uuencode из очереди, и
> ручками скормив clamav получаем, что файл не инфицирован. Но при этом
> письмо не является нормально МИМЕ закодированным. Вот фрагмент файла.
> ------------------------------------------------------------
> R W 14-01-2008 09:34:05 0000 ____ _FY_ <exch@sotcom.ru>
> P I 14-01-2008 09:34:05 0000 ____ ____ <nic@mx.sotcom.ru>
> S PIPE [0.0.0.0]
> O T
>
> Received: by mx.sotcom.ru (CommuniGate Pro PIPE 5.0.14)
> with PIPE id 9525065; Mon, 14 Jan 2008 12:34:05 +0300
> From: nic@mx.sotcom.ru
> X-Mailer: CommuniGate Pro CLI mailer
> Date: Mon, 14 Jan 2008 12:34:05 +0300
> Message-ID: <auto-000009525065@mx.sotcom.ru>
>
> begin 644 test.dat
> M35I```$````"``0`__\"`$`````.````'`````````!7:6XS,B!O;FQY(0T*
> M)`Z
> ...
> -------------------------------------------------------------
> Если же в файле отсутствуют заголовки CGP, то такой файл ловиться без
> проблем, но это скорее всего не то что нам надо :) Причем если файл в
> нормальном Content-Type: multipart/mixed; то проблем нет, clamd все
> успешно ловит.
>
> Честно говоря я не сталкивался ни разу с подобном прохождением заразы
> при реальной работе с clam-cgp, но это может до поры до времени.
>
> Поэтому либо пинать писателей clamava чтобы научили его правильно для
> нас разбирать такие письма, либо Andy Igoshin <ai@vsu.ru> что бы
> поправил хелпер для в части стрима, пропуская заголовки CGP перед
> отдачей потока на проверка clamavу. Для метода clamava SCAN только
> первый вариант :( или заморачиваться с временными файлами, что гемор
> еже больший.
>
> DB> Varinov Nicolay пишет:
> >> День добрый Sergey,
> >>
> >> Friday, January 11, 2008, 3:12:38 PM, Вы пишете:
> >>
> >> SC> На Fri, 11 Jan 2008 15:09:53 +0300
> >> SC> "Dmitry Baronov" <CGatePro@mx.ru> записано:
> >> ...
> >>
> >>>> а по факту сессии с clamd не происходит. Чудеса.
> >>
> >> SC> Это не чудеса, это глюк. :)
> >>
> >> Только вот чей, я как ни пытался отправить висусочек себе таким
> >> методом
> >> uuencode /var/CommuniGate/elcar.com Test.dat| mail -s 'Testing' root
> >> он ПРОХОДИТ.
> >>
> >> Толи mail из CGP не правильно формирует письмо, (но в клиенте все в
> >> норме вложение есть), толи clamav не понимает или не разбирает
> >> правильно вложение в
> >> Content-Type: application/octet-stream;
> >> name="test.dat"
> >> Content-Transfer-Encoding: x-uuencode
> >>
> >> Но если я беру письмецо из карантина с реальным вирусом правлю хедеры
> >> на себя и ручками в Submited, то все работает нормально, вирус
> >> находиться и прибивается.
> >> Также все ловиться, если я сохраню вложение пришедшее мне посылкой с
> >> uuencode и пересылаю его ручками из клиента и в Base64 и UU.
> >> Но C-T другое совсем
> >>
> >> UU
> >> Content-Type: application/x-msdownload;
> >> name="test.exe"
> >> Content-transfer-encoding: x-uue
> >> Content-Disposition: attachment;
> >> filename="test.exe"
> >> Base64
> >> Content-Type: application/x-msdownload;
> >> name="test.exe"
> >> Content-transfer-encoding: base64
> >> Content-Disposition: attachment;
> >> filename="test.exe"
> >>
> >> Так что думаю для начала надо проверить по другому например из
> >> клиента.
> >>
> >> ------------------------
> >> С наилучшими пожеланиями
> >> Николай Варинов.
> >> ------------------------
>
> ------------------------
> С наилучшими пожеланиями
> Николай Варинов.
> ------------------------
>
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
> <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
> Архив списка: http://mx.demos.su/lists/cgp-russian/

-- 
Andy Igoshin <ai@vsu.ru>                 Voronezh State University
Phone: +7 (4732) 522406                  Network Operation Center
Fax:   +7 (4732) 208820                  Voronezh, Russia
Получено Mon Jan 14 11:51:16 2008

Этот архив был сгенерирован hypermail 2.1.8 : Mon 14 Jan 2008 - 16:15:37 MSK