Регистрация...

Eserv Forum / Plugins / Antivirus / Eserv3386 +KAV - глюки или....?

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Eserv3386
Стоит специально купленный KAV (плагин AVP для ESERVA), недавно обновленный с новыми ключами ESERV+AVP. Антивирусные базы обновляются ежедневно.
Уже 3-й день отлавливаются в папке \temp файлы *.eml, зараженные Клещем. Причем отлавливает эти файлы ночью AVP-Scaner, а ESERV+KAV никак не реагирует, т.е. не появляется письмо в \infected(до конечного пользователя письмо или сообщение о вирусном заражении тоже не доходит ). Хотя тестовое вирусное письмо с зараженным файлом KAV отрабатывает нормально и бросает в \infected + сообщение корреспондентам.
Раньше такого не было, ловил все в \infected ...

Т.к. протоколы обработки KAV в данной версии ESERVA не пишутся, не понятно, куда девается письмо. Или оно обрабатывается KAV-ом и убивается, или.... может вернуть протокол обработки KAVa ?

ЗАРАЖЕННОЕ ПИСЬМО ПРИШЛО В 17-20:

Это кусок toss.log (никаких следов данного письма):

17:19:38 3432 kumpan@ostrov.ru!34322508577!LOCAL!1
17:19:38 3432 For: minaeva@scsc.ru
17:19:38 3432 Remote user: minaeva@scsc.ru
17:19:38 3432 Local user: archiv
17:19:39 3432
17:23:53 3636 zaceva@ostrov.ru!36362763433!LOCAL!1
17:23:53 3636 For: bugera@ostrov.ru
17:23:53 3636 Local user: bugera
17:23:53 3636 For: urazov@ostrov.ru
17:23:53 3636 Local user: urazov
17:23:53 3636 For: kolodin@ostrov.ru
17:23:53 3636 Local user: kolodin
17:23:53 3636 Local user: archiv
17:23:53 3636
17:28:06 3718 zaceva@ostrov.ru!37183010008!LOCAL!1
17:28:06 3718 For: bugera@ostrov.ru
17:28:06 3718 Local user: bugera
17:28:08 3718 For: urazov@ostrov.ru
17:28:08 3718 Local user: urazov
17:28:08 3718 For: kolodin@ostrov.ru
17:28:08 3718 Local user: kolodin
17:28:08 3718 For: lapshin@ostrov.ru
17:28:08 3718 Local user: lapshin
17:28:08 3718 Local user: archiv

Это данные *.toss-файла, соответствующего зараженному письму:

5
  • именно так, только одна цифра в файле . Причем во всех toss-файлах к зараженным письмам это повторяется
ЭТО НАЧАЛО ЗАРАЖЕННОГО ПИСЬМА (*.EML-ФАЙЛ):

+OK CommuniGate Pro POP3 Server 3.5.9 ready <721788.1031059306@east.ru>
USER
+OK please send the PASS
PASS
+OK 1 messages (186240 bytes)
STAT
+OK 1 186240
LIST
+OK 1 messages
1 186240
.
RETR 1
+OK 186240 bytes will follow
Return-Path: <coolua@lviv.farlep.net>
Received: from mail.is.lviv.ua ([212.109.38.2] verified)
    by east.ru (CommuniGate Pro SMTP 3.5.9)
    with ESMTP id 18901477 for ostrov@ostrov.ru; Tue, 03 Sep 2002 17:19:59 +0400
Received: from ibm4.is.lviv.ua ([212.109.38.130] helo=Sjaydxd)
by mail.is.lviv.ua with smtp (Exim 3.16 #1)
id 17mDVx-000Bd1-00
for ostrov@ostrov.ru; Tue, 03 Sep 2002 16:14:42 +0300
From: info <info@compromat.ru>
To: ostrov@ostrov.ru
Subject: Hello,ostrov,the Garden of Eden
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=G7T6K85SXP7wQA3i6d7Y58y73j07b4
Message-Id: <E17mDVx-000Bd1-00@mail.is.lviv.ua>
Date: Tue, 03 Sep 2002 16:14:42 +0300

--G7T6K85SXP7wQA3i6d7Y58y73j07b4
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>
<iframe src=3Dcid:Z1J0z92P29hz4O05v33 height=3D0 width=3D0>
</iframe>
<FONT></FONT></BODY></HTML>

--G7T6K85SXP7wQA3i6d7Y58y73j07b4
Content-Type: audio/x-wav;
name=target.scr
Content-Transfer-Encoding: base64
Content-ID: <Z1J0z92P29hz4O05v33>
 
Комментарии к этой версии (04.09.2002 08:11) [~ostrov] 915133ea
АвторДатаТекстtags
ostrov04.09.2002 08:29
Причем, в протоколе AVP-сканера на данное письмо две записи:

  • подозрение на — Exploit.IFrame.FileDownload
  • заражен — I-Worm.Klez.h
Может при таком "двойном" заражении KAV себя нештатно ведет?

PS Пытался отправить текст из начала топика (с протоколами и куском письма) на andrey@cherezov.koenig.su, ESERV его завернул сообщением:
Сообщение, которое Вы отправили на адрес andrey@cherezov.koenig.su, датированное Wed, 4 Sep 2002 09:08:57 +0400 не было доставлено, так как в нем содержится вирус:
Exploit.IFrame.FileDownload

Может все-таки "двойное" заражение виновато ?
imported
pig04.09.2002 09:42
ostrov пишет: Это данные *.toss-файла, соответствующего зараженному письму:
5
  • именно так, только одна цифра в файле . Причем во всех toss-файлах к зараженным письмам это повторяется
5 Access denied. Erobot не смог получить доступ к EML-файлу для его разбора. Соответственно, ни письмо с гадом, ни другие, которые были с ним в одной пачке, никуда не попали, так и остались валяться. Первое предположение — файл заблокировал KAV Monitor. Загляните в его лог, если он ведётся.
imported
ac04.09.2002 15:12
Именно так и было, он ведь сам об этом написал — что файлы отлавливаются монитором в temp, и больше письма никуда не попадают. Уже очень много раз говорил — отгоните монтор от почтовых каталогов Eserv! Тем более, что в этом нет никакого смысла, раз вы и так используете антивирус в паре с Eserv.
imported
Работает на Eserv/5.05555 (05.06.2016)