Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 7773 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Viruses and .exe files via .zip attachement

rsmfazil
I have blocked .exe coming as attachment under Email Security->SMTP->Anti Virus.  But .exe files are coming compressed via the allowed extension .zip.  Sad, this is valid for Viruses that are coming via .zip attachments.

Shouldn't Astaro look inside the compressed files for policy violations like Virus and attachments?

If NOT, this is a serious flaw...


This thread was automatically locked due to age.
Parents
  • 0
    IMHO, that should be a separate option if it is going to be implemented.

    e.g.
    1. Block extensions: exe...

    2. Block extensions inside archives: ...

    There are those of us who don't want plain EXEs but sometimes need to receive them anyways, in an archive.

    Barry
  • 0 in reply to BarryG
    It is critical now...

    Try renaming a .vbs malware as .doc and send via ASG SMTP.  It will deliver.

    Then renaming .vbs to .doc and running it can become as dangerous as it can go.  Today, "file identification" is NOT as simple as looking at the extension.

    I think the "Astaro Pros" should quickly look at it...
  • 0 in reply to rsmfazil
    //There are those of us who don't want plain EXEs but sometimes need to receive them anyways, in an archive.//

    Don't you think that this is an "Exception" and can be handled differently?
  • 0 in reply to rsmfazil
    what needs to happen is the archive file should be opened and the contents scanned.  If this is not happening then the a/v scanning is totally useless.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Why not just have the field of extensions to block (like we have now), and then a separate list in the same section where you can list mime types for files if you would rather do that. (and by mime types I mean the ones that the 'file' command will report or something similar). And then at the bottom of all of this there could/should be a check box or fill in the blank that says "scan within archives ___ levels deep".

    there goes another 2 cents...
  • 0 in reply to rsmfazil

    Try renaming a .vbs malware as .doc and send via ASG SMTP.  It will deliver.
    Then renaming .vbs to .doc and running it can become as dangerous as it can go.
    Today, "file identification" is NOT as simple as looking at the extension.


    As much as I agree that the virus scanner should be checking the header information of the file, renaming a text type file (.vbs for example) will normally work.
    I have done this many times to get past .vbs files being blocked/deleted.

    EXE, or other compiled files, on the other hand should not be able to get through if renamed.
  • 0 in reply to BigO
    As much as I agree that the virus scanner should be checking the header information of the file, renaming a text type file (.vbs for example) will normally work.
    I have done this many times to get past .vbs files being blocked/deleted.

    EXE, or other compiled files, on the other hand should not be able to get through if renamed.

    any viruscanner worth a crud actively scans the contents no matter what the extension.  if it doesn't..it's junk.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Under technical specifications of email filtering, this is what they say,

    //Scanning of encrypted and compressed attachments//

    Scanning for what then?
  • 0 in reply to rsmfazil
    According to the ASG v7 Administration Guide:

    "Encrypted ZIP archives cannot be scanned for malicious content and will pass through the virus scanner. To protect your network from malware inluded in encrypted ZIP files you might want to consider blocking the ZIP file extension altogether."

    Are these ZIP files encrypted? We have tested not-encrypted ZIP files that contain a virus (the EICAR test virus) and such files were blocked!
  • 0 in reply to WoodenHeart
    Hi,

         I know this is an old thread but did anyone find a solution to this issue of exe files being allowed through in zip files via SMTP? I just discovered this the other day while doing some work on our company network and tried emailing myself some files.

    We cannot block zip files altogether as some users receive legitimate files containing word, pdf, and other documents types.

    Any help is appreciated.

    Thanks, Julio
Reply
  • 0 in reply to WoodenHeart
    Hi,

         I know this is an old thread but did anyone find a solution to this issue of exe files being allowed through in zip files via SMTP? I just discovered this the other day while doing some work on our company network and tried emailing myself some files.

    We cannot block zip files altogether as some users receive legitimate files containing word, pdf, and other documents types.

    Any help is appreciated.

    Thanks, Julio
Children
No Data
Cookie Information Banner