Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 4287 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

virii slipping through

William Warren
there is a new virus out..kaspersky a/v set to hourly..did a manual update and it is slipping through..using kaspersky's online checker catches the virus..the virus is eadme.zip/readme.pif Infected: I-Worm.Novarg 

Are the patterns not updated at ASL yet? 


This thread was automatically locked due to age.
Parents Reply
  • 0 in reply to shane_painter
    I wonder if this isn't a problem like this:

    1) A sends message including virus to B but uses spoofed address C
    2) B has sender address verification and rejects message
    3) C gets bounce with the first couple bytes of virus in a totally non-executable and harmless version
    4) ASL does not scan ASCII since this could never be a harmful virus
    5) Internal scanner recognizes a match with the pattern and does not consider the coding is non-executable -> reports virus, but actually this is a false positiv!

    This might not be the case here, but I have seen something like that many times.
     
Children
  • 0 in reply to bergy
    [ QUOTE ]
    I wonder if this isn't a problem like this:

    1) A sends message including virus to B but uses spoofed address C
    2) B has sender address verification and rejects message
    3) C gets bounce with the first couple bytes of virus in a totally non-executable and harmless version
    4) ASL does not scan ASCII since this could never be a harmful virus
    5) Internal scanner recognizes a match with the pattern and does not consider the coding is non-executable -> reports virus, but actually this is a false positiv!

    This might not be the case here, but I have seen something like that many times.
      

    [/ QUOTE ]
    wrong in my case i quote my above post:
    heres an interesting one i got the WAR 061 message..however attached to the message was an exe file! this is setup in the file extension filter to be blocked..how did that get through?
     to clarify further the exe i later scanned manually with an a/v program and it was sobig.c .... 
  • 0 in reply to William Warren
    are you entering exe or .exe in the file extension filter? 
  • 0 in reply to bergy
    .exe is not valid in webmin..[[:)]] so it has to be exe..[[:)]] 
  • 0 in reply to William Warren
    any whitelists you use on your SMTP relay? Or possibly bypass the SMTP relay with DNAT? Do you see this specific email in the SMTP logfile of the Astaro?
     
  • 0 in reply to bergy
    BTW, what version of ASL is that? 
  • 0 in reply to bergy
    no..this is for home i do not have my own mailserver...i use isp's mailserver....4.020 
  • 0 in reply to William Warren
    OK, so you do POP3 and you have the POP3 proxy activated on ASL? 
  • 0 in reply to bergy
    read the above posts closely..i quote from two of them:

    right now i have all executables and .zip blocked at the pop3 file extension scanner..

    and i mentioned in the beginning the the virus got past the virus scan..if i not not using smtp the only other option is pop3..[:)]   however..i rebooted the machine..cleared out all 55 entries in the file extension list..rebooted..re typed all 55 extensions and it is working fine now.