Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 4127 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP Virus found: HTML.Phishing.Gold with Mozilla Firefox 2.0

KarlScheuermann
Hello,

Today we have about 800 HTTP viruses. 

In /var/log/contenfilter.log I found entries like this.
1.202' RESULT:'400', REASON:'Virus 'HTML.Phishing.Gold' found' LAST SCANNER:'/usr/lib/libweedclam.so'

2006:11:17-13:23:22 (none) weed: Profile Default (Response) starting  for: protocol:'http', user:'aaa@', facility:'http-response', src_address:'N.N.N.N' RESULT:'400', REASON:'Virus '

First I run local Anti Virus programms on the client, which is the source address: PC-Cilin and ClamWin Free Antivirus, but no virus was found. Even Ad-Aware and Spybot does not find any malware. 

We found that data should be sended, when on the client Mozilla Firefox 2.0 is running. After deinstalling the Browser, there are no more HTTP Viruses reporting.

Any idea, what is the reason.

Thanks for your help

kind regards
Karl.


This thread was automatically locked due to age.
  • 0
    Hi,

    we have the Same Problem here on our ASG 320 sind Wednesday.
    Today they are so much surf traffic that the CPU-Load goes Up to 4 an more.
    The load come from the Clamd
    When i stop the clamd, the load goes to the normal 0.8-0.9.

    One time the load was so big that the middleware stands still and the HA take Over.
  • 0 in reply to pineiro
    Interestingly, I was about to start a thread on a similar subject. Yesterday I received the most stopped http virii in the firewall I have ever seen, over 250. Normally I might get 1 or 2 a week. I was running v6.303 at the time with firefox 2.0. I am now back to running v7b v6.836
    I have just run a complete virus scan across this PC and nothing was found.

    Ian M
  • 0
    'HTML.Phishing.Gold' - is not defined in the ClamAV virus database. I did a search via http://www.clamav.net If this signature has been developed in house by Astaro, then might I ask why it was not thourghly tested before it was released? 

    I have posted a support request to Astaro and still no answer as to why this is happening or whether they make their own signatures for the ClamAV engine. I thought Astaro was better than this. I have platinum support, I have posted the request over 10 hours ago. [:@]
  • 0 in reply to dayne
    Looking at the ClamAV signatures in Up2date section. I can see there are actually three signature files: Main.cvd, Daily.cvd (Standard ClamAV signature files) and clamav-baffde0c7b9a15f0 (Not standard, has not been updated since Nov 2 (Right about the time my HTTP AV started going nuts!))

    So there you have it Astaro develop their own signatures for the ClamAV engine on ASG. And whats more their QA has botched up that now too. Really starting to kick myself for recommending Astaro to my company. Is this the sort of Quality Assurance we can expect from an Information Security company, responsible for some 30,000 network's security? Will anybody from Astaro answer that question, or at least reply to my support queries!
  • 0 in reply to dayne
    Please, if you have a Platinum support than phone them. You should have got an special phone number with your support contract.

    Btw. Seems the "Phishing" alert gets triggered by the astaro.org site, since friday. Hope the forum-server didn't get wanked by some miners.

    Its the farking google again.
    http://sb.google.com/safebrowsing/update?
    Those are triggered by the forum servers and those again trigger the alert in the clamav.
  • 0 in reply to NimmdirKeks
    Thank you, NimmDirKeks.

    I opened a support case by Silver Support.

    kind regards.
    Karl.
  • 0 in reply to KarlScheuermann
    Hi all,

    here the same, plus just this afternoon I have problems with HA on two ASG220.
    Pratically the Master and the Slave keep control alternatively every few minutes.
    So I turned off the Slave and I had to reconfigure the HA on the Master.
    Now I'm running only with the Master.

    BTW, I don't know if my HA problem is related to the antivirus problem....
  • 0 in reply to mdallagi
    Hi,

    i think it´s an Problem of the load.
    We had two ASG320 in our company as HA
    The load goes so high that the middleware stands still, then the other appliance take over.
    An workaround here is to deactivate the open Source Scanner.
  • 0 in reply to pineiro
    Hi pineiro,

    I agree with you, but why the Astaro team doesn't notify this issue on KIL (http://www.astaro.com/lists/Known_Issues-ASL-V6.txt) ?
    This list seems to be a little obsolete...
  • 0 in reply to mdallagi
    Hi there all, 

    after taking a look at the ClamAV DB site here:
    http://lurker.clamav.net/message/20060911.092239.876bb5f3.en.html

    It can be seen, that this particular pattern has been added by the clamav team.

    If you search on the ClamAV database for this Virus Name:
    http://clamav-du.securesites.net/cgi-bin/clamgrok?virus=HTML.Phishing.G&search-type=contains&case-sensitivity=No&database=main&display=database&display=file&display=virus&display=signature&.submit=Submit+Query&.cgifields=database&.cgifields=case-sensitivity&.cgifields=search-type&.cgifields=display

    you can see that the pattern is realtivly short, compared to the other one's listed there, and therefore also a good candidate for false-positives.

    So it is more likely that this is a simple potentially bad pattern from ClamAV.


    Just for your information. 
    Astaro does extensive automated testing for every Pattern Update that get's sent out to customers.

    With every new available patterns, there is a set of more than one hundred automated tests and simularions, which include:
    - Does every version of the av engine ever used in a released ASG Version work with this new pattern set?
    - Does the scanner still detect a list of sample viruses with the new pattern?
    - Does the scanner not detect a list of sample not virus data with the new pattern?
    - Is the performance of the AV engine similar with the new pattern, than with a set of reference pattern?
    - ...

    I hope that posting anwsers your questions.

    best regards
    Gert