[Comm] clamav пропустил вирус

[Comm] clamav пропустил вирус

[Дворников Михаил]

Clamav с обновлением от Jul  7 10:07:01 2005
пропустил doc-файл c вирусом W97M.Killer.
Вирус на клиенте обнаружил DrWeb.

Clamav работает и вчера поймал Exploit.HTML.IFrame, Worm.SomeFool.P

ClamAV update process started at Thu Jul  7 10:07:01 2005
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.85.1 Recommended version: 0.86.1
DON'T PANIC! Read http://www.clamav.net/faq.html
main.cvd is up to date (version: 33, sigs: 36102, f-level: 5, builder: 
tkojm)
daily.cvd is up to date (version: 970, sigs: 285, f-level: 5, builder: sven)

-- 
С уважением, Дворников Михаил.

Re: [Comm] clamav пропустил вирус

[Mike Lykov]

В сообщении от Четверг 07 Июль 2005 11:30 Дворников Михаил написал:
> Clamav с обновлением от Jul  7 10:07:01 2005
> пропустил doc-файл c вирусом W97M.Killer.
> WARNING: Your ClamAV installation is OUTDATED!

во первых, у вас версия устарела.
Во вторых, не стесняйтесь запостить файл с вирусом в онлайне (submit sample).
дайте пояснения, что это и кто поймал.


-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] clamav пропустил вирус

[Olvin]

Mike Lykov wrote:

>>Clamav с обновлением от Jul  7 10:07:01 2005

                           ^^^^^^^^^^^^^^^^^^^^

>>пропустил doc-файл c вирусом W97M.Killer.
>>WARNING: Your ClamAV installation is OUTDATED!
> во первых, у вас версия устарела.
> Во вторых, не стесняйтесь запостить файл с вирусом в онлайне (submit sample).
> дайте пояснения, что это и кто поймал.

Не понял. И это ^^^ называется "устарела"? Её что - каждую секунду 
синхронизировать надо?!

Re: [Comm] clamav пропустил вирус

[Mike Lykov]

В сообщении от Четверг 07 Июль 2005 16:38 Olvin написал:
> >>WARNING: Your ClamAV installation is OUTDATED!
> Не понял. И это ^^^ называется "устарела"? Её что - каждую секунду
> синхронизировать надо?!

какую секунду? я просто перевел на русский вышеозначенную фразу.
Надеюсь, вы не путаете базы и версию самой прогрваммы?
"Your ClamAV installation is OUTDATED!" - это про саму программу, вы ее руками 
устанавливаете, она ни с чем автоматом не синхронизируется.

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] clamav пропустил вирус

[Olvin]

Mike Lykov wrote:

>>>>WARNING: Your ClamAV installation is OUTDATED!
>>Не понял. И это ^^^ называется "устарела"? Её что - каждую секунду
>>синхронизировать надо?!
> какую секунду? я просто перевел на русский вышеозначенную фразу.
> Надеюсь, вы не путаете базы и версию самой прогрваммы?
> "Your ClamAV installation is OUTDATED!" - это про саму программу, вы ее руками 
> устанавливаете, она ни с чем автоматом не синхронизируется.

Т.е. если программа устарела, а базы - нет, то можно подхватить даже 
такого вируса, который в базе описан?! Чушь. Тогда лучше базы прямо с 
программой поставлять/в неё вкомпилировать. И обновлять не базы, а 
программу с базами целиком... :(

Re: [Comm] clamav пропустил вирус

[Eugene A. Suchkov]

Hi, Olvin! You wrote 08.07.2005 11:23:

> Т.е. если программа устарела, а базы - нет, то можно подхватить даже 
> такого вируса, который в базе описан?! Чушь. Тогда лучше базы прямо с 
> программой поставлять/в неё вкомпилировать. И обновлять не базы, а 
> программу с базами целиком... :(

Кому лучше?
ИМХО, он адекватно себя ведет: сама программа устарела (ну гипотетически 
алгоритмы в новой версии изменились, дырки заткнули), но при этом и 
старая работает как может. Но как может орет: ОБНОВИСЬ!

