Стоит специально купленный KAV (плагин AVP для ESERVA), недавно обновленный с новыми ключами ESERV+AVP. Антивирусные базы обновляются ежедневно.
Уже 3-й день отлавливаются в папке \temp файлы *.eml, зараженные Клещем. Причем отлавливает эти файлы ночью AVP-Scaner, а ESERV+KAV никак не реагирует, т.е. не появляется письмо в \infected(до конечного пользователя письмо или сообщение о вирусном заражении тоже не доходит
). Хотя тестовое вирусное письмо с зараженным файлом KAV отрабатывает нормально и бросает в \infected + сообщение корреспондентам. Раньше такого не было, ловил все в \infected ...
Т.к. протоколы обработки KAV в данной версии ESERVA не пишутся, не понятно, куда девается письмо. Или оно обрабатывается KAV-ом и убивается, или.... может вернуть протокол обработки KAVa ?
ЗАРАЖЕННОЕ ПИСЬМО ПРИШЛО В 17-20:
Это кусок toss.log (никаких следов данного письма):
17:19:38 3432 kumpan@ostrov.ru!34322508577!LOCAL!1
17:19:38 3432 For: minaeva@scsc.ru
17:19:38 3432 Remote user: minaeva@scsc.ru
17:19:38 3432 Local user: archiv
17:19:39 3432
17:23:53 3636 zaceva@ostrov.ru!36362763433!LOCAL!1
17:23:53 3636 For: bugera@ostrov.ru
17:23:53 3636 Local user: bugera
17:23:53 3636 For: urazov@ostrov.ru
17:23:53 3636 Local user: urazov
17:23:53 3636 For: kolodin@ostrov.ru
17:23:53 3636 Local user: kolodin
17:23:53 3636 Local user: archiv
17:23:53 3636
17:28:06 3718 zaceva@ostrov.ru!37183010008!LOCAL!1
17:28:06 3718 For: bugera@ostrov.ru
17:28:06 3718 Local user: bugera
17:28:08 3718 For: urazov@ostrov.ru
17:28:08 3718 Local user: urazov
17:28:08 3718 For: kolodin@ostrov.ru
17:28:08 3718 Local user: kolodin
17:28:08 3718 For: lapshin@ostrov.ru
17:28:08 3718 Local user: lapshin
17:28:08 3718 Local user: archiv
Это данные *.toss-файла, соответствующего зараженному письму:
5
- именно так, только одна цифра в файле
. Причем во всех toss-файлах к зараженным письмам это повторяется
+OK CommuniGate Pro POP3 Server 3.5.9 ready <721788.1031059306@east.ru>
USER
+OK please send the PASS
PASS
+OK 1 messages (186240 bytes)
STAT
+OK 1 186240
LIST
+OK 1 messages
1 186240
.
RETR 1
+OK 186240 bytes will follow
Return-Path: <coolua@lviv.farlep.net>
Received: from mail.is.lviv.ua ([212.109.38.2] verified)
by east.ru (CommuniGate Pro SMTP 3.5.9)
with ESMTP id 18901477 for ostrov@ostrov.ru; Tue, 03 Sep 2002 17:19:59 +0400
Received: from ibm4.is.lviv.ua ([212.109.38.130] helo=Sjaydxd)
by mail.is.lviv.ua with smtp (Exim 3.16 #1)
id 17mDVx-000Bd1-00
for ostrov@ostrov.ru; Tue, 03 Sep 2002 16:14:42 +0300
From: info <info@compromat.ru>
To: ostrov@ostrov.ru
Subject: Hello,ostrov,the Garden of Eden
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=G7T6K85SXP7wQA3i6d7Y58y73j07b4
Message-Id: <E17mDVx-000Bd1-00@mail.is.lviv.ua>
Date: Tue, 03 Sep 2002 16:14:42 +0300
--G7T6K85SXP7wQA3i6d7Y58y73j07b4
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY>
<iframe src=3Dcid:Z1J0z92P29hz4O05v33 height=3D0 width=3D0>
</iframe>
<FONT></FONT></BODY></HTML>
--G7T6K85SXP7wQA3i6d7Y58y73j07b4
Content-Type: audio/x-wav;
name=target.scr
Content-Transfer-Encoding: base64
Content-ID: <Z1J0z92P29hz4O05v33>
- подозрение на — Exploit.IFrame.FileDownload
- заражен — I-Worm.Klez.h
Может при таком "двойном" заражении KAV себя нештатно ведет?PS Пытался отправить текст из начала топика (с протоколами и куском письма) на andrey@cherezov.koenig.su, ESERV его завернул сообщением:
Сообщение, которое Вы отправили на адрес andrey@cherezov.koenig.su, датированное Wed, 4 Sep 2002 09:08:57 +0400 не было доставлено, так как в нем содержится вирус:
Exploit.IFrame.FileDownload
Может все-таки "двойное" заражение виновато ?