Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 5125 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Block password protected archive files?

asc
Hi!

The new virus threats with worms and viruses coming in password protected archives as email attachments are a serious problem for Astaro users. In my opinion it´s not a good thing to block ZIP- and RAR-files or other archive types just to prevent a virus slipping through. A better way to prevent the new viruses to pass the virus scanner would be to just filter password-protected archives.

Does anybody know if that´s possible with ASL 4.021? Or is this feature planned in an upcoming version?

Are there any other workarounds to prevent infection of maybe I-Worm.Bagle.p/q/r and others?

Help would be appreciated...

Greetings and have a nice weekend!!
Alexander  


This thread was automatically locked due to age.
  • 0
    You can add the RAR and ZIP extensions to the list of file attachment types to block in both the POP3 and SMTP proxies in ASL v4.  
  • 0
    [ QUOTE ]
    Hi!

    The new virus threats with worms and viruses coming in password protected archives as email attachments are a serious problem for Astaro users. In my opinion it´s not a good thing to block ZIP- and RAR-files or other archive types just to prevent a virus slipping through. A better way to prevent the new viruses to pass the virus scanner would be to just filter password-protected archives.

    Does anybody know if that´s possible with ASL 4.021? Or is this feature planned in an upcoming version?

    Are there any other workarounds to prevent infection of maybe I-Worm.Bagle.p/q/r and others?

    Help would be appreciated...

    Greetings and have a nice weekend!!
    Alexander   

    [/ QUOTE ]
    IMO it is great to kill rars and zips along with bz2 files in the attachement filter.  Right now the virii are coming out so fast they infect thousnads of pc's before the virus defs get pushed out.  It will only get worse.  I wish v5 had a whitelist instead of a blacklist..right now i have 46(i think) attachment types blocked and am getting ready to push that higher.  If someone wants to send me an attachment they have to notify me first then i tell them what to rename the attachment to..then it gets past the attachment block and the a/v scans it.  Hopefully in v6 ASL will have a whitelist attachment filter option..[:)] 
  • 0
    Hi,
    but i think for that i dont need a black or white list. If the virusfilter could not scan a atachment it is not secure to let it pass so i must be able to delete it or put it into a quarantine-folder (i dont know if this word is right spelled sorry).

    firebear  
  • 0 in reply to firebear_01
    frankly if hte virus filter cannot scan it..i would kill it with the attachment feature.  That way it never gets into the network and you do not have to bother with quarentinning(sp?) it at all.. 
  • 0 in reply to William Warren
    Hi!

    Thanks for your posts. The work-around mentioned - "just block all archives" - is not working for me, some employees need these yet.

    The only thing would be to quarantine everything that can´t be scanned (IMHO this should be the default in ASL!). But there´s no way to do that. No ideas?

    asc   
  • 0 in reply to asc
    Hi,
    on cebit i asked kaspersky what their virusscanner would do in this case and they told me that it would quarantine it if could not be scanned.
    But i cant try in asl because i have no license for virusscan.

    firebear  
  • 0 in reply to firebear_01
    ASL4 quarentines anything it cannot scan.  When these new virii came out with passowrd locks the A/V enginge quarentined them immediatly.(i took my attachment filters off for a bit to test this)..i ahve since restored the attachment filters and my virus pass-through is back down to zero.
     
  • 0 in reply to William Warren
    Not correct:

    ASL4 lets a password protected archive pass if it´s file type is not blacklisted. I tried it with a .exe-file zipped into a password protected archive. Here is the daemon-log:

    2004-Apr  5 14:54:13 (none) kavdaemon[21040]:   Query for the tests: ɘᠽ Apr 14:54:13:/var/chroot-smtp/spool/scan/1BATcD-0005TJ-D5    
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]: /var/chroot-smtp/spool/scan/1BATcD-0005TJ-D5/1BATcD-0005TJ-D5.eml    archive: Mail 
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]: /var/chroot-smtp/spool/scan/1BATcD-0005TJ-D5/1BATcD-0005TJ-D5.eml/[From [Date"]xxx@xxx.xx][Date Mon, 5 Apr 2004 14:54:13 +0200 (MEST)]/UNNAMED    ok. 
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]: /var/chroot-smtp/spool/scan/1BATcD-0005TJ-D5/1BATcD-0005TJ-D5.eml/[From [email="xxx@xxx.xx[Date"]xxx@xxx.xx[Date[/email] Mon, 5 Apr 2004 14:54:13 +0200 (MEST)]/text    ok. 
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]: /var/chroot-smtp/spool/scan/1BATcD-0005TJ-D5/1BATcD-0005TJ-D5.eml/[From [Date"]xxx@xxx.xx][Date Mon, 5 Apr 2004 14:54:13 +0200 (MEST)]/arcsetup.zip    archive: ZIP 
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]: /var/chroot-smtp/spool/scan/1BATcD-0005TJ-D5/1BATcD-0005TJ-D5.eml/[From [Date"]xxx@xxx.xx][Date Mon, 5 Apr 2004 14:54:13 +0200 (MEST)]/arcsetup.zip/arcsetup.exe    password protected. 
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]: /var/chroot-smtp/spool/scan/1BATcD-0005TJ-D5/1BATcD-0005TJ-D5-00000.com    ok. 
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]: /var/chroot-smtp/spool/scan/1BATcD-0005TJ-D5/1BATcD-0005TJ-D5-00001.com    ok. 
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]: /var/chroot-smtp/spool/scan/1BATcD-0005TJ-D5/1BATcD-0005TJ-D5-00000.zip    archive: ZIP 
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]: /var/chroot-smtp/spool/scan/1BATcD-0005TJ-D5/1BATcD-0005TJ-D5-00000.zip/arcsetup.exe    password protected. 
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]:   Current object:^Iɘᠽ Apr 14:54:13:/var/chroot-smtp/spool/scan/1BATcD-0005TJ-D5  
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]:              Sector Objects :      0                Known viruses :      0  
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]:                     Files :      9                 Virus bodies :      0  
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]:                   Folders :      1                  Disinfected :      0  
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]:                  Archives :      3                      Deleted :      0  
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]:                    Packed :      0                     Warnings :      0  
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]:                                                      Suspicious :      0  
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]:            Speed (Kb/sec) :      0                    Corrupted :      0  
    2004-Apr  5 14:54:13 (none) kavdaemon[21040]:                 Scan time :  00:00:01                I/O Errors :      0  

    And here the SMTP-log:

    2004-Apr  5 14:54:13 (none) exim[21037]: 2004-04-05 14:54:13 1BATcD-0005TJ-D5 xxx@xxx.xx H=(mail.gmx.net) [213.165.64.20] P=smtp S=124451 id=17140.1081169653@www62.gmx.net
    2004-Apr  5 14:54:13 (none) exim[21041]: 2004-04-05 14:54:13 1BATcD-0005TJ-D5 => xxx@xxx.xx R=static_exact T=remote_smtp H=172.25.0.33 [172.25.0.33]
    2004-Apr  5 14:54:13 (none) exim[21041]: 2004-04-05 14:54:13 1BATcD-0005TJ-D5 Completed

    I have an attachment blacklist containing .EXE, .COM, .VBS, .PIF, .SCR and .BAT file extensions but no ZIP, LZH, LHA, RAR, and so on.

    Virus protection is set to "On" and Action to "Reject" in SMTP Proxy. Virus protection is licensed...

    So... still no solution or work-around except setting up a blacklist for archive file types - and that´s not possible for me.

    Greetings,
    asc