Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 4465 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Virus got through

dayne1432
I have an internal email server at home that is on the DMZ. It fetches through POP3 my email from my hosted email server/webserver.

I had the POP3 proxy configured like this:

DMZ -> ANY

I then had a packet filter that let my outlook client retrieve the emails from my internal server.

Well today I opened up my email and my desktop antivirus (Thank you Symantec) caught an email infected with the Netsky virus. Look I know that Astaro is not full proof thats why I have a layered approach to antivirus but surely it would catch the netsky!?

I also have SMTP proxy enabled with smart host so that I can scan outgoing messages for viruses. 

This is very upsetting. 

Can anybody explain what went wrong?


This thread was automatically locked due to age.
  • 0
    You have to ascertain whether it is an old well-known form of NetSky, or one of a myriad of newer variants. They call something NetSky or Blaster because it wreaks the same type of havoc, but the propagating mechanism that gets it all started can be radically different from generation to generation (NetSky b, NetSky i -with some viruses they tear through the entire alphabet!)

    I have had one brand of desktop AntiVirus miss one that another caught because it was a new incarnation of virus (just goes to show you how feeble checking for code signatures is; blocking all code, be it executable or script, is really the way to go...)

    I am not discounting what you think as a possibility (that for some reason, Astaro missed one  that was in its code signature database). But we have to be sure as to what version of NetSky it is.

    Did the Desktop antivirus leave it in a quarantine, so you can submit it to Astaro??
  • 0 in reply to SecApp
    Symantec dubbed it the W32.Netsky.B@mm

    Like I said before thats why I have both destop antivirus and astaro. But I would think that Astaro would have caught this one.

    I also thought that the Kaspersky virus engine is one of the best around
  • 0 in reply to dayne1432
    Well, that appears to be an oldie, so it should have caught it. Is it Kaspersky, Astaro, or your configuration's fault?

    I will stand back from this discussion now that you have related crucial info necessary to diagnose what is going on, and defer to Astaro's comments...
  • 0 in reply to SecApp
    Well I know that the virus defs have been updated regularly. I have also never recieved an error from ASL stating the the engine has stopped. So I have now answers. I would be happy to produce logs for anyone out there that can find out what in the world is happening.
  • 0 in reply to dayne1432
    Hold on-

    Your configuration. The "internal server" on your DMZ; the only way Astaro will detect virri will be if your are accessing that server you manage internally through the POP proxy from Outlook clients on the LAN (and they are using POP, not Exchange, right?); but it sounds like you are deploying the POP proxy between the internal server and the ISP?

    How does the "internal server" get its mail from the ISP or 'net? SMTP or POP??

    Where is the POP proxy deployed? Between the (presumably) POP clients on the LAN and the internal server? Or not??

    If the internal server receives mail through SMTP, the SMTP proxy will have to do the scanning...
  • 0 in reply to SecApp
    The Server gets email from isp mail server using pop3.

    The POP3 Proxy on ASL is configured so:

    DMZ -> Any

    Mail Server is on DMZ
  • 0 in reply to dayne1432
    OK, then the configuration is all right; that's sort of an unusual way to do it; most people would just use the POP proxy directly from clients, or be doing SMTP proxy or mailbagging on port 25 with the internal server; but I understand you may be working under some ISP constraints...

    What mail software are you using for your internal server on the DMZ?
  • 0 in reply to SecApp
    This is my home network. I am using the lite version of Desknow.
    The full version of Desknow does virus scanning but not the lite.
  • 0 in reply to dayne1432
    Looking at the literature for it:

         "...retrieve emails from external POP3 accounts..."

    So presuming that your software is configured that way, the only theory I can come up with is that the Desknow is retrieving the Emails in such a way that an Outlook client does not? (e.g., slightly different header passing or base encoding) And maybe that is not handled by Kaspersky or Astaro?

    This could be tested (if you care to...) by retransmitting the virus (if you have it in quarantine, or can download it somewhere...) by resending the message to just one Outlook client that is temporarily configured to access an external POP box directly...
  • 0 in reply to SecApp
    I don't think its the way desknow downloads the email. Astaro has caught exactly that same virus before while I was using desknow. The only explanation I have for it is there may have been a corrupt virus def. download and the system didn't warn me that the virus scanner had stopped. 

    Today I have already had 3 viruses one of which is that very same virus. Astaro has caught it. My only explanation is the one above. I guess this is why we should all take a layered approach to security and make sure we have antivirus at all levels. I will be looking for another email server (maybe kerio w/ virus scanning).

    Thank you SecApp for all the help.
Cookie Information Banner