Thread Info
  • State Not Answered
  • Replies 8 replies
  • Subscribers 0 subscribers
  • Views 988 views
  • Users 0 members are here
Options
Suggested

[7.470][BUG][FIXED] Avira scanner fails when scanning .tar.gz file

BrucekConvergent
When downloading the latest Metasploit package through my beta test ASG 7.470 installation, got an error message stating that the scan had failed, and as a result I could not download the file.  There is nothing wrong with the archive, bypassing the proxy and scanning it, then extracting it shows it is a valid archive file; the Avira scanner simply fails when attempting to scan inside the archive.  The URL to test is http://spool.metasploit.com/releases/framework-3.2.tar.gz   ... I've attached the appropriate HTTP logfile for further review.
scanerror.zip
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.470
    Type: BUG
    State: FIXED
    Reporter: BrucekConvergent
    Contributor: 
    MantisID: 10992
    --------------------------------
  • 0 in reply to Astaro Beta Bot
    Hi

    Indeed I also confirm I got these errors: 


    2009:07:19-07:28:03 asg httpproxy[31089]: [0xab82b5d0] avira_error_cb (avirascanner.c:80) name framework-3.2.tar --> framework-3.2/modules/exploits/windows/browser/realplayer_console.rb, category 1, level 2, code 32

    2009:07:19-07:28:03 asg httpproxy[31089]: [0xab82b5d0] avira_error_cb (avirascanner.c:80) name framework-3.2.tar --> framework-3.2/modules/exploits/windows/browser/.svn/text-base/ms06_013_createtextrange.rb.svn-base, category 1, level 2, code 32

    2009:07:19-07:28:03 asg httpproxy[31089]: [0xab82b5d0] avira_error_cb (avirascanner.c:80) name framework-3.2.tar --> framework-3.2/modules/exploits/windows/browser/.svn/text-base/ibmlotusdomino_dwa_uploadmodule.rb.svn, category 1, level 2, code 32

    2009:07:19-07:28:03 asg httpproxy[31089]: [0xab82b5d0] avira_error_cb (avirascanner.c:80) name framework-3.2.tar --> framework-3.2/modules/exploits/windows/browser/.svn/text-base/symantec_backupexec_pvcalendar.rb.svn-, category 1, level 2, code 32

    2009:07:19-07:28:03 asg httpproxy[31089]: [0xab82b5d0] avira_error_cb (avirascanner.c:80) name framework-3.2.tar --> framework-3.2/modules/exploits/windows/browser/.svn/text-base/creative_software_cachefolder.rb.svn-b, category 1, level 2, code 32

    2009:07:19-07:28:03 asg httpproxy[31089]: [0xab82b5d0] avira_error_cb (avirascanner.c:80) name framework-3.2.tar --> framework-3.2/modules/exploits/windows/browser/.svn/text-base/ms06_057_webview_setslice.rb.svn-base, category 1, level 2, code 32

    2009:07:19-07:28:03 asg httpproxy[31089]: [0xab82b5d0] avira_error_cb (avirascanner.c:80) name framework-3.2.tar --> framework-3.2/modules/exploits/windows/browser/.svn/text-base/realplayer_console.rb.svn-base, category 1, level 2, code 32

    2009:07:19-07:28:03 asg httpproxy[31089]: [0xab82b5d0] avira_error_cb (avirascanner.c:80) name framework-3.2.tar --> framework-3.2/modules/exploits/windows/browser/.svn/text-base/ie_createobject.rb.svn-base, category 1, level 2, code 32

    2009:07:19-07:28:03 asg httpproxy[31089]: [0xab82b5d0] avira_error_cb (avirascanner.c:80) name framework-3.2.tar --> framework-3.2/modules/exploits/windows/browser/.svn/text-base/hpmqc_progcolor.rb.svn-base, category 1, level 2, code 32

    2009:07:19-07:28:19 asg httpproxy[31089]: [0xab82b5d0] avira_error_cb (avirascanner.c:80) name framework-3.2.tar --> framework-3.2/external/source/ReflectiveVNCDll.zip --> ReflectiveVNCDll/winvnc/winvnc/res/vncviewer.jar, category 2, level 0, code 29

    2009:07:19-07:29:55 asg httpproxy[31089]: id="0056" severity="info" sys="SecureWeb" sub="http" name="web request blocked, error while scanning" action="pass" method="GET" srcip="192.168.9.2" user="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="13099756" time="190273 ms" request="0xab82b5d0" url="spool.metasploit.com/.../x-gzip" engine="Astaro-AV" 


    but when checking with clamscan on my desktop it a least find: 


    [07:39:12] root@beyond - ~/tmp/framework-3.2> clamscan --infected -r 

    LibClamAV Warning: ***********************************************************

    LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***

    LibClamAV Warning: *** DON'T PANIC! Read www.clamav.net/.../faq ***

    LibClamAV Warning: ***********************************************************

    /root/tmp/framework-3.2/modules/exploits/windows/browser/ms06_057_webview_setslice.rb: Exploit.CVE-2006-3730 FOUND

    /root/tmp/framework-3.2/modules/exploits/windows/browser/.svn/text-base/ms06_057_webview_setslice.rb.svn-base: Exploit.CVE-2006-3730 FOUND

    

    ----------- SCAN SUMMARY -----------

    Known viruses: 596476

    Engine version: 0.95.1

    Scanned directories: 5839

    Scanned files: 10424

    Infected files: 2

    Data scanned: 59.41 MB

    Data read: 28.86 MB (ratio 2.06:1)

    Time: 10.129 sec (0 m 10 s)


    thx
  • 0 in reply to BuBU
    I understand that some AV scanners see the exploits in the tarball and will say that the archive contains a virus; but the issue here is the Avira scanner doesn't even get that far, it looks like it can't even scan inside the file, whereas other scanners I've tried can.  I know Avira supports archives like this (I've seen it scan others before), but I think there's something going on here when it can't scan this one.

    This piece of software, if you're not familiar with it, is used to do penetration testing, etc. so I know it includes these exploits.
  • 0 in reply to BrucekConvergent
    I understand that some AV scanners see the exploits in the tarball and will say that the archive contains a virus; but the issue here is the Avira scanner doesn't even get that far, it looks like it can't even scan inside the file, whereas other scanners I've tried can.  I know Avira supports archives like this (I've seen it scan others before), but I think there's something going on here when it can't scan this one.

    This piece of software, if you're not familiar with it, is used to do penetration testing, etc. so I know it includes these exploits.


    Yep no problems... was just to find out why we have errors... but indeed this is a bug...

    thx
  • 0 in reply to BuBU
    Hi,

    Did u try unscanble option to download file 

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/98/t/67687


    they called it info even notabug but in u r case its not passwd protected right 

    Thanks
  • 0
    The problem here is that the archive contains more than 10000 files, and the Virus scanner defaults to a maximum of 10000 files. I've increased this limit to 100000 now,
    and also added the plaintext error message to the logfile.

    Cheers,

    Sven.
  • 0
    a changes are included in the next beta up2date

    greetings
    andreas
  • 0 in reply to andyk007
    Great, makes sense... I guess that's another bug for me...