Victor Sudakov wrote:
> >
> > Из TheBat в uue через STREAM eicar у меня ловится. Можешь послать мне на адрес
> > support@sotcom.ru eicar из обоих клиентов и полные тела писем которые
> > у тебя прошли мимо clamav-cgp?
> > Или речь идет о варианте когда в тексте письма просто вставлено uue ?
>
> Именно. Отправил с сабжем bad_uue два письма. Дошли?
Письмо, отправленное из mutt, таки поймалось. Этот факт заставил меня проделать небольшое исследование.
1. Берём файл письма с ююкой, отправленного программой mail, и кормим clamscan-у. Вирус ловится.
2. Добавляем в начало файла даже не служебную информацию очереди CGP, а просто пустую строку - перестаёт ловиться.
3. Добавляем в хедеры что-нибудь типа "Content-Type: text/plain" - опять ловится, несмотря на добавленную в п. 2 пустую строку.
Вывод - распознавалка почтового формата у clamav какая-то недоделанная.
> >
> > В Clamav не очень хороший парсер, определяющий что это файл очереди
> > CGP и бывают косяки, чтобы с ним не связываться надо пропускать хедеры
> > самого CGP, чего нет в стоковой функции cl_stream хелпера, но что
Добавлю - надо пропускать не только хедеры самого CGP, но и пустую строку после них.
IMHO это надо срочно в mainstream версию clamav-cgp.
-- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:sudakov@sibptus.tomsk.ruПолучено Mon Dec 08 15:40:38 2008
Этот архив был сгенерирован hypermail 2.1.8 : Mon 08 Dec 2008 - 20:14:28 MSK