URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96515
[ Назад ]
Исходное сообщение
"Clamav + RAR"
Отправлено pavlinux , 30-Мрт-16 00:38 
Кламав не детектит вирусы в RARах.

Есть троян на JavaScript, в чистом виде, в zip архивах определяется, в раре - хрен!  

$ rar a jj.rar test.js
$ zip   jj.zip test.js

$ clamscan jj.zip
jj.zip: Block.js.UNOFFICIAL FOUND
...

$ clamscan jj.rar
jj.rar: OK
...

$ cat /var/lib/clamav/blockjs.zmd

Block.js:0:\.js$:*:*:*:*:*:*


Version: devel-clamav-0.99-beta1-387-g411426b
Optional features supported: MEMPOOL AUTOIT_EA06 BZIP2 PCRE ICONV RAR JIT

---

Чо не так?

Содержание
Сообщения в этом обсуждении
"Clamav + RAR"
Отправлено qwertykma , 30-Мрт-16 08:04 
> Кламав не детектит вирусы в RARах.

Это не вирус - это скрипт!

> Есть троян на JavaScript, в чистом виде, в zip архивах определяется, в
> раре - хрен!

Вот что я писал на одном из форумов:

Я сделал через clam.
в /var/db/clamav/
создать два файла один с расширением .zmd для zip-ов, другое .rmd для rar в файле:
Block.EXE-rar:0:\.exe$:*:*:*:*:*:*
Block.BAT-rar:0:\.bat$:*:*:*:*:*:*
Block.CMD-rar:0:\.cmd$:*:*:*:*:*:*
Block.COM-rar:0:\.com$:*:*:*:*:*:*
Block.LNK-rar:0:\.lnk$:*:*:*:*:*:*
Block.vbs-rar:0:\.vbs$:*:*:*:*:*:*
Block.JS-rar:0:\.JS$:*:*:*:*:*:*
Block.EXE-c-rar:1:\.exe$:*:*:*:*:*:*
Block.BAT-c-rar:1:\.bat$:*:*:*:*:*:*
Block.CMD-c-rar:1:\.cmd$:*:*:*:*:*:*
Block.COM-c-rar:1:\.com$:*:*:*:*:*:*
Block.LNK-c-rar:1:\.lnk$:*:*:*:*:*:*
Block.VBS-c-rar:1:\.vbs$:*:*:*:*:*:*
Block.JS-c-rar:1:\.JS$:*:*:*:*:*:*
0\1 - энкриптед флаг

http://forum.lissyara.su/viewtopic.php?f=20&t=43423

"Clamav + RAR"
Отправлено pavlinux , 30-Мрт-16 18:52 
>> Кламав не детектит вирусы в RARах.
> Это не вирус - это скрипт!

BMW X4 не машина - это купе.


>[оверквотинг удален]
> .rmd для rar в файле:

Во! ... А где это ваще написано, что rmd для RAR?

У мня было вот так, только там не было |js| Добавил, сработало! Спасиб за наводку!  


Block.Unwanted.Files:0:.*\.(exe|com|scr|cmd|bat|msi|vbs|asp|asx|chm|jsp|reg|js)$:*:*:*:*:*:*
Block.Unwanted.Encrypted.Files:1:.*\.(exe|com|scr|cmd|bat|msi|vbs|asp|asx|chm|jsp|js|reg)$:*:*:*:*:*:*

"Clamav + RAR"
Отправлено qwertykma , 31-Мрт-16 07:30 
>>> Кламав не детектит вирусы в RARах.
>> Это не вирус - это скрипт!
> BMW X4 не машина - это купе.

"Компью́терный ви́рус — вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи."
А то что у вас скрипт который пользователь должен САМ распаковать и запустить, а потом "плакашись горько" идти жаловаться на "злых хакеров"

https://github.com/vrtadmin/clamav-faq
http://deris.unsri.ac.id/materi/security/signatures.pdf

"Clamav + RAR"
Отправлено pavlinux , 31-Мрт-16 16:47 
>>>> Кламав не детектит вирусы в RARах.
>>> Это не вирус - это скрипт!
>> BMW X4 не машина - это купе.
> "Компью́терный ви́рус —

Вирь это паразитная субстанция, а каким боком она попала в субъект уже второе дело.

