ClamAV-Bug

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

ClamAV-Bug

Harald Witt

Hallo Liste,

 

gibt es eigentlich eine Möglichkeit, bestimmte einzelne Virensignaturen von ClamAV NICHT prüfen zu lassen, sodass die Mails durchgehen?

 

Hintergrund:

Seit heute werden nach irgendeinem Update der Datenbank der Virensignaturen sämtliche Mails als virenbehaftet eingestuft, an der eine .doc Datei dranhängt:

 

INFECTED: Win.Exploit.CVE_2016_3316-1

 

Dieser Exploit ist für Word 2013 bzw. 2016, welches wir gar nicht benutzen. Habe die Sache schon als „false positive“ an ClamAV gemeldet. Aber das kann dauern.

 

Viele Dank

Harald

 

Reply | Threaded
Open this post in threaded view
|

Re: ClamAV-Bug

Ralf Hildebrandt
* Harald Witt <[hidden email]>:
> Hallo Liste,
>
>  
>
> gibt es eigentlich eine Möglichkeit, bestimmte einzelne Virensignaturen von
> ClamAV NICHT prüfen zu lassen, sodass die Mails durchgehen?

Ja

>
> Hintergrund:
>
> Seit heute werden nach irgendeinem Update der Datenbank der Virensignaturen
> sämtliche Mails als virenbehaftet eingestuft, an der eine .doc Datei
> dranhängt:
>
>  
>
> INFECTED: Win.Exploit.CVE_2016_3316-1

in /var/lib/clamav/local.ign2:

Win.Exploit.CVE_2016_3316-1

eintragen dann clamd neu starten

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | http://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: ClamAV-Bug

Reinhard Zierke
In reply to this post by Harald Witt
On Wed, Aug 10, 2016 at 02:56:16PM +0200, Harald Witt wrote:

> gibt es eigentlich eine Möglichkeit, bestimmte einzelne Virensignaturen von
> ClamAV NICHT prüfen zu lassen, sodass die Mails durchgehen?
>
> Hintergrund:
>
> Seit heute werden nach irgendeinem Update der Datenbank der Virensignaturen
> sämtliche Mails als virenbehaftet eingestuft, an der eine .doc Datei
> dranhängt:
>
> INFECTED: Win.Exploit.CVE_2016_3316-1
>
> Dieser Exploit ist für Word 2013 bzw. 2016, welches wir gar nicht benutzen.
> Habe die Sache schon als „false positive“ an ClamAV gemeldet. Aber das kann
> dauern.
Bei uns in der Chemie soll diese Datei helfen:

/var/lib/clamav/local.ign2:
Win.Exploit.CVE_2016_3316-1
Xls.Exploit.EmbeddedFlash-1

Gruß,
  Reinhard

--
Reinhard Zierke                       Universität Hamburg, MIN-Fakultät,
[hidden email]      Fachbereich Informatik
[hidden email]  Vogt-Kölln-Straße 30, 22527 Hamburg
                                      Tel.: (040) 42883-2295/2276 Fax: -2241

smime.p7s (6K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

AW: ClamAV-Bug

Harald Witt
In reply to this post by Ralf Hildebrandt
Danke, das ging ja rasend schnell :-)

Harald

-----Ursprüngliche Nachricht-----
Von: Ralf Hildebrandt [mailto:[hidden email]]
Gesendet: Mittwoch, 10. August 2016 14:59
An: Harald Witt
Cc: [hidden email]
Betreff: Re: ClamAV-Bug

* Harald Witt <[hidden email]>:
> Hallo Liste,
>
>  
>
> gibt es eigentlich eine Möglichkeit, bestimmte einzelne
> Virensignaturen von ClamAV NICHT prüfen zu lassen, sodass die Mails durchgehen?

Ja

>
> Hintergrund:
>
> Seit heute werden nach irgendeinem Update der Datenbank der
> Virensignaturen sämtliche Mails als virenbehaftet eingestuft, an der
> eine .doc Datei
> dranhängt:
>
>  
>
> INFECTED: Win.Exploit.CVE_2016_3316-1

in /var/lib/clamav/local.ign2:

Win.Exploit.CVE_2016_3316-1

eintragen dann clamd neu starten

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | http://www.charite.de
           

Reply | Threaded
Open this post in threaded view
|

AW: ClamAV-Bug

Harald Witt
In reply to this post by Reinhard Zierke
Ebenfalls Danke :-)

Harald

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Reinhard Zierke
Gesendet: Mittwoch, 10. August 2016 15:00
An: Diskussionen und Support rund um Postfix
Betreff: Re: ClamAV-Bug

On Wed, Aug 10, 2016 at 02:56:16PM +0200, Harald Witt wrote:

> gibt es eigentlich eine Möglichkeit, bestimmte einzelne Virensignaturen von
> ClamAV NICHT prüfen zu lassen, sodass die Mails durchgehen?
>
> Hintergrund:
>
> Seit heute werden nach irgendeinem Update der Datenbank der Virensignaturen
> sämtliche Mails als virenbehaftet eingestuft, an der eine .doc Datei
> dranhängt:
>
> INFECTED: Win.Exploit.CVE_2016_3316-1
>
> Dieser Exploit ist für Word 2013 bzw. 2016, welches wir gar nicht benutzen.
> Habe die Sache schon als „false positive“ an ClamAV gemeldet. Aber das kann
> dauern.

