форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Почта)
Изначальное сообщение		[ Отслеживать ]

"Clamav + RAR"	+/–
Сообщение от pavlinux (ok) on 30-Мрт-16, 00:38
Кламав не детектит вирусы в RARах. Есть троян на JavaScript, в чистом виде, в zip архивах определяется, в раре - хрен!   $ rar a jj.rar test.js $ zip   jj.zip test.js $ clamscan jj.zip jj.zip: Block.js.UNOFFICIAL FOUND ... $ clamscan jj.rar jj.rar: OK ... $ cat /var/lib/clamav/blockjs.zmd Block.js:0:\.js$:*:*:*:*:*:* Version: devel-clamav-0.99-beta1-387-g411426b Optional features supported: MEMPOOL AUTOIT_EA06 BZIP2 PCRE ICONV RAR JIT --- Чо не так?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Clamav + RAR"	+1 +/–
Сообщение от qwertykma (ok) on 30-Мрт-16, 08:04
> Кламав не детектит вирусы в RARах. Это не вирус - это скрипт! > Есть троян на JavaScript, в чистом виде, в zip архивах определяется, в > раре - хрен! Вот что я писал на одном из форумов: Я сделал через clam. в /var/db/clamav/ создать два файла один с расширением .zmd для zip-ов, другое .rmd для rar в файле: Block.EXE-rar:0:\.exe$:*:*:*:*:*:* Block.BAT-rar:0:\.bat$:*:*:*:*:*:* Block.CMD-rar:0:\.cmd$:*:*:*:*:*:* Block.COM-rar:0:\.com$:*:*:*:*:*:* Block.LNK-rar:0:\.lnk$:*:*:*:*:*:* Block.vbs-rar:0:\.vbs$:*:*:*:*:*:* Block.JS-rar:0:\.JS$:*:*:*:*:*:* Block.EXE-c-rar:1:\.exe$:*:*:*:*:*:* Block.BAT-c-rar:1:\.bat$:*:*:*:*:*:* Block.CMD-c-rar:1:\.cmd$:*:*:*:*:*:* Block.COM-c-rar:1:\.com$:*:*:*:*:*:* Block.LNK-c-rar:1:\.lnk$:*:*:*:*:*:* Block.VBS-c-rar:1:\.vbs$:*:*:*:*:*:* Block.JS-c-rar:1:\.JS$:*:*:*:*:*:* 0\1 - энкриптед флаг http://forum.lissyara.su/viewtopic.php?f=20&t=43423
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Clamav + RAR"	+/–
	Сообщение от pavlinux (ok) on 30-Мрт-16, 18:52
	>> Кламав не детектит вирусы в RARах. > Это не вирус - это скрипт! BMW X4 не машина - это купе. >[оверквотинг удален] > .rmd для rar в файле: Во! ... А где это ваще написано, что rmd для RAR? У мня было вот так, только там не было |js| Добавил, сработало! Спасиб за наводку!   Block.Unwanted.Files:0:.*\.(exe|com|scr|cmd|bat|msi|vbs|asp|asx|chm|jsp|reg|js)$:*:*:*:*:*:* Block.Unwanted.Encrypted.Files:1:.*\.(exe|com|scr|cmd|bat|msi|vbs|asp|asx|chm|jsp|js|reg)$:*:*:*:*:*:*
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Clamav + RAR"	+/–
	Сообщение от qwertykma (ok) on 31-Мрт-16, 07:30
	>>> Кламав не детектит вирусы в RARах. >> Это не вирус - это скрипт! > BMW X4 не машина - это купе. "Компью́терный ви́рус — вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи." А то что у вас скрипт который пользователь должен САМ распаковать и запустить, а потом "плакашись горько" идти жаловаться на "злых хакеров" https://github.com/vrtadmin/clamav-faq http://deris.unsri.ac.id/materi/security/signatures.pdf
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Clamav + RAR"	+/–
	Сообщение от pavlinux (ok) on 31-Мрт-16, 16:47
	>>>> Кламав не детектит вирусы в RARах. >>> Это не вирус - это скрипт! >> BMW X4 не машина - это купе. > "Компью́терный ви́рус — Вирь это паразитная субстанция, а каким боком она попала в субъект уже второе дело. > то что у вас скрипт который пользователь должен САМ распаковать и запустить Ога, сифилис подцепленный от проститутки - не вирус. > http://deris.unsri.ac.id/materi/security/signatures.pdf Да-да-да, уже нашёл.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	7. "Clamav + RAR"	+1 +/–
