antivirus 防不了毒

隨風浮雲

前天收到一個不知名的郵件，它以我的發信名稱(非email address)，寄一封信給我，相關內容如附件。

在mdaemon伺服器上已裝 antivirus 2.29，當時收這封信的 MS OE 電腦裝的防毒軟體是kapersky personal 5.0.390，信件內容的附件為一未設解壓密碼的壓縮檔，在未解開壓縮檔前antivirus 2.29及郵件伺服器上的NAV 10 企業版無法偵側到它，讓它投入到收件者的MS OE上，而收件者的kapersky personal 5.0.390也無法偵側到它，後來在使用者解壓縮之後，將其解壓縮到某一個資料夾，kapersky personal 5.0.390才發現這是個病毒程式，再自動把它刪除，我再試著把這封信轉寄給有NAV 10 和 F-SECURE 6 的使用者，無論解壓縮前後，其防毒軟體完全未發現這個病毒。

有其它防毒軟體者，可以試試以下附件，請將副檔名修改為 *.eml 再用 MS OE 開啟。

想要跟各位分享的是：不要太信任 mdaemon 上的 antivirus，無論是伺服器或是工作站的電腦還是要另外再裝防毒軟體，當然防毒軟體的廠牌也是非常重要，最後就是常定期備份你的伺服器及工作站上的重要檔案。

MarchFun

哇哈哈！antivirus 如果偵不到，那 kaspersky 鐵定也不行...因為 ... md 的antivirus 就是 kaspersky 的產品。

隨風浮雲

引言 (March Fun @ 2005/11/3 - 11:42)

哇哈哈！antivirus 如果偵不到，那 kaspersky 鐵定也不行...因為 ... md 的antivirus 就是 kaspersky 的產品。

應該是在未解壓縮之前，kaspersky和md 的antivirus 都偵側不到，解壓縮之後 kaspersky才偵側到，但是解壓縮之後，以我目前手上的防毒軟體，只有kaspersky才偵側到。

勇氣果子

我記得防毒軟體不是要另外設定…
才會掃被壓縮檔案的內容嗎?

MarchFun

有一個問題：郵件的附加檔案在進來的時候會以它的原始形態存在嗎？
也就是說，當寄件人寄出一個含有 .zip 附件的郵件進來，它存在伺服器中的檔案形式難道也是 .zip？如果不是，那防毒軟體應該就無從判斷它是否為一個壓縮檔。

第二個問題：MDaemon 有個項目可以設定附件在進來時單獨解出存放。在開啟這個項目後會有會有不同的結果？

以上這兩個問題很有意思，答案我也不知，大家研究看看。

leeghost

我的國產金帥zlock也是可以抓的到的
所以不一定要用到外國貨
國產貨也有很好的防毒軟體

本人用了十多年的見証

tungwj

很好奇附件裡的東西
NOD32不給看

隨風浮雲

這封email在mdaemon是以這封post檔案附件中的型式存在，原始副檔名為 *.msg ，我已把它更名為*.txt。

隨風浮雲

引言 (March Fun @ 2005/11/4 - 10:17)

有一個問題：郵件的附加檔案在進來的時候會以它的原始形態存在嗎？ 也就是說，當寄件人寄出一個含有 .zip 附件的郵件進來，它存在伺服器中的檔案形式難道也是 .zip？如果不是，那防毒軟體應該就無從判斷它是否為一個壓縮檔。 第二個問題：MDaemon 有個項目可以設定附件在進來時單獨解出存放。在開啟這個項目後會有會有不同的結果？ 以上這兩個問題很有意思，答案我也不知，大家研究看看。

回答第一個問題，antivirus 如果是外掛在mdaemon上的防毒軟體，個人認為無論病毒是以何種型式寄來，它都應該抓得到，或者是警示，當然加密的不算，不然花了錢買了一套不會防毒的軟體做什麼?

而工作站上的kapersky抓得到，就表示kapersky已把這個檔案視為病毒，那麼antivirus也採用相同的病毒碼，如果還抓不到，那就表示 antivirus 本身設計有問題，至於是什麼檔案型式或是有沒有壓縮，我想antivirus應該要針對此做設計，如果今天這個病毒能被使用者開啟而中毒，我想就失去買antivirus的意義。

第二個問題回應，我在原始antivirus安裝文件中，並沒有找到要設定那些項目，才可以達到防毒弁遄A所以如果有錯那就是antivirus的錯。

另外在mdaemon的官方網站對antivirus的介紹，有提到antivirus的防毒，是先 inline掃毒後才移至使用者的mailbox。請參考以下網址的 antivirus pdf檔 說明：
http://www.altn.com/support/documentation.asp

隨風浮雲

引言 (勇氣果子 @ 2005/11/4 - 8:16)

我記得防毒軟體不是要另外設定… 才會掃被壓縮檔案的內容嗎?

