Kürzlich erhielten wir von einem Kunden ein Virus-Sample, weil dies durch den Spam/Virenfilter ging aber vom lokalen Windows-Virenscanner des Kunden erkannt wurde. Warum war das so?
Der böse Absender hat hier bewusst zwei Lücken ausgenutzt:
- Die Datei war mit Rar – Version 5 komprimiert. Hier hängt der Support in der Linux/Unix-Welt in allen Distributionen hinterher.
me@mx01:/home/me# file scan335019041109350063746475.pdf.r00
scan335019041109350063746475.pdf.r00: RAR archive data, v5
Clamav hat hier „erst“ zum Ende des Jahres die Unterstützung eingebaut:
https://blog.clamav.net/2018/12/clamav-01010-has-been-released.html
Aufgrund div. Release-Zyklen, zieht sich dies bis Pakete für die Distributionen kompiliert werden.
- Aufgrund von Lizenzproblemen, liefern die großen Distributionen, den Support zum Entpacken von Rar-Dateien, nur über optionale Repositories an (non-free). Für clamav gibt es das getrennte Paket libclamunrar