Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 3829 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ClamAV and the "oversize.zip" virus

WLK
I'm running 6.104 and have encountered two problems downloading a file from the Yahoo! Widget Gallery (formerly Konfabulator):

1.  I'm blocked from downloading a "widget" because the firewall indicates it is infected with the "oversize.zip" virus (although all widgets are pre-screened before posting).  While the error message takes you to the Kaspersky web site, this is a dead-end, as that virus is not in their encylopedia.  I was, however, able to find a FAQ on the ClamAV website that indicated its users might experience false positives for this virus whenever a file exceeded the default ArchiveMaxCompressionRatio setting (i.e., it considers it a logic bomb) and suggested increasing the setting.  Unfortunately, I can't find a way of doing that within the Astaro web settings.  What do you recommend?

2.  Even when I bring up the System Up2Date Service page and disable ClamAV (or Kaspersky), the firewall still blocks the download.  What am I doing wrong?

Thanks in advance.


This thread was automatically locked due to age.
  • 0
    Did you check in the IPS rules?

    Barry
  • 0 in reply to BarryG
    I tried searching the IPS rules for "ArchiveMaxCompressionRatio", but no luck.
  • 0 in reply to WLK
    Please provide the name and url of the 'widget' so I can try it.

    Try disabling the IPS completely to see if it makes a difference.

    Also, try disabling the http proxy and / or content protection.

    Barry
  • 0
     [ QUOTE ]
    2. Even when I bring up the System Up2Date Service page and disable ClamAV (or Kaspersky), the firewall still blocks the download. What am I doing wrong?

    [/ QUOTE ] 

    That is not the right place to disable the antivirus!
    That just disables updates.

    It's in the http proxy settings somewhere.

    Barry
  • 0 in reply to BarryG
    [ QUOTE ]
     That is not the right place to disable the antivirus!
    That just disables updates.

    It's in the http proxy settings somewhere.

    [/ QUOTE ]

    Thanks Barry (insert sound of palm slapping forehead and a Homer-esc "duh" here).

    I'll look for it when I get home tonight.
  • 0 in reply to BarryG
    [ QUOTE ]
    Please provide the name and url of the 'widget' so I can try it.

    [/ QUOTE ]

    Here it is: http://a191.g.akamai.net/7/191/1560/6/gallery.widgetgallery.com/widget_cache/38655/Paddle_Battle.widget?1.2

    [ QUOTE ]

    Try disabling the IPS completely to see if it makes a difference.

    Also, try disabling the http proxy and / or content protection.


    [/ QUOTE ]

    I tried turning off both IPS and content protection, but no luck.  I also tried turning off the http proxy, but then no http requests worked.  Do I need to install a new rule?
  • 0 in reply to WLK
    You'd need a rule to Allow INT to any HTTP.

    You'd also probably need NAT/Masquerading if you haven't already set that up.

    And you'll need to set the client browser not to use the proxy.

    Barry
  • 0 in reply to BarryG
    I was able to download the file by placing the domain name in the http whitelist.

    Thanks for your help Barry.
  • 0 in reply to WLK
    I tried to download the Mobile firefox from this URL http://mobilefirefox.com/downloads/MobileFirefox1.5.0.3.zip today but it got blocked with the virus Oversized.zip.

    On the ClamAV FAQ page I found that the default settings might lead to false positives:
    http://www.clamav.net/faq.html - Question 36).

    They said that the clamd.conf default variable 'ArchiveCompressionRation' is exceeded, the file gets blocked with Oversized.zip.
    The default value is '250' which to me seems pretty high.

    The file mentioned above has 6MB compressed and 18MB uncompressed. That is a ration of 3 and not 250.

    So i chaged the value to '320', just to make sure that they do not use percentages, but with no luck.

    Than i found an interresting post on the mailinglist:
    http://lists.clamav.net/lurker/message/20040902.225554.dfeb03c8.ja.html

    They say that winzip reports the average compression ratio of the complete zip file and clam uses the peak ratio on a per file basis.
    This means that if there is at least one file included in a zip that has a compression ratio more than 250, it will be blocked.

    I downloaded the file without virusscanning to verify that claim.

    And indeed i found a file profiles/default/cert8.db that is compressed 176 bytes and uncompressed 65535 bytes which gives us a compression ratio of 373 and this is more than the default setting.

    In order to verify that this is the issue i removed the file, zipped it again, retried the download.
    And surprise, surprise, it worked.

    In order to test a workaround, I changed the clamd config file at "/var/chroot-clam/etc/clamd.conf" and enabled the option "ArchiveMaxCompressionRatio" with the ratio "380" and restarted clamd with "/var/mdw/scripts/clamd restart".

    And surprise, surprise, it worked again.

    Another link I found that did not work was a yahoo widget:
    http://widgets.yahoo.com/gallery/dl_r.php?widget=38655

    there i found a file that is compressed 809 bytes and uncompressed 294278 bytes, which gives us a ratio of 365.

    Therfore i suggest to enabled the option "ArchiveMaxCompressionRatio" and set it to the value "500", than we are on the save side.

    In order to calculate a proof of concept, lets take the famous mailbomp file 42.zip file as an example.
    It is 42 bytes compressed an uncompressed more than 10GB.
    If we multiply 42 bytes with a times 500 ratio we get a max file size to scan of 21Kbytes which is still easy to handle.

    Therefore give this test a try.

    i hope that helps, 

    thanks and best regards
    Gert