antivirus 沒有地方可以設定是否掃描壓縮檔，你應該是指收信者使用的軟體。

隨風浮雲

不知道樓上所提到NOD32 和 ZLOCK 是否可裝在伺服器端，及可直接殺除MDAEMON收到的信裏的病毒，如果可以的話，我就來建議公司換套防毒軟體。

後續：目前手上的防毒軟體都已經可找到這隻病毒了，所以都無法再做進一步的測試了!
目前把這封信再轉寄給同公司的另一位使用者，在寄出去的同時已被SMTP端偵側到木馬然後阻擋，還不確定是NAV 10或ANTIVIRUS阻擋。

個人認為裝在伺服器上防毒軟體，偵側病毒或殺病毒功能應該是要比工作站強，所以它賣得貴是有道理的，如果一個郵件伺服器上或網頁伺服器上的防毒軟體，它無法即時偵側病毒或殺病毒，那隨便一個人放個假封包然後夾帶木馬或病毒，我想伺服器管理者可能就要每天重置伺服器了!畢竟一個架設好的伺服器除了定期的備份外，我想它永遠都是公司角落的一台機器而已!不會有人去關心它。

隨風浮雲

又來了一隻新病毒，與第一封發表是相同的情形，只不過這次卡巴斯基找得到，卻無法隔離或殺毒，看來我的郵件信箱已成收毒中心了!

附件請將*.txt 修改成 *.eml再改啟，再次提醒你，附件可能是病毒程式!

MarchFun

引言

個人認為裝在伺服器上防毒軟體，偵側病毒或殺病毒功能應該是要比工作站強，所以它賣得貴是有道理的

其實應該不是這樣。伺服器版與工作站版的防毒功能應該是一樣的，比較貴只不過是它可以協同整合伺服器及工作站間的更新...管理...等等的。

隨風浮雲

引言 (March Fun @ 2005/11/24 - 11:38)

其實應該不是這樣。伺服器版與工作站版的防毒弁鈶雩茯O一樣的，比較貴只不過是它可以協同整合伺服器及工作站間的更新...管理...等等的。

如果單以掃毒能力判定：NORTON 企業版掃毒能力是比個人版強，這個可從一些國外的評比報告可以看出。

而我上面所指的當然不是指掃毒能力，而是指防毒能力，做為一個伺服器，一定會開放某些PORT讓人進出，防火牆是防止程式上的漏洞被突破，如果病毒是由正常管道進來，那防止病毒就屬於防毒軟體的責任。

扣除假封包不算，正常封包掃描對防毒軟體都不是難事，只不過掃描封包要花多久時間，怎麼掃描才是奶牷AANTIVIRUS強調它是IN-LINE掃描，用的又是卡巴斯基的病毒碼，所以每天一次的更新其實不會跟個人專業版相去太遠。

我上面所提供的病毒郵件，我試過將其壓縮檔，及解壓縮檔用卡巴斯基個人版 5.0.390都可掃到病毒，但是我MDAEMON伺服器使用的MDAEMON ANTIVIRUS和架在該伺服器上的NORTON企業版，確無法攔截，那我又何必多裝此二套防毒軟體，讓每個使用者都裝卡巴斯基個人版 5.0.390就好了。

MarchFun

ANTIVIRUS 雖然也是使用卡巴斯基的引擎，不過我想實際上與卡巴斯基個人版可能還是有程度上的差別吧！

Bryan

掃描引擎一樣會有不一樣的結果，我覺得還有一個可能性
病毒碼的發布時間與伺服器的更新時間，當然也是決定一個防毒軟體的好壞
或許可以經由該病毒比對一下antivirus的更新log，看看antivirus倒底是什麼時候才開始對該病毒產生抗體

每天一次的病毒碼更新，時間應該也不見得會一樣吧

隨風浮雲

引言 (gn680827 @ 2005/12/23 - 13:17)

各位大大，最近公司的mail server中獎了 sober.Y ....用NOD處理不掉.. 不知道卡巴可以解決嗎?? MDaemon　這套軟體不錯用，我家現在也在試架的說 因為我對網路的概念有點懂，但又懂的不是很多?? 所以可能會問一些感覺很笨的問題 希望各位大大可以見諒...

如果已經中毒了，請在乾淨的電腦上裝卡巴斯基，然後把該serer的硬碟拔過來掃毒，如果該serer有作raid，那就建議你備份相關資料，然後重新安裝!

隨風浮雲

不知道這些放毒者是如何知道我的信箱，目前又收了不少病毒信，不過這次ANTIVIRUS到是盡責了，無論是不是壓縮檔，以下面訊息看來是都攔載到了。

The following message had attachment(s) which contained the viruses:

From　　　: [email protected]
To　　　　: [email protected]
Subject　 : Hughe
Date　　　: Mon, 25 Dec 2006 20:26:01 +0100
Message-ID: <[email protected]>

Attachment　　　　　　　　　　Virus name　　　　　　　 Action taken
------------------------------------------------------------------------------
Cybil.zip　　　　　　　　　　 Trojan-Downloader.Win32.Bagle.r Removed

The following message had attachment(s) which contained the viruses:

From　　　: [email protected]
To　　　　: [email protected]
Subject　 : Humphrey
Date　　　: Mon, 26 Dec 2005 22:03:52 +0100
Message-ID: <[email protected]>

Attachment　　　　　　　　　　Virus name　　　　　　　 Action taken
------------------------------------------------------------------------------
Humphrie.zip　　　　　　　　　Trojan-Downloader.Win32.Bagle.r Removed

******************************* WARNING ******************************
This message has been scanned by MDaemon AntiVirus and was found to
contain infected attachment(s). Please review the list below.

