Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1903 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.511] Problems with EICAR's testfile

trialrider
Hi all there,

today I updated our ASG to 7.511. After restart and a time for coming up I played around with EICAR downloads for HTTP. HTTPS is allowed via filter rule, only HTTP goes through the transparent proxy with enabled dual AV.

In most cases the files were blocked for downloading, except the txt file. But, esp. the zip files, could be downloaded after a second or third try.

Normally our users aren't allowed to download zip files or com files. Like other file types too. But for some URLs we defined exceptions for application related downloads. There can malware be downloaded...

Can someone reproduce the AV behaviour or should this be a specific device related problem? What happens under v8? Same "malfunction" there?

Thanks for helping.
-- 
Kind regards,

Steffen


This thread was automatically locked due to age.
Parents
  • 0
    Steffen, I don't see this in 8.202.  I think I tested with 7.4? at some point, and each of the EICAR files was blocked, so I wonder if you don't have an exception that allows one of these to pass.  Are your Exceptions configured with formal Regular Expressions including beginning with "^" and having "\" before "."?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    Our exception skips only extension blocking. The extensions are given without any RegEx or other special characters. Simply "exe", "zip", "mp3", "asf" and so on. MIME type filter is unused.

    Here you can see the log entires for eicar_com.zip and eicarcom2.zip. First was blocked and second could be downloaded (but was catched by local AV client). For a new try I only hit backspace key.
    2011:11:01-08:24:29 astaro httpproxy[3977]: id="0056" severity="info" sys="SecureWeb" sub="http" name="web request blocked, virus detected" action="block" method="GET" srcip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2398" time="82 ms" request="0xb1a5f2a8" url="http://eicar.org/download/eicar_com.zip" exceptions="" error="" category="126" reputation="neutral" categoryname="Information Security" content-type="application/octet-stream" engine="Astaro-AV" virus="Eicar-Test-Signature"
    2011:11:01-08:24:55 astaro httpproxy[3977]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="627" time="15030 ms" request="0xb1a5f2a8" url="http://eicar.org/download/eicarcom2.zip" exceptions="" error="" category="126" reputation="neutral" categoryname="Information Security"


    Maybe someone from Astaro could give an explanation. Can't imagine I'm the only one with this problem under v7. Should be fixed in 7.512 if planned.
    -- 
    So long, Steffen
Reply
  • 0 in reply to BAlfson
    Hi Bob,

    Our exception skips only extension blocking. The extensions are given without any RegEx or other special characters. Simply "exe", "zip", "mp3", "asf" and so on. MIME type filter is unused.

    Here you can see the log entires for eicar_com.zip and eicarcom2.zip. First was blocked and second could be downloaded (but was catched by local AV client). For a new try I only hit backspace key.
    2011:11:01-08:24:29 astaro httpproxy[3977]: id="0056" severity="info" sys="SecureWeb" sub="http" name="web request blocked, virus detected" action="block" method="GET" srcip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2398" time="82 ms" request="0xb1a5f2a8" url="http://eicar.org/download/eicar_com.zip" exceptions="" error="" category="126" reputation="neutral" categoryname="Information Security" content-type="application/octet-stream" engine="Astaro-AV" virus="Eicar-Test-Signature"
    2011:11:01-08:24:55 astaro httpproxy[3977]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="627" time="15030 ms" request="0xb1a5f2a8" url="http://eicar.org/download/eicarcom2.zip" exceptions="" error="" category="126" reputation="neutral" categoryname="Information Security"


    Maybe someone from Astaro could give an explanation. Can't imagine I'm the only one with this problem under v7. Should be fixed in 7.512 if planned.
    -- 
    So long, Steffen
Children
No Data