Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1901 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.511] Problems with EICAR's testfile

trialrider
Hi all there,

today I updated our ASG to 7.511. After restart and a time for coming up I played around with EICAR downloads for HTTP. HTTPS is allowed via filter rule, only HTTP goes through the transparent proxy with enabled dual AV.

In most cases the files were blocked for downloading, except the txt file. But, esp. the zip files, could be downloaded after a second or third try.

Normally our users aren't allowed to download zip files or com files. Like other file types too. But for some URLs we defined exceptions for application related downloads. There can malware be downloaded...

Can someone reproduce the AV behaviour or should this be a specific device related problem? What happens under v8? Same "malfunction" there?

Thanks for helping.
-- 
Kind regards,

Steffen


This thread was automatically locked due to age.
  • 0
    Steffen, I don't see this in 8.202.  I think I tested with 7.4? at some point, and each of the EICAR files was blocked, so I wonder if you don't have an exception that allows one of these to pass.  Are your Exceptions configured with formal Regular Expressions including beginning with "^" and having "\" before "."?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    Our exception skips only extension blocking. The extensions are given without any RegEx or other special characters. Simply "exe", "zip", "mp3", "asf" and so on. MIME type filter is unused.

    Here you can see the log entires for eicar_com.zip and eicarcom2.zip. First was blocked and second could be downloaded (but was catched by local AV client). For a new try I only hit backspace key.
    2011:11:01-08:24:29 astaro httpproxy[3977]: id="0056" severity="info" sys="SecureWeb" sub="http" name="web request blocked, virus detected" action="block" method="GET" srcip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2398" time="82 ms" request="0xb1a5f2a8" url="http://eicar.org/download/eicar_com.zip" exceptions="" error="" category="126" reputation="neutral" categoryname="Information Security" content-type="application/octet-stream" engine="Astaro-AV" virus="Eicar-Test-Signature"
    2011:11:01-08:24:55 astaro httpproxy[3977]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="627" time="15030 ms" request="0xb1a5f2a8" url="http://eicar.org/download/eicarcom2.zip" exceptions="" error="" category="126" reputation="neutral" categoryname="Information Security"


    Maybe someone from Astaro could give an explanation. Can't imagine I'm the only one with this problem under v7. Should be fixed in 7.512 if planned.
    -- 
    So long, Steffen
  • 0
    size="627" time="15030 ms"

    That indicates some other problem that might be affecting the content of the zip file.  Did you unzip the file and confirm that the result was exactly the same as the original EICAR file?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    There are two kinds of unblocked extension exceptions. One for admin users (IPs), and some for application related downloads from specififc URLs.

    If I got the testfile through my ASG it's catched by our AV (Eset NOD32) as Eicar testfile. So I think there is no corrupted download.

    But sometimes if the ASG doesn't block, my browser does a long wait - submitting data from eicar.org. I cancel it and start a new try and can get the file.

    Maybe it could be helpfull to get AV log file(s) with further updates/upgrades.

    some important thing: a friend told me his astaro shows same behaviour. He uses an software appliance at 7.511. He used dual AV too.
    -- 
    Kind regards, Steffen
  • 0 in reply to trialrider
    Noone an idea? No comment from Astaro?

    Will be there a v7.512 with some corrections (soon)?
    -- 
    So long, Steffen
  • 0 in reply to trialrider
    Steffen,

    if you want some kind of official answer from Astaro, you should contact support, you are unlikely to get it via the forum.

    I wouldn't expect a 7.512 release any time soon (or perhaps ever).

    Is it possible that your browser does some kind of caching? I remember having problems with that before: best way to make sure that isn't happening is to use wget/curl directly for the eicar download.