21 ответов в этой теме

[Romanr]

Доброго времени суток.

Вот заметил, что если переименовать архив с вирусом (Eicar) в .txt (или добавить к нему расширение .txt - eicar.zip.txt) то вирус в архиве не находится.

Что мне нужно настроить чтобы вирусы искались в любых файлах?

[codebox]

[Daemon]

ScanFiles = All

[Rule]

scan = all

[Antivirus]

Paranoid = no

[/codebox]

указал всё что по-идее должно влиять на сабж

У кого есть идеи подскажите плз.

[Anton Ivanov]

Расширение не должно ни коим образом влиять на детектирование. покажите пожалуйста лог проверки письма с вирусам MailD и drwebd. так же приложите пожалуйсто оригинальное письмо, которое не детектируется + конфигурацию MaiLD.

[Romanr]

Пожалуй я обращусь в техподдержку. Когда выяснится причина - отпишу.

[Romanr]

Проблема оказалось в том, что архив был отправлен как text/plain + quoted-printable и с именем аттачмента .txt, в результате он не распознался как архив и не распаковался.

Прикрепленные файлы:

•  eicar.zip.txt.eml.txt   877байт   138 Скачано раз

[Anton Ivanov]

в приведенном письме вирус находится:

[codebox]

Wed Sep 23 14:01:55 2009 [2931825568] maild.thr1 DEBUG 00020CAB SetMeBusy: set what i busy (1)
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB start processing msg...
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB insert mime_t = 1 ct=3 sub_ct=20 cte=0 headers_num=7
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB insert mime_t = 2 ct=2 sub_ct=10 cte=0 headers_num=2
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB insert mime_t = 3 ct=2 sub_ct=10 cte=5 headers_num=3
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB save mime body to file /var/drweb.rc/msgs/in/B/00020CAB/b3 (186)
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB set_domains has in=0, out=0 domains in envelope
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB a 127.0.0.1 matches to network 127.0.0.1
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB ParseInPhase1: dir: /var/drweb.rc/msgs/in/B/00020CAB; from:<ai@drweb.com>; to num:1 of rcpts
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB can't find email <ai@drweb.com> belong to any Client
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB IsNeedContinueProcessing: msg need processing for plugin 'drweb'
Wed Sep 23 14:01:55 2009 [2931825568] maild INFO 00020CAB Attach msg to plugin drweb...
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB GetLocal: request for index = 0 name=HeuristicAnalysis
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB GetLocal: request for index = 15 name=Infected
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB GetLocal: request for index = 2 name=ReportMaxSize
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB MsgHandle::Accept call
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB CheckMime: check kTypeMultipart; num=2
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB CheckMime: check body
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB set local scan = 0 is_file=0
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB daemon return for a mime-body 0x100000
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB report :
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB DrWeb Plugin:...[4446] DATA[4446] - Ok
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB ext codes :
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB 0x100000 : 1
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB CheckMime: end check body
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB ScanFileProto::IsFileClear: file [mime-body] doesn't contain known viruses
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB GetLocal: request for index = 1 name=RegexsForCheckedFilename
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB For str [[4446] DATA[4446] - Ok]: file [DATA[4446]] code=1 opt=
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB MsgHandle::Accept call
Wed Sep 23 14:01:55 2009 [2931825568] maild DEBUG 00020CAB DwIMimeObject: find 0 inline objects
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB CheckMime: check body
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB set local scan = 1 is_file=1
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB daemon return for a /var/drweb.rc/msgs/in/B/00020CAB/b3 0x20
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB report :
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB DrWeb Plugin:...[4446] /var/drweb.rc/msgs/in/B/00020CAB/b3 - archive ZIP
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB DrWeb Plugin:...[4446] >/var/drweb.rc/msgs/in/B/00020CAB/b3/eicar.com infected with EICAR Test File (NOT a Virus!)
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB Following viruses/malware was found
Wed Sep 23 14:01:55 2009 [2931825568] drweb DEBUG 00020CAB infected with EICAR Test File (NOT a Virus!)

[Romanr]

что-то у меня не нашёлся
[codebox]

Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild.thr1 DEBUG 000009E2/5A9D56FC82 SetMeBusy: set what i busy (1)
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 start processing msg...
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 insert mime_t = 1 ct=3 sub_ct=20 cte=0 headers_num=14
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 insert mime_t = 2 ct=2 sub_ct=10 cte=0 headers_num=2
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 insert mime_t = 3 ct=2 sub_ct=10 cte=5 headers_num=3
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 save mime body to file /var/drweb/msgs/in/2/000009E2/b3 (189)
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 set_domains has in=1, out=0 domains in envelope
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 ReceivedIpParse: message(id=000009E2) host token 'test'
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 ReceivedIpParse in message(id=000009E2) host token 'test' - no openning (
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 ReceivedIpParse extracted address { ip=127.0.0.1 }
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 a 127.0.0.1 matches to network 127.0.0.0/8
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 get_outgoing message is outgoing
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 ParseInPhase1: dir: /var/drweb/msgs/in/2/000009E2; from:<roma>; to num:1 of rcpts
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 IsNeedContinueProcessing: msg need processing for plugin 'drweb'
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild INFO 000009E2/5A9D56FC82 Attach msg to plugin drweb...
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 GetLocal: request for index = 0 name=HeuristicAnalysis
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 GetLocal: request for index = 15 name=Infected
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 GetLocal: request for index = 2 name=ReportMaxSize
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 MsgHandle::Accept call
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 CheckMime: check kTypeMultipart; num=2
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 CheckMime: check body
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 set local scan = 0 is_file=0
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 daemon return for a mime-body 0x100000
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 report :
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 DrWeb Plugin:...[9602] DATA[9602] - Ok
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 ext codes :
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 0x100000 : 1
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 CheckMime: end check body
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 ScanFileProto::IsFileClear: file [mime-body] doesn't contain known viruses
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 GetLocal: request for index = 1 name=RegexsForCheckedFilename
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 For str [[9602] DATA[9602] - Ok]: file [DATA[9602]] code=1 opt=
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 MsgHandle::Accept call
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 DwIMimeObject: find 0 inline objects
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 CheckMime: check body
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 set local scan = 1 is_file=1
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 daemon return for a /var/drweb/msgs/in/2/000009E2/b3 0x100000
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 report :
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 DrWeb Plugin:...[9603] /var/drweb/msgs/in/2/000009E2/b3 - Ok
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 ext codes :
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 0x100000 : 1
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 CheckMime: end check body
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 ScanFileProto::IsFileClear: file [/var/drweb/msgs/in/2/000009E2/b3] doesn't contain known viruses
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 GetLocal: request for index = 1 name=RegexsForCheckedFilename
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 For str [[9603] /var/drweb/msgs/in/2/000009E2/b3 - Ok]: file [/var/drweb/msgs/in/2/000009E2/b3] code=1 opt=
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 MsgHandle::Accept call
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 DwIMimeObject: find 0 inline objects
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 CheckMime: end check kTypeMultipart; num=2
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 GetLocal: request for index = 5 name=Paranoid
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 GetLocal: request for index = 3 name=AddXHeaders
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 Add X-Headers...
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 DwIHeadersObject::RemoveAll: name=X-Antivirus
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 DwIHeadersObject::RemoveAll: name=X-Antivirus-Code
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 DwIHeadersObject::Add: name=X-Antivirus val=Dr.Web ® for Unix mail servers drweb plugin ver.5.0.0
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 DwIHeadersObject::Add: name=X-Antivirus-Code val=0x100000
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] drweb DEBUG 000009E2/5A9D56FC82 Success add X-Headers
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild INFO 000009E2/5A9D56FC82 Msg was accepted by plugin drweb; time=15 ms
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 SaveHeaders was called
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 SaveAllChanges: skip rebuild msg due to filter
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 msg is accepted: send it by filter
Sep 23 14:27:15 mail drweb-maild.real: [1958095760] maild DEBUG 000009E2/5A9D56FC82 return 0x801 to client

[Anton Ivanov]

подключен как прокси.
BeforeQueueFilters = drweb
версия такая же как у Вас.

проверьте конфигурацию drweb32.ini - там включена проверка архивов? приаттачте сюда пожалуйста drweb32.ini, maild_MTA.conf и plguin_drweb.conf

[Romanr]

[codebox]

Dr.Web ® Scanner for Linux v5.0.0 (Sep 4 2009)Copyright © Igor Daniloff, 1992-2009
Doctor Web, Moscow, Russia
Support service: http://support.drweb.com
To purchase: http://buy.drweb.com
Report dated 2009-09-23, 14:52:59
Command line: -path=eicar.zip.txt.eml
Shell version: 5.0.0.10060 <API:2.2>
Engine version: 5.0.0.12182 <API:2.2>
Loading /var/drweb/bases/drwtoday.vdb - Ok, virus records: 3401
Loading /var/drweb/bases/drw50043.vdb - Ok, virus records: 5741
Loading /var/drweb/bases/drw50042.vdb - Ok, virus records: 4308
Loading /var/drweb/bases/drw50041.vdb - Ok, virus records: 5456
Loading /var/drweb/bases/drw50040.vdb - Ok, virus records: 6858
Loading /var/drweb/bases/drw50039.vdb - Ok, virus records: 5479
Loading /var/drweb/bases/drw50038.vdb - Ok, virus records: 8526
Loading /var/drweb/bases/drw50037.vdb - Ok, virus records: 7640
Loading /var/drweb/bases/drw50036.vdb - Ok, virus records: 6071
Loading /var/drweb/bases/drw50035.vdb - Ok, virus records: 4983
Loading /var/drweb/bases/drw50034.vdb - Ok, virus records: 2139
Loading /var/drweb/bases/drw50033.vdb - Ok, virus records: 3732
Loading /var/drweb/bases/drw50032.vdb - Ok, virus records: 6424
Loading /var/drweb/bases/drw50031.vdb - Ok, virus records: 5242
Loading /var/drweb/bases/drw50030.vdb - Ok, virus records: 2770
Loading /var/drweb/bases/drw50029.vdb - Ok, virus records: 2685
Loading /var/drweb/bases/drw50028.vdb - Ok, virus records: 3327
Loading /var/drweb/bases/drw50027.vdb - Ok, virus records: 4697
Loading /var/drweb/bases/drw50026.vdb - Ok, virus records: 2792
Loading /var/drweb/bases/drw50025.vdb - Ok, virus records: 5841
Loading /var/drweb/bases/drw50024.vdb - Ok, virus records: 2260
Loading /var/drweb/bases/drw50023.vdb - Ok, virus records: 4796
Loading /var/drweb/bases/drw50022.vdb - Ok, virus records: 5098
Loading /var/drweb/bases/drw50021.vdb - Ok, virus records: 4891
Loading /var/drweb/bases/drw50020.vdb - Ok, virus records: 5033
Loading /var/drweb/bases/drw50019.vdb - Ok, virus records: 3254
Loading /var/drweb/bases/drw50018.vdb - Ok, virus records: 5206
Loading /var/drweb