> то что у вас скрипт который пользователь должен САМ распаковать и запустить

Ога, сифилис подцепленный от проститутки - не вирус.

> http://deris.unsri.ac.id/materi/security/signatures.pdf

Да-да-да, уже нашёл.

"Clamav + RAR"
Отправлено mmm , 31-Мрт-16 19:57 
Тогда вот вам супер вирус под Linux:
#!/bin/bash
cd .
rm -R *

Годиться?

"Clamav + RAR"
Отправлено qwertykma , 01-Апр-16 07:24 
> Тогда вот вам супер вирус под Linux:
> #!/bin/bash
> cd .
> rm -R *
> Годиться?

Нет, не будет работать! Хотя вы поняли мою мысль 8)
Если уж ТС перешёл на ЗПП, то я бы провел такую аналогию: "болгарка" - вирус. Ибо подцепив сифилис у упомянутой им падшей женщины и запустив его на 3 стадии пациент может потерять скажем нос, но можно просто пойти в магазин инструмента купить "болгарку" и отчекрыжить себе эту часть тела. Если вы ленивый админ имеете не патченую винду и получили редкод - это вирус (хотя таких админов надо убивать из рогатки), а если "ваш пользователь" получил письмо (причем это не ILoveYou, который рассылал сам себя по адресной книге), подготовленное специально для него с помощью т.н. "социальной инженерии", запустил этот злосчастный ява-скрипт (хотя 99% пользователем нафиг не нужна ява на ПК) Это уже вариант с отпиливанием носа болгаркой, т.е. не вирус.

"Clamav + RAR"
Отправлено pavlinux , 01-Апр-16 14:33 
> Это уже вариант с отпиливанием носа болгаркой, т.е. не вирус.

У Вас, батенька, старое мировоззрение, о том что вирус должен быть некой
волшебной, монолитной субстанцией, самопроникающей, самораспространяющейся,...


"Clamav + RAR"
Отправлено pavlinux , 01-Апр-16 14:24 
> Тогда вот вам супер вирус под Linux:
> #!/bin/bash
> cd .
> rm -R *
> Годиться?

Конечно, во времена FIDO полно таких летало, запускались учитывая косяки в почтовых роботах.

"Clamav + RAR"
Отправлено Assoll , 13-Апр-16 10:43 
> Спасиб за наводку!
> 
 
> Block.Unwanted.Files:0:.*\.(exe|com|scr|cmd|bat|msi|vbs|asp|asx|chm|jsp|reg|js)$:*:*:*:*:*:* 
> Block.Unwanted.Encrypted.Files:1:.*\.(exe|com|scr|cmd|bat|msi|vbs|asp|asx|chm|jsp|js|reg)$:*:*:*:*:*:* 
Спасибо за дельный совет!
А как сделать, чтобы вышеозначенные письма не просто удалялись, а ложились в карантин?
Quarantine.Unwanted.Files не работает..
"Clamav + RAR"
Отправлено pavlinux , 03-Май-16 00:11 
> А как сделать, чтобы вышеозначенные письма не просто удалялись, а ложились в карантин?

В соседней теме http://www.opennet.ru/openforum/vsluhforumID1/96514.html

"Clamav + RAR"
Отправлено eRIC , 31-Мрт-16 16:21 
> Кламав не детектит вирусы в RARах.
> Чо не так?

все дело в лицензии unrar утилите где clamav разработчики забили на нее давно... не знаю если поставить текущую версию unrar-nonfree булет проверят или нет


"Clamav + RAR"
Отправлено pavlinux , 31-Мрт-16 16:48 
>> Кламав не детектит вирусы в RARах.
>> Чо не так?
> все дело в лицензии unrar

Старый баян, уже давно решён созданием библиотеки libclamavunrar (по сути копия исходников unrar)