А удаленно обновлять и сам антивирус и базы - это просто праздник 
какой-то :))) Много смеялсо... Вы себе реально последствия этого 
представляете?

-- 
With best regards
Eugene A. Suchkov (a.k.a CityHawk)
ICQ 177787156
http://www.livejournal.com/users/suchkoff/

Re: [Comm] clamav пропустил вирус

[Olvin]

Eugene A. Suchkov wrote:

>> Т.е. если программа устарела, а базы - нет, то можно подхватить даже 
>> такого вируса, который в базе описан?! Чушь. Тогда лучше базы прямо с 
>> программой поставлять/в неё вкомпилировать. И обновлять не базы, а 
>> программу с базами целиком... :(
> Кому лучше?

В смысле проще. Для пользователя. А то прога - в одну сторону, базы - в 
другую. Так и вирусов нахватаешься. Следить за совместимостью одного и 
другого не всякий польователь в состоянии. Про сисадминов речи нет - 
должны они, но и на старуху бывает проруха. Можно и забыть, и не учесть 
чего-то...

> ИМХО, он адекватно себя ведет: сама программа устарела (ну гипотетически 
> алгоритмы в новой версии изменились, дырки заткнули), но при этом и 
> старая работает как может. Но как может орет: ОБНОВИСЬ!

Она неадекватно себя ведёт. Если формат базы не изменился, то должно 
ловить все вирусы, этой базой описанные. Если форматы несовместимы, то 
антивирус должен об этом ругнуться и не запускаться, а при обновлении 
баз выкачивать только базы своего формата.
Если же форматы совместимы (последующий формат понимается как 
предыдущий, но с неизвестными дополнениями, которые пропускаются - вроде 
неизвестных тегов в HTML), то надо честно предупреждать, что формат 
изменился, работать всё ещё можно, но некоторые вирусы (желательно 
перечислить их список) ловиться не будут.
Вот, что я бы назвал адекватным поведением в данной ситуации.

> А удаленно обновлять и сам антивирус и базы - это просто праздник 
> какой-то :))) Много смеялсо... Вы себе реально последствия этого 
> представляете?

Разумеется. потому и смайлик такой ":(".

Re: [Comm] clamav пропустил вирус

[Mike Lykov]

В сообщении от Пятница 08 Июль 2005 13:49 Olvin написал:
> предыдущий, но с неизвестными дополнениями, которые пропускаются - вроде
> неизвестных тегов в HTML), то надо честно предупреждать, что формат
> изменился, работать всё ещё можно, но некоторые вирусы (желательно
> перечислить их список) ловиться не будут.

он так и делает. и даже ссылку дает, где почитать
то, что вы не поняли предупреждения - не проблема антивируса

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] clamav пропустил вирус

[Дворников Михаил]

Mike Lykov пишет:
> он так и делает. и даже ссылку дает, где почитать
> то, что вы не поняли предупреждения - не проблема антивируса

W97M.Killer уже включили в базу вирусов (по моему запросу) :)
Версия была не важна, если вируса нет в базе.
Теперь clamav 0.85 его тоже ищет.
-- 
С уважением, Дворников Михаил.

Re: [Comm] clamav пропустил вирус

[Mike Lykov]

В сообщении от Пятница 08 Июль 2005 12:23 Olvin написал:
> Т.е. если программа устарела, а базы - нет, то можно подхватить даже
> такого вируса, который в базе описан?! Чушь. Тогда лучше базы прямо с
> программой поставлять/в неё вкомпилировать. И обновлять не базы, а
> программу с базами целиком... :(

прежде, чем говорить "чушь", прочитайте faq по указанной ссылке. и не 
паникуйте, как там было советовано.

