Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1178 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Virus Protection did'nt detect a infected mail

ChristianZ
Please have a look to the following Logfile.

This mail was infected by the virus named Moodown.B
but the Virusprotection did'nt find that Virus.
The Symantec Antivirus find the Virus in this mail!

What's going wrong!

2004-Feb 18 16:00:33 (none) spamd[20736]: checking message  for exim:666. 
2004-Feb 18 16:00:33 (none) spamd[20736]: clean message (1.0/5.0) for exim:666 in 0.1 seconds, 30592 bytes. 
2004-Feb 18 16:00:33 (none) exim[20717]: 2004-02-18 16:00:32 1AtTBf-0005O9-78 msven@microsoft.com.ve H=(autefa.de) [62.202.1.222] P=smtp S=30763
2004-Feb 18 16:00:33 (none) exim[20737]: 2004-02-18 16:00:33 1AtTBf-0005O9-78 => certus@autefa.de R=static_exact T=remote_smtp H=172.16.0.1 [172.16.0.1]
2004-Feb 18 16:00:33 (none) exim[20737]: 2004-02-18 16:00:33 1AtTBf-0005O9-78 Completed

Demian  


This thread was automatically locked due to age.
  • 0
    Demian!

    Out of your log you can see, that Spam Daemon checked your e-mail and foud no problems. You  should check in your logs if this mail went through AV check (kavdaemon)! It is located in  /var/log/daemon

    BR, Matjaz 
  • 0 in reply to Matjaz
    The Moodown.B was discovered yesterday by all AV manufactoreres including Kaspersky (used in ASL). If you have only a daily AV update in ASL you might have missed the new pattern while your desktop scanner got it.  
  • 0 in reply to bergy
    actually ia hve mine set to hourly and have seen up to 24 hrs lag between something appearing on kas's site and the update being available from ASL..mydoom was the first occurrence of this.. 
  • 0
    I have the same situation. Update my  ASL every hours  and look this :

       Symantec said me

    Attachment:  crbiy.zip
    Virus name: W32.Mydoom.dam
    Action taken:  Delete succeeded : 
    File status:  Deleted

    But the e-mail passed  through  ASL !!, Astaro's log said me that.

    I have set quarantine to check every blocked virus.
    I'm  losing the trust form ASL.

      
  • 0 in reply to eden
    eden, 2 things you should make sure before blaming ASL:

    1) check the SMTP log if this email was even handled by ASL, make sure there isn't some bypass to your relay.

    2) make sure you really got a virus. Desktop scanners tend to false-positives. Expecially if someone sends the email including the virus with your spoofed email address. In this case you get a bounce which contains the first part of the virus but in a totally harmless MIME encoding. ASL is "smart" and does not regognize this is virus since it is not malicious. 
  • 0 in reply to bergy
    in my case i verified that the mydoom got through and that it took some hours from the time that the advisory appeared on kaspersky's site to the time ASL started catching the virus....My update is on every hour...i use pop3 scanning..i now run 49 attachment blocks because of this just to make sure.  Cannot beat 50/yr for protecting a whole home network but the delay in getting updates needs to be addressed.