• 08621 - 9 88 30 88

.r00 Dateien für Virusversand und die Probleme mit OpenSource

Voncubewerk

.r00 Dateien für Virusversand und die Probleme mit OpenSource

Kürzlich erhielten wir von einem Kunden ein Virus-Sample, weil dies durch den Spam/Virenfilter ging aber vom lokalen Windows-Virenscanner des Kunden erkannt wurde. Warum war das so?

Der böse Absender hat hier bewusst zwei Lücken ausgenutzt:

  • Die Datei war mit Rar – Version 5 komprimiert. Hier hängt der Support in der Linux/Unix-Welt in allen Distributionen hinterher.

me@mx01:/home/me# file scan335019041109350063746475.pdf.r00
scan335019041109350063746475.pdf.r00: RAR archive data, v5

Clamav hat hier „erst“ zum Ende des Jahres die Unterstützung eingebaut:

https://blog.clamav.net/2018/12/clamav-01010-has-been-released.html

Aufgrund div. Release-Zyklen, zieht sich dies bis Pakete für die Distributionen kompiliert werden.

  • Aufgrund von Lizenzproblemen, liefern die großen Distributionen, den Support zum Entpacken von Rar-Dateien, nur über optionale Repositories an (non-free). Für clamav gibt es das getrennte Paket libclamunrar

Über den Autor

cubewerk administrator