Attachment Virus name Action taken
----------------------------------------------------------------------
Humphrie.zip Trojan-Downloader.Win32.Bagle.r Removed

**********************************************************************
Sindony

隨風浮雲

續上版面

沒想到ANTIVIRUS 發現來信有病毒，既然還會發EMAIL通知寄件者，它寄來的信件有病毒，而且離譜的是這個寄病毒的傢伙，它居然還真的架設了一個郵件伺服器，還設了一個發病毒的帳號，這個帳號的取名方式是以收件在@之前的代號來命名的，現在的發病毒者太專業了，難怪被入侵的伺服器一堆。

下面是LOG資料
Tue 2005-12-27 05:04:31: Session 3174; child 1
Tue 2005-12-27 05:04:21: [3174:1] Parsing Message <c:\mdaemon\queues\remote\pd75000001452.msg>
Tue 2005-12-27 05:04:21: [3174:1] From: (sender not specified)
Tue 2005-12-27 05:04:21: [3174:1] To: [email protected]
Tue 2005-12-27 05:04:21: [3174:1] Subject: MDaemon Warning - Virus Found
Tue 2005-12-27 05:04:21: [3174:1] Message-ID: <[email protected]>
Tue 2005-12-27 05:04:21: [3174:1] MX-record resolution of [ceu.fi.udc.es] in progress (DNS Server: 168.95.1.1)...
Tue 2005-12-27 05:04:21: [3174:1] * P=020 D=ceu.fi.udc.es TTL=(2880) MX=[mail.rediris.es] {130.206.1.11}
Tue 2005-12-27 05:04:21: [3174:1] * P=010 D=ceu.fi.udc.es TTL=(2880) MX=[orzan.fi.udc.es] {193.144.60.19}
Tue 2005-12-27 05:04:21: [3174:1] Attempting MX: P=010 D=ceu.fi.udc.es TTL=(2880) MX=[orzan.fi.udc.es] {193.144.60.19}
Tue 2005-12-27 05:04:21: [3174:1] Attempting SMTP connection to [193.144.60.19 : 25]
Tue 2005-12-27 05:04:21: [3174:1] Waiting for socket connection...
Tue 2005-12-27 05:04:22: [3174:1] Socket connection established (211.21.191.230 : 3026 -> 193.144.60.19 : 25)
Tue 2005-12-27 05:04:22: [3174:1] Waiting for protocol initiation...
Tue 2005-12-27 05:04:28: [3174:1] <-- 220 orzan.fi.udc.es ESMTP CeCaFI
Tue 2005-12-27 05:04:28: [3174:1] --> EHLO cfwater.com.tw
Tue 2005-12-27 05:04:29: [3174:1] <-- 250-orzan.fi.udc.es Hello 211-21-191-230.HINET-IP.hinet.net [211.21.191.230], pleased to meet you
Tue 2005-12-27 05:04:29: [3174:1] <-- 250-ENHANCEDSTATUSCODES
Tue 2005-12-27 05:04:29: [3174:1] <-- 250-PIPELINING
Tue 2005-12-27 05:04:29: [3174:1] <-- 250-8BITMIME
Tue 2005-12-27 05:04:29: [3174:1] <-- 250-SIZE
Tue 2005-12-27 05:04:29: [3174:1] <-- 250-DSN
Tue 2005-12-27 05:04:29: [3174:1] <-- 250-ETRN
Tue 2005-12-27 05:04:29: [3174:1] <-- 250-DELIVERBY
Tue 2005-12-27 05:04:29: [3174:1] <-- 250 HELP
Tue 2005-12-27 05:04:29: [3174:1] --> MAIL From:<> SIZE=1805
Tue 2005-12-27 05:04:29: [3174:1] <-- 250 2.1.0 <>... Sender ok
Tue 2005-12-27 05:04:29: [3174:1] --> RCPT To:<[email protected]>
Tue 2005-12-27 05:04:30: [3174:1] <-- 250 2.1.5 <[email protected]>... Recipient ok
Tue 2005-12-27 05:04:30: [3174:1] --> DATA
Tue 2005-12-27 05:04:30: [3174:1] <-- 354 Enter mail, end with "." on a line by itself
Tue 2005-12-27 05:04:30: [3174:1] Sending <c:\mdaemon\queues\remote\pd75000001452.msg> to [193.144.60.19]
Tue 2005-12-27 05:04:30: [3174:1] Transfer Complete.
Tue 2005-12-27 05:04:30: [3174:1] <-- 250 2.0.0 jBQL4BRl020734 Message accepted for delivery
Tue 2005-12-27 05:04:30: [3174:1] --> QUIT
Tue 2005-12-27 05:04:31: [3174:1] <-- 221 2.0.0 orzan.fi.udc.es closing connection
Tue 2005-12-27 05:04:31: [3174:1] SMTP session successful (Bytes in/out: 468/1896)