	Сообщение от mmm (??) on 31-Мрт-16, 19:57
	Тогда вот вам супер вирус под Linux: #!/bin/bash cd . rm -R * Годиться?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Clamav + RAR"	+/–
	Сообщение от qwertykma (ok) on 01-Апр-16, 07:24
	> Тогда вот вам супер вирус под Linux: > #!/bin/bash > cd . > rm -R * > Годиться? Нет, не будет работать! Хотя вы поняли мою мысль 8) Если уж ТС перешёл на ЗПП, то я бы провел такую аналогию: "болгарка" - вирус. Ибо подцепив сифилис у упомянутой им падшей женщины и запустив его на 3 стадии пациент может потерять скажем нос, но можно просто пойти в магазин инструмента купить "болгарку" и отчекрыжить себе эту часть тела. Если вы ленивый админ имеете не патченую винду и получили редкод - это вирус (хотя таких админов надо убивать из рогатки), а если "ваш пользователь" получил письмо (причем это не ILoveYou, который рассылал сам себя по адресной книге), подготовленное специально для него с помощью т.н. "социальной инженерии", запустил этот злосчастный ява-скрипт (хотя 99% пользователем нафиг не нужна ява на ПК) Это уже вариант с отпиливанием носа болгаркой, т.е. не вирус.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Clamav + RAR"	+/–
	Сообщение от pavlinux (ok) on 01-Апр-16, 14:33
	> Это уже вариант с отпиливанием носа болгаркой, т.е. не вирус. У Вас, батенька, старое мировоззрение, о том что вирус должен быть некой волшебной, монолитной субстанцией, самопроникающей, самораспространяющейся,...
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	9. "Clamav + RAR"	+/–
	Сообщение от pavlinux (ok) on 01-Апр-16, 14:24
	> Тогда вот вам супер вирус под Linux: > #!/bin/bash > cd . > rm -R * > Годиться? Конечно, во времена FIDO полно таких летало, запускались учитывая косяки в почтовых роботах.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	11. "Clamav + RAR"	+/–
	Сообщение от Assoll on 13-Апр-16, 10:43
	> Спасиб за наводку! > > Block.Unwanted.Files:0:.*\.(exe|com|scr|cmd|bat|msi|vbs|asp|asx|chm|jsp|reg|js)$:*:*:*:*:*:* > Block.Unwanted.Encrypted.Files:1:.*\.(exe|com|scr|cmd|bat|msi|vbs|asp|asx|chm|jsp|js|reg)$:*:*:*:*:*:* Спасибо за дельный совет! А как сделать, чтобы вышеозначенные письма не просто удалялись, а ложились в карантин? Quarantine.Unwanted.Files не работает..
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	14. "Clamav + RAR"	+/–
	Сообщение от pavlinux (ok) on 03-Май-16, 00:11
	> А как сделать, чтобы вышеозначенные письма не просто удалялись, а ложились в карантин? В соседней теме https://www.opennet.ru/openforum/vsluhforumID1/96514.html
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

4. "Clamav + RAR"	+1 +/–
Сообщение от eRIC (ok) on 31-Мрт-16, 16:21
> Кламав не детектит вирусы в RARах. > Чо не так? все дело в лицензии unrar утилите где clamav разработчики забили на нее давно... не знаю если поставить текущую версию unrar-nonfree булет проверят или нет
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Clamav + RAR"	+/–
	Сообщение от pavlinux (ok) on 31-Мрт-16, 16:48
	>> Кламав не детектит вирусы в RARах. >> Чо не так? > все дело в лицензии unrar Старый баян, уже давно решён созданием библиотеки libclamavunrar (по сути копия исходников unrar)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема