Кламав не детектит вирусы в RARах.Есть троян на JavaScript, в чистом виде, в zip архивах определяется, в раре - хрен!
$ rar a jj.rar test.js
$ zip jj.zip test.js$ clamscan jj.zip
jj.zip: Block.js.UNOFFICIAL FOUND
...$ clamscan jj.rar
jj.rar: OK
...$ cat /var/lib/clamav/blockjs.zmd
Block.js:0:\.js$:*:*:*:*:*:*
Version: devel-clamav-0.99-beta1-387-g411426b
Optional features supported: MEMPOOL AUTOIT_EA06 BZIP2 PCRE ICONV RAR JIT---
Чо не так?
> Кламав не детектит вирусы в RARах.Это не вирус - это скрипт!
> Есть троян на JavaScript, в чистом виде, в zip архивах определяется, в
> раре - хрен!Вот что я писал на одном из форумов:
Я сделал через clam.
в /var/db/clamav/
создать два файла один с расширением .zmd для zip-ов, другое .rmd для rar в файле:
Block.EXE-rar:0:\.exe$:*:*:*:*:*:*
Block.BAT-rar:0:\.bat$:*:*:*:*:*:*
Block.CMD-rar:0:\.cmd$:*:*:*:*:*:*
Block.COM-rar:0:\.com$:*:*:*:*:*:*
Block.LNK-rar:0:\.lnk$:*:*:*:*:*:*
Block.vbs-rar:0:\.vbs$:*:*:*:*:*:*
Block.JS-rar:0:\.JS$:*:*:*:*:*:*
Block.EXE-c-rar:1:\.exe$:*:*:*:*:*:*
Block.BAT-c-rar:1:\.bat$:*:*:*:*:*:*
Block.CMD-c-rar:1:\.cmd$:*:*:*:*:*:*
Block.COM-c-rar:1:\.com$:*:*:*:*:*:*
Block.LNK-c-rar:1:\.lnk$:*:*:*:*:*:*
Block.VBS-c-rar:1:\.vbs$:*:*:*:*:*:*
Block.JS-c-rar:1:\.JS$:*:*:*:*:*:*
0\1 - энкриптед флаг
>> Кламав не детектит вирусы в RARах.
> Это не вирус - это скрипт!BMW X4 не машина - это купе.
>[оверквотинг удален]
> .rmd для rar в файле:Во! ... А где это ваще написано, что rmd для RAR?
У мня было вот так, только там не было |js| Добавил, сработало! Спасиб за наводку!
Block.Unwanted.Files:0:.*\.(exe|com|scr|cmd|bat|msi|vbs|asp|asx|chm|jsp|reg|js)$:*:*:*:*:*:*
Block.Unwanted.Encrypted.Files:1:.*\.(exe|com|scr|cmd|bat|msi|vbs|asp|asx|chm|jsp|js|reg)$:*:*:*:*:*:*
>>> Кламав не детектит вирусы в RARах.
>> Это не вирус - это скрипт!
> BMW X4 не машина - это купе."Компью́терный ви́рус — вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи."
А то что у вас скрипт который пользователь должен САМ распаковать и запустить, а потом "плакашись горько" идти жаловаться на "злых хакеров"https://github.com/vrtadmin/clamav-faq
http://deris.unsri.ac.id/materi/security/signatures.pdf
>>>> Кламав не детектит вирусы в RARах.
>>> Это не вирус - это скрипт!
>> BMW X4 не машина - это купе.
> "Компью́терный ви́рус —Вирь это паразитная субстанция, а каким боком она попала в субъект уже второе дело.
> то что у вас скрипт который пользователь должен САМ распаковать и запустить
Ога, сифилис подцепленный от проститутки - не вирус.
> http://deris.unsri.ac.id/materi/security/signatures.pdf
Да-да-да, уже нашёл.
Тогда вот вам супер вирус под Linux:
#!/bin/bash
cd .
rm -R *Годиться?
> Тогда вот вам супер вирус под Linux:
> #!/bin/bash
> cd .
> rm -R *
> Годиться?Нет, не будет работать! Хотя вы поняли мою мысль 8)
Если уж ТС перешёл на ЗПП, то я бы провел такую аналогию: "болгарка" - вирус. Ибо подцепив сифилис у упомянутой им падшей женщины и запустив его на 3 стадии пациент может потерять скажем нос, но можно просто пойти в магазин инструмента купить "болгарку" и отчекрыжить себе эту часть тела. Если вы ленивый админ имеете не патченую винду и получили редкод - это вирус (хотя таких админов надо убивать из рогатки), а если "ваш пользователь" получил письмо (причем это не ILoveYou, который рассылал сам себя по адресной книге), подготовленное специально для него с помощью т.н. "социальной инженерии", запустил этот злосчастный ява-скрипт (хотя 99% пользователем нафиг не нужна ява на ПК) Это уже вариант с отпиливанием носа болгаркой, т.е. не вирус.
> Это уже вариант с отпиливанием носа болгаркой, т.е. не вирус.У Вас, батенька, старое мировоззрение, о том что вирус должен быть некой
волшебной, монолитной субстанцией, самопроникающей, самораспространяющейся,...
> Тогда вот вам супер вирус под Linux:
> #!/bin/bash
> cd .
> rm -R *
> Годиться?Конечно, во времена FIDO полно таких летало, запускались учитывая косяки в почтовых роботах.
> Спасиб за наводку!
>
> Block.Unwanted.Files:0:.*\.(exe|com|scr|cmd|bat|msi|vbs|asp|asx|chm|jsp|reg|js)$:*:*:*:*:*:*
> Block.Unwanted.Encrypted.Files:1:.*\.(exe|com|scr|cmd|bat|msi|vbs|asp|asx|chm|jsp|js|reg)$:*:*:*:*:*:*Спасибо за дельный совет!
А как сделать, чтобы вышеозначенные письма не просто удалялись, а ложились в карантин?Quarantine.Unwanted.Files не работает..
> А как сделать, чтобы вышеозначенные письма не просто удалялись, а ложились в карантин?В соседней теме http://www.opennet.me/openforum/vsluhforumID1/96514.html
> Кламав не детектит вирусы в RARах.
> Чо не так?все дело в лицензии unrar утилите где clamav разработчики забили на нее давно... не знаю если поставить текущую версию unrar-nonfree булет проверят или нет
>> Кламав не детектит вирусы в RARах.
>> Чо не так?
> все дело в лицензии unrarСтарый баян, уже давно решён созданием библиотеки libclamavunrar (по сути копия исходников unrar)