И в следующий раз говорите "чушь", уже разобравшись в вопросе, что же такое 
"functionality level".

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] clamav пропустил вирус

[Olvin]

Mike Lykov wrote:
>>Т.е. если программа устарела, а базы - нет, то можно подхватить даже
>>такого вируса, который в базе описан?! Чушь. Тогда лучше базы прямо с
>>программой поставлять/в неё вкомпилировать. И обновлять не базы, а
>>программу с базами целиком... :(
> прежде, чем говорить "чушь", прочитайте faq по указанной ссылке. и не 
> паникуйте, как там было советовано.
> И в следующий раз говорите "чушь", уже разобравшись в вопросе, что же такое 
> "functionality level".

Ладно, согласен, погорячился. Оказывается, то, что я описывал в письме к 
Eugene A. Suchkov уже есть (в том или ином виде). Другое дело, что для 
того, чтобы узнать подробности, надо тащиться в инет. Да ещё и не каждый 
догадается на wiki сходить и ещё там FAQ глянуть.

Re: [Comm] clamav пропустил вирус

[some_x]

Дворников Михаил wrote:

> Clamav с обновлением от Jul  7 10:07:01 2005
> пропустил doc-файл c вирусом W97M.Killer.
> Вирус на клиенте обнаружил DrWeb.
>
> Clamav работает и вчера поймал Exploit.HTML.IFrame, Worm.SomeFool.P
>
> ClamAV update process started at Thu Jul  7 10:07:01 2005
> WARNING: Your ClamAV installation is OUTDATED!
> WARNING: Local version: 0.85.1 Recommended version: 0.86.1
> DON'T PANIC! Read http://www.clamav.net/faq.html
> main.cvd is up to date (version: 33, sigs: 36102, f-level: 5, builder: 
> tkojm)
> daily.cvd is up to date (version: 970, sigs: 285, f-level: 5, builder: 
> sven)
>
ну и правильно, в openoffice он же не работает

Re: [Comm] clamav пропустил вирус

[Дворников Михаил]

some_x пишет:
> ну и правильно, в openoffice он же не работает
В Linux вирусов нет, значит и clamav не нужен?
-- 
С уважением, Дворников Михаил.

Re: [Comm] clamav пропустил вирус

[some_x]

Дворников Михаил wrote:

> some_x пишет:
>
>> ну и правильно, в openoffice он же не работает
>
> В Linux вирусов нет, значит и clamav не нужен?

Во первых есть, во вторых нужен, но не обязан всё ловить, особенно 
какие-то дебильные макросовые вирусы работающие не просто в системе мс, 
но и только в приложениях от мс.

Re: [Comm] clamav пропустил вирус

[Dmytro O. Redchuk]

On Thu, Jul 07, 2005 at 10:30:49AM +0400, Дворников Михаил wrote:
> Clamav с обновлением от Jul  7 10:07:01 2005
> пропустил doc-файл c вирусом W97M.Killer.
> Вирус на клиенте обнаружил DrWeb.
> 
> Clamav работает и вчера поймал Exploit.HTML.IFrame, Worm.SomeFool.P
> 
> ClamAV update process started at Thu Jul  7 10:07:01 2005
> WARNING: Your ClamAV installation is OUTDATED!
> WARNING: Local version: 0.85.1 Recommended version: 0.86.1
> DON'T PANIC! Read http://www.clamav.net/faq.html
> main.cvd is up to date (version: 33, sigs: 36102, f-level: 5, builder: 
> tkojm)
> daily.cvd is up to date (version: 970, sigs: 285, f-level: 5, builder: sven)
А у clam'а в конфиге на этот счёт что сказано, кстати?

(Вирусы слегка разные, вообще говоря)

> 
> -- 
> С уважением, Дворников Михаил.

-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk

Re: [Comm] clamav пропустил вирус

[Дворников Михаил]

Dmytro O. Redchuk пишет:
  > А у clam'а в конфиге на этот счёт что сказано, кстати?
> 
> (Вирусы слегка разные, вообще говоря)
Были сомнения в настройках amavis+clamav.
$ clamscan ~/файл.doc - пишет OK
Вирусов нет.
Так тоже не находит.
-- 
С уважением, Дворников Михаил.

Re: [Comm] clamav пропустил вирус

[Dmytro O. Redchuk]

On Fri, Jul 08, 2005 at 10:27:05AM +0400, Дворников Михаил wrote:
> Dmytro O. Redchuk пишет:
>  > А у clam'а в конфиге на этот счёт что сказано, кстати?
> >
> >(Вирусы слегка разные, вообще говоря)
> Были сомнения в настройках amavis+clamav.
> $ clamscan ~/файл.doc - пишет OK
> Вирусов нет.
> Так тоже не находит.
Хм.. Тогда похоже, что пропустил.

Так как (вот только что глянул) даже это:
   $ clamscan --no-ole2 file.doc
 сканирует и рапортует результат (не пропускает, несмотря на --no-ole2).


Хм.. Значит, пропустил.
:-)

Ничего больше не могу сказать, к сожалению.


Оппаньки!-)

А вот и нифига:

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

[fox@fox fox]$ clamscan --no-archive girls.zip  
girls.zip: OK

----------- SCAN SUMMARY -----------
Known viruses: 36392
Engine version: 0.85.1
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.07 MB
Time: 0.777 sec (0 m 0 s)


[fox@fox fox]$ clamscan girls.zip 
girls.zip: Trojan.W32.PWS.Prostor.A FOUND

----------- SCAN SUMMARY -----------
Known viruses: 36392
Engine version: 0.85.1
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.20 MB
Time: 0.804 sec (0 m 0 s)

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-


Это я к тому, что я не знаю, откуда какие clam* берёт умолчания.

Смотрит ли он на [за|рас]коментированные строчки в /etc/clamd.conf (hint:
можно strace попросить; а, может, и умнее что-то есть).


ps. Я ничего не хочу сказать. Думаю, что clamd его таки пропустил. Но не
    знаю, что у Вас в конфигах, и не знаю, смотрит ли туда clamscan.
    :-)

> -- 
> С уважением, Дворников Михаил.

-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk

Re: [Comm] clamav пропустил вирус

[Dmytro O. Redchuk]

On Fri, Jul 08, 2005 at 10:05:27AM +0300, Dmytro O. Redchuk wrote:
> Ничего больше не могу сказать, к сожалению.
> 
> 
> Оппаньки!-)
> 
> А вот и нифига:
> 
> -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
> 
> [fox@fox fox]$ clamscan --no-archive girls.zip  
> girls.zip: OK
> 
> ----------- SCAN SUMMARY -----------
> Known viruses: 36392
> Engine version: 0.85.1
> Scanned directories: 0
> Scanned files: 1
  ^^^^^^^^^^^^^^^^
> Infected files: 0
  ^^^^^^^^^^^^^^^^^ !!!

> Data scanned: 0.07 MB
> Time: 0.777 sec (0 m 0 s)
> 
> 
> [fox@fox fox]$ clamscan girls.zip 
> girls.zip: Trojan.W32.PWS.Prostor.A FOUND
> 
> ----------- SCAN SUMMARY -----------
> Known viruses: 36392
> Engine version: 0.85.1
> Scanned directories: 0
> Scanned files: 1
> Infected files: 1
> Data scanned: 0.20 MB
> Time: 0.804 sec (0 m 0 s)
> 
> -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Кстати, я бы сказал, что это бага в clam'е -- он с честными глазами
сказал, что просканировал этот файл и не нашёл в нём вирусов. Если я
сказал ему "--no-archive" -- он должен был бы пометить его "skipped",
сказать, что "scanned: 0" или ещё что-то подобное.


-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk