Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1180 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Virus Protection did'nt detect a infected mail

ChristianZ
Please have a look to the following Logfile.

This mail was infected by the virus named Moodown.B
but the Virusprotection did'nt find that Virus.
The Symantec Antivirus find the Virus in this mail!

What's going wrong!

2004-Feb 18 16:00:33 (none) spamd[20736]: checking message  for exim:666. 
2004-Feb 18 16:00:33 (none) spamd[20736]: clean message (1.0/5.0) for exim:666 in 0.1 seconds, 30592 bytes. 
2004-Feb 18 16:00:33 (none) exim[20717]: 2004-02-18 16:00:32 1AtTBf-0005O9-78 msven@microsoft.com.ve H=(autefa.de) [62.202.1.222] P=smtp S=30763
2004-Feb 18 16:00:33 (none) exim[20737]: 2004-02-18 16:00:33 1AtTBf-0005O9-78 => certus@autefa.de R=static_exact T=remote_smtp H=172.16.0.1 [172.16.0.1]
2004-Feb 18 16:00:33 (none) exim[20737]: 2004-02-18 16:00:33 1AtTBf-0005O9-78 Completed

Demian  


This thread was automatically locked due to age.
Parents
  • 0
    I have the same situation. Update my  ASL every hours  and look this :

       Symantec said me

    Attachment:  crbiy.zip
    Virus name: W32.Mydoom.dam
    Action taken:  Delete succeeded : 
    File status:  Deleted

    But the e-mail passed  through  ASL !!, Astaro's log said me that.

    I have set quarantine to check every blocked virus.
    I'm  losing the trust form ASL.

      
  • 0 in reply to eden
    eden, 2 things you should make sure before blaming ASL:

    1) check the SMTP log if this email was even handled by ASL, make sure there isn't some bypass to your relay.

    2) make sure you really got a virus. Desktop scanners tend to false-positives. Expecially if someone sends the email including the virus with your spoofed email address. In this case you get a bounce which contains the first part of the virus but in a totally harmless MIME encoding. ASL is "smart" and does not regognize this is virus since it is not malicious. 
Reply
  • 0 in reply to eden
    eden, 2 things you should make sure before blaming ASL:

    1) check the SMTP log if this email was even handled by ASL, make sure there isn't some bypass to your relay.

    2) make sure you really got a virus. Desktop scanners tend to false-positives. Expecially if someone sends the email including the virus with your spoofed email address. In this case you get a bounce which contains the first part of the virus but in a totally harmless MIME encoding. ASL is "smart" and does not regognize this is virus since it is not malicious. 
Children
  • 0 in reply to bergy
    in my case i verified that the mydoom got through and that it took some hours from the time that the advisory appeared on kaspersky's site to the time ASL started catching the virus....My update is on every hour...i use pop3 scanning..i now run 49 attachment blocks because of this just to make sure.  Cannot beat 50/yr for protecting a whole home network but the delay in getting updates needs to be addressed.