Virus in .zip E-Mailanhang

[ricma]

Wie kann ich feststellen ob der Virenscanner auch in gezippten Dateianhängen scannt?
In einer E-Mail wurde der Dateianhang w32.Beagle@mm!zip nicht erkannt und wure erst durch den Virenscanner der Workstation erkannt und isoliert. (Übrigens F-Secure mit allen Funktionen die möglich sind - scannen in komprimierten Dateien, Scan Optionen: Alle Dateien)
Eigentlich erwarte ich von einem Virenscanner denich nur ein oder Ausschalten kann, das dieser dann auch alles -was geht- scannt.
An veralteten Versionen bzw. Virendefinitionen kann es nicht liegen denn wir prüfen automatisch alle 60 min nach aktualisierungen und machen eingentlich sofort jedes Update mit.

[Thomas Jarosch]

Hallo Herr Richter,

der Intranator Email-Virenscanner scannt auf jeden Fall gezippte Dateianhänge. Der Beagle Virus wird eigentlich zuverlässig erkannt.
Haben Sie den Virus noch? Bitte schicken Sie ihn an support@intranator.de, damit wir uns das ansehen können.

Von eicar.org können Sie eine Virenscanner-Testdatei auch als Zip Archiv runterladen und damit die Funktion des Virenscanners überprüfen.

Hier der direkte Link:
http://www.eicar.org/download/eicar_com.zip

Herzliche Grüsse,
Thomas Jarosch

[Thomas Jarosch]

Gerade per Zufall folgenden Logeintrag entdeckt:

Jul 16 10:43:13 intranator fsavd: File /var/spool/vscan/amavis/amavis-20040716T104216-05029/parts/part-00002 infected: W32/Bagle.Z@mm [Orion].
Jul 16 10:43:14 intranator fsavd: File /var/spool/vscan/amavis/amavis-20040716T104216-05029/parts/part-00002 infected: I-Worm.Bagle.z [AVP].

D.h. der Virenscanner erkennt auf jeden Fall die Bagle Viren. Wahrscheinlich muss der Virus bei ihnen genau innerhalb einer Stunde zwischen zwei Pattern-File Updates eingeschlagen haben.

Herzliche Grüsse,
Thomas Jarosch

[Andreas_Griess]

Hallo,

ich kann das Problem leider nur bestätigen. Gestern hatten wir einen "Durchläufer" durch den Virenfilter. Ich maile die Datei an den Support. Die Dateiextension wurde umbenannt, aber das sollte ja keine Rolle spielen.

Mit freundlichen Grüßen,

Andreas Grieß

[Thomas Jarosch]

Hallo Herr Grieß,

ihre Mail an den Support wurde erfolgreich als Virus erkannt:

Code:

VIRUS ALARM

Der Intranator Virenscanner hat gefunden
_ _ Viren: I-Worm.Bagle.gen [AVP], I-Worm.Bagle.gen [AVP]

Die Email kam von: <?@www.plancom.de>

Laut der Received-Information stammt die Email von:
_ _ag2 (ag.net.local [192.168.X.XX])____ 


Die Auslieferung der Email wurde gestoppt und sie wurde
für die weitere Analyse unter folgendem Namen gespeichert:

virus-20040724-115919-06588-05-2

Sie können sie im Menü
Dienste > Email > Quarantäne
auf dem Intranator einsehen.
(https://intranator.net.local/arnie?f...rus_quarantine)

Dies sind die Kopfzeilen der Email zur genaueren Analyse:

...

Schutz vor unbekannten Viren wird in Zukunft (so wie's aussieht im 4.4.0 Release) der gruppenbaisierten Dateianhangs-Filter sorgen.

Herzliche Grüsse,
Thomas Jarosch

[Andreas_Griess]

Hallo Herr Jarosch,

diese Mail wurde mir von außen über den Intranator zugeschickt und ich habe sie über den Intranator an Sie verschickt. Warum verhalten sich unsere Systeme denn unterschiedlich ?

Mit freundlichen Grüßen,

Andreas Grieß

[Andreas_Griess]

Hallo,

bei der Gelenheit :

Ich bekomme öfter Meldungen von gefundenen Viren:

Der Intranator Virenscanner hat gefunden
Virus:
in einer Email an Sie von:

Im Betreff steht dann :

VIRUS () IN EINER EMAIL AN SIE (von <%FROM_USER@findhere.com>)

In der Quarantäne steht ebenfalls kein Text.

Warum ist das so ?

Mit freundlichen Grüßen,

Andreas Grieß

[Thomas Jarosch]

Hallo,

die Systeme verhalten sich vermutlich deswegen unterschiedlich, da hier schon Version 4.3.3 läuft. Dort hat sich einiges am Emailsystem geändert. Was die "leeren" Emails betrifft: Vermutlich handelt es sich hierbei um abgeschnittene Virus-Teile, die an einer Bounce-Email dranhängen. Aber wie gesagt, ich würde es einfach nochmal mit Version 4.3.3 ausprobieren, sobald sie draussen ist.

Herzliche Grüsse,
Thomas Jarosch

[Andreas_Griess]

Hallo,

mit der 4.3.3 funktioniert das jetzt, aber :

Alle Virenreports enthalten ein ? vor dem @ für der Angabe der Quelle des Virus :

Die Email kam von: <?@host181-111.pool8250.interbusiness.it>

Ich bin mir nicht sicher, ob das vorher schon so war.

Mit freundlichen Grüßen

Andreas Grieß

[Thomas Jarosch]

Hallo Herr Grieß,

der Virenscanner ist mit diesem Update auch ein wenig schlauer geworden: Ist es ein bekannter Virus, der die Absender fälscht, so wird der falsche Absender nicht mehr angezeigt. Stattdessen wird nach dem "@" der Rechnername (in diesem Fall ein Dialup-Host in Italien: host181-111.pool8250.interbusiness.it) angezeigt.

Herzliche Grüsse,
Thomas Jarosch

[Andreas_Griess]

Hallo Herr Jarosch,

Danke für die schnelle Antwort. Wenigstens noch einer, der Nachtschicht macht

Mit freundlichen Grüßen,

Andreas Grieß