Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 2748 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Virus I-Worm.Moodown.b not detected !!

pgervaix
Our local antivirus (symantec) catched twice a virus in a mail that was not detected by Astaro, it's the W32.Netsky.B@mm  (equals to I-Worm.Moodown.b by Kaspersky). The first one was detected on the 23.2.04 and the second one today, the 1.3.04. I could understand that the first one was not detected, because the virus had just been discovered, but the second one I really don't understand !!

What's wrong with Astaro ?? I've seen recently several posts regarding virus passing through Astaro and I'm starting to worry !! I used to have complete confidence into Astaro regarding virus protection but now I have serious doubts !!  

Correction : the virus detected was W32.Netsky.B@mm not W32.Netsky.C@mm, so I edited the post to reflect this change, sorry for this mistake.


This thread was automatically locked due to age.
  • 0
    Hi to all,

    today our second virus scanner, running on the mx behind the ASL, catched 8 viruses that was not detected from ASL [:(] 
    We updated the ASL last weekend to the latest version 4.021!  
  • 0 in reply to Marwin
    Just a few comments: ASL most certainly will catch the virus, if the virus is identified.

    To be able to identify a virus message, ASL must have the latest Virus Pattern installed and the Pattern must include the data about the virus.

    In the case of NetSky.D which was discovered today, it happened also to us, that we received some virus messages before there was a Pattern on our ASL. This is possible due to two scenarios:

    1) The virus Pattern was okay on Astaro server, but we couldn't fetch that in time, despite updating patterns every hour.
    2) The virus Patterns at Astaro servers were not okay, which happens because Kaspersky could not provide them in time.

    In addition to block viruses, ASL can also protect from other malware, by adding for example .pif to File extension filters (it is default though). This would have stopped NetSky.D too.  
  • 0 in reply to MagicMike
    There was no problem on Astaro´s side, because my last pattern is exactly the same, you can download from kaspersky.
    Cheers Bagira  
  • 0 in reply to MagicMike
    because of this continued pattern i have instituted a 48(i think) file type list in the pop3 scanner for blocking attachments....the only reason i leve the virus scanner on at all now is for the .doc .xls and .ppt files that have to come through..however if more virii appear using those extensions i will block them too..too many virii getting through various scanners to trust jsut a/v anymore. 
  • 0 in reply to MagicMike
    MagicMike :
    I agree with you that the first day a virus is found, there can be some delay it's always a risk (that's why I have a second antivirus behind Astaro). The problem is that with the virus I'm talking about (W32.Netsky.B@mm = I-Worm.Moodown.b), it is known for more than a week ! So in this case your explanation is not valid.  
  • 0 in reply to pgervaix
    I have some more details about this problem :
    In fact the email with the virus was sent to us on the 19.2.2004 but only read today by the recipient. His local antivirus detected the virus in the mail when he opened it today.

    I apologise for not having checked this before, this changes a little bit my position because this virus was only discovered the day before (18.2.2004). But the question remains because as I update my virus definitions every 30 minutes, it should have been scanned. Here is the content of the log file for this email, it seems that nothing was detected at all. 

    2004-Feb 19 16:34:13 (none) exim[29802]: [8\14] F From: info@comarch.pl
    2004-Feb 19 16:34:13 (none) exim[29802]: [9\14] T To: info@fxxxx.com
    2004-Feb 19 16:34:13 (none) exim[29802]: [10\14]   Subject: information
    2004-Feb 19 16:34:13 (none) exim[29802]: [11\14]   Date: Thu, 19 Feb 2004 16:34:22 +0100
    2004-Feb 19 16:34:13 (none) exim[29802]: [12\14]   MIME-Version: 1.0
    2004-Feb 19 16:34:13 (none) exim[29802]: [13\14]   Content-Type: multipart/mixed; boundary="36244060"
    2004-Feb 19 16:34:13 (none) exim[29802]: [14/14] I Message-Id: 
    2004-Feb 19 16:34:13 (none) spamd[2406]: connection from localhost [127.0.0.1] at port 2316 
    2004-Feb 19 16:34:13 (none) spamd[29804]: checking message  for exim:666. 
    2004-Feb 19 16:34:14 (none) spamd[29804]: clean message (1.0/5.0) for exim:666 in 0.2 seconds, 30605 bytes. 
    2004-Feb 19 16:34:14 (none) exim[29802]: 2004-02-19 16:34:14 1AtqBo-0007kg-EP info@comarch.pl H=(fxxx.com) [212.97.35.10] P=smtp S=30776
    2004-Feb 19 16:34:14 (none) exim[29809]: 2004-02-19 16:34:14 1AtqBo-0007kg-EP => info@fxxx.com R=static_exact T=remote_smtp H=192.168.1.1 [192.168.1.1]
    2004-Feb 19 16:34:14 (none) exim[29809]: 2004-02-19 16:34:14 1AtqBo-0007kg-EP Completed  
  • 0 in reply to pgervaix
    I received the same virus today, and the AV scanner did not pick it up!

    Output from log file, with e-mails "x"ed out and "mydomain.net" representing my domain follows:

    2004-Mar  1 11:00:58 (none) exim[8820]: 2004-03-01 11:00:58 1Axqmi-0002IG-N9 xxxxxx@aol.com H=(mydomain.net) [66.204.22.253] P=esmtp S=35587
    2004-Mar  1 11:00:59 (none) exim[8845]: 2004-03-01 11:00:59 1Axqmi-0002IG-N9 => me@mydomain.net R=static_exact T=remote_smtp H=10.10.7.253 [10.10.7.253]
    2004-Mar  1 11:00:59 (none) exim[8845]: 2004-03-01 11:00:59 1Axqmi-0002IG-N9 Completed
    2004-Mar  1 11:08:09 (none) exim[10659]: 2004-03-01 11:08:09 Start queue run: pid=10659
    2004-Mar  1 11:08:09 (none) exim[10659]: 2004-03-01 11:08:09 End queue run: pid=10659
    2004-Mar  1 11:16:35 (none) exim[12801]: 2004-03-01 11:16:35 1Axr1v-0003KT-AU me@mydomain.net H=(class1.rwjenkins.net) [10.10.7.253] P=esmtp S=1464 id=29542.65.197.19.245.1078161238.squirrel@www.mydomain.net
    2004-Mar  1 11:16:36 (none) exim[12810]: 2004-03-01 11:16:36 1Axr1v-0003KT-AU => xxxxxxx@aol.com R=smarthost T=remote_smtp H=mail.ebiz.cx [68.164.160.90]
    2004-Mar  1 11:16:36 (none) exim[12810]: 2004-03-01 11:16:36 1Axr1v-0003KT-AU Completed
      
  • 0 in reply to RandyJ
    pgervaix, I don't want to make any conclusion about your (single) case, but our gateway has blocked up to 1000 virus e-mails per 24h day, with a very high identification rate.

    Occasionally, there are "virus type of messages" with only maybe text part of the virus left (not all viruses manage to spread like they try to). Sometimes even these are detected, but it depends whether there is definition in the Pattern or not.

    I also remember having received some "broken" virus messages with maybe half of the virus attachment included. These might not get caught with Astaro, whereas some other AV would recognize them.

    This is not ment to be an explanation, just some things that happened to us.   
  • 0 in reply to MagicMike
    And one more thing: please remember that messages sent to ASL postmaster will not be scanned. Therefor, we today received NetSky.D which was sent to the ASL postmaster address.

    I recommend not to set the postmaster addr as "postmaster" or one of the users due to the mentioned drawback. Instead, make an alias like "aslpostmaster" and point it to normal postmaster account. This way most of the attempts to exploit postmaster account will become futile.  
  • 0 in reply to MagicMike
    That's very interesting, I didn't know that the postmaster account was not scanned. That's something I will have to look after. Thanks.