Bei uns in der Chemie soll diese Datei helfen:

/var/lib/clamav/local.ign2:
Win.Exploit.CVE_2016_3316-1
Xls.Exploit.EmbeddedFlash-1

Gruß,
  Reinhard

--
Reinhard Zierke                       Universität Hamburg, MIN-Fakultät,
[hidden email]      Fachbereich Informatik
[hidden email]  Vogt-Kölln-Straße 30, 22527 Hamburg
                                      Tel.: (040) 42883-2295/2276 Fax: -2241

Reply | Threaded
Open this post in threaded view
|

Re: ClamAV-Bug

Helmut Lichtenberg
In reply to this post by Ralf Hildebrandt
Ralf Hildebrandt schrieb am 10.08.2016 14:58:

> * Harald Witt <[hidden email]>:
> > gibt es eigentlich eine Möglichkeit, bestimmte einzelne Virensignaturen von
> > ClamAV NICHT prüfen zu lassen, sodass die Mails durchgehen?
> Ja
> > Hintergrund:
> >
> > Seit heute werden nach irgendeinem Update der Datenbank der Virensignaturen
> > sämtliche Mails als virenbehaftet eingestuft, an der eine .doc Datei
> > dranhängt:
> >
> >  
> >
> > INFECTED: Win.Exploit.CVE_2016_3316-1
>
> in /var/lib/clamav/local.ign2:
>
> Win.Exploit.CVE_2016_3316-1
>
> eintragen dann clamd neu starten

Aber woher wißt ihr, daß das wirklich ein False Positive ist?

Helmut

--
--------------------------------------------------------------------------
Helmut Lichtenberg     <[hidden email]>    Tel.: 05034/871-5128
Institut für Nutztiergenetik (FLI)         31535 Neustadt          Germany
--------------------------------------------------------------------------
Reply | Threaded
Open this post in threaded view
|

Re: ClamAV-Bug

Christian Wally
On 10.08.16 15:21, Helmut Lichtenberg wrote:
>> in /var/lib/clamav/local.ign2:
>> >
>> > Win.Exploit.CVE_2016_3316-1
>> >
>> > eintragen dann clamd neu starten
> Aber woher wißt ihr, daß das wirklich ein False Positive ist?

Ich habe ein sample bei Virustotal.com hochgeladen und es hat kein
Virenscanner, inkl. clamav etwas angezeigt. Muss auch nichts heißen aber
ich sehe an den files nichts verdächtiges.


Dieses file habe ich auch bei https://www.clamav.net/reports/fp eingereicht.

ciao
chris

--
Christian Wally
ZCE
_______________
Christian Wally
Risk Management

Sturnengasse 9
6700 Bludenz
+43-5552-20803
http://www.cwrm.at

Reply | Threaded
Open this post in threaded view
|

Re: ClamAV-Bug

Michael Wuttke
In reply to this post by Helmut Lichtenberg
Hallo,

vieleicht mal die folgende Diskussion zu diesem Thema verfolgen:
http://lists.clamav.net/pipermail/clamav-users/2016-August/003227.html

Am 10.08.2016 um 15:21 schrieb Helmut Lichtenberg:

> Ralf Hildebrandt schrieb am 10.08.2016 14:58:
>> * Harald Witt <[hidden email]>:
>>> gibt es eigentlich eine Möglichkeit, bestimmte einzelne Virensignaturen von
>>> ClamAV NICHT prüfen zu lassen, sodass die Mails durchgehen?
>> Ja
>>> Hintergrund:
>>>
>>> Seit heute werden nach irgendeinem Update der Datenbank der Virensignaturen
>>> sämtliche Mails als virenbehaftet eingestuft, an der eine .doc Datei
>>> dranhängt:
>>>
>>>  
>>>
>>> INFECTED: Win.Exploit.CVE_2016_3316-1
>>
>> in /var/lib/clamav/local.ign2:
>>
>> Win.Exploit.CVE_2016_3316-1
>>
>> eintragen dann clamd neu starten
>
> Aber woher wißt ihr, daß das wirklich ein False Positive ist?
>
> Helmut
>

--
Vielen Dank & mit freundlichen Grüßen,
Michael Wuttke
Reply | Threaded
Open this post in threaded view
|

Re: ClamAV-Bug

Ralf Hildebrandt
In reply to this post by Helmut Lichtenberg
* Helmut Lichtenberg <[hidden email]>:

> Aber woher wißt ihr, daß das wirklich ein False Positive ist?

Weil das auch auf leere DOC files gematcht hat.
--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | http://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

AW: ClamAV-Bug

Daniel-4
Habt ihr schon Datei bei https://www.virustotal.com/ gecheckt?

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Ralf Hildebrandt
Gesendet: Mittwoch, 10. August 2016 16:07
An: [hidden email]
Betreff: Re: ClamAV-Bug

* Helmut Lichtenberg <[hidden email]>:

> Aber woher wißt ihr, daß das wirklich ein False Positive ist?

Weil das auch auf leere DOC files gematcht hat.
--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | http://www.charite.de