HTTP Virus found: HTML.Phishing.Gold with Mozilla Firefox 2.0

'HTML.Phishing.Gold' - is not defined in the ClamAV virus database. I did a search via http://www.clamav.net If this signature has been developed in house by Astaro, then might I ask why it was not thourghly tested before it was released? 

I have posted a support request to Astaro and still no answer as to why this is happening or whether they make their own signatures for the ClamAV engine. I thought Astaro was better than this. I have platinum support, I have posted the request over 10 hours ago. [:@]

'HTML.Phishing.Gold' - is not defined in the ClamAV virus database. I did a search via http://www.clamav.net If this signature has been developed in house by Astaro, then might I ask why it was not thourghly tested before it was released? 

I have posted a support request to Astaro and still no answer as to why this is happening or whether they make their own signatures for the ClamAV engine. I thought Astaro was better than this. I have platinum support, I have posted the request over 10 hours ago. [:@]

Looking at the ClamAV signatures in Up2date section. I can see there are actually three signature files: Main.cvd, Daily.cvd (Standard ClamAV signature files) and clamav-baffde0c7b9a15f0 (Not standard, has not been updated since Nov 2 (Right about the time my HTTP AV started going nuts!))

So there you have it Astaro develop their own signatures for the ClamAV engine on ASG. And whats more their QA has botched up that now too. Really starting to kick myself for recommending Astaro to my company. Is this the sort of Quality Assurance we can expect from an Information Security company, responsible for some 30,000 network's security? Will anybody from Astaro answer that question, or at least reply to my support queries!

Please, if you have a Platinum support than phone them. You should have got an special phone number with your support contract.

Btw. Seems the "Phishing" alert gets triggered by the astaro.org site, since friday. Hope the forum-server didn't get wanked by some miners.

Its the farking google again.
http://sb.google.com/safebrowsing/update?
Those are triggered by the forum servers and those again trigger the alert in the clamav.

Thank you, NimmDirKeks.

I opened a support case by Silver Support.

kind regards.
Karl.

Hi all,

here the same, plus just this afternoon I have problems with HA on two ASG220.
Pratically the Master and the Slave keep control alternatively every few minutes.
So I turned off the Slave and I had to reconfigure the HA on the Master.
Now I'm running only with the Master.

BTW, I don't know if my HA problem is related to the antivirus problem....

Hi,

i think it´s an Problem of the load.
We had two ASG320 in our company as HA
The load goes so high that the middleware stands still, then the other appliance take over.
An workaround here is to deactivate the open Source Scanner.

Hi pineiro,

I agree with you, but why the Astaro team doesn't notify this issue on KIL (http://www.astaro.com/lists/Known_Issues-ASL-V6.txt) ?
This list seems to be a little obsolete...

Hi there all, 

after taking a look at the ClamAV DB site here:
http://lurker.clamav.net/message/20060911.092239.876bb5f3.en.html

It can be seen, that this particular pattern has been added by the clamav team.

If you search on the ClamAV database for this Virus Name:
http://clamav-du.securesites.net/cgi-bin/clamgrok?virus=HTML.Phishing.G&search-type=contains&case-sensitivity=No&database=main&display=database&display=file&display=virus&display=signature&.submit=Submit+Query&.cgifields=database&.cgifields=case-sensitivity&.cgifields=search-type&.cgifields=display

you can see that the pattern is realtivly short, compared to the other one's listed there, and therefore also a good candidate for false-positives.

So it is more likely that this is a simple potentially bad pattern from ClamAV.


Just for your information. 
Astaro does extensive automated testing for every Pattern Update that get's sent out to customers.

With every new available patterns, there is a set of more than one hundred automated tests and simularions, which include:
- Does every version of the av engine ever used in a released ASG Version work with this new pattern set?
- Does the scanner still detect a list of sample viruses with the new pattern?
- Does the scanner not detect a list of sample not virus data with the new pattern?
- Is the performance of the AV engine similar with the new pattern, than with a set of reference pattern?
- ...

I hope that posting anwsers your questions.

best regards
Gert

We tried several workarounds on customers sites,
when we saw high HTTP-Volumes under Reporting to sb.google.com.
Seems that the (astaro?)clam-av-pattern ist somehow corrupt.

- Deactivate "Safe Browsing" in Firefox 2 under Options/Advanced/Anti-Phishing tab.
-> http://wiki.mozilla.org/Phishing_Protection
-> http://www.mozilla.com/en-US/firefox/phishing-protection/
-> http://www.firefox-browser.de/wiki/Phishing-Schutz (yes its in german ;-)
Test it -> http://www.mozilla.com/firefox/its-a-trap.html

or

- add URL-Whitelist sb.google.com

or

- deactivate Open Source engine@HTTP Anti-Virus Engines

as you prefer...this helped us to drop the load from 18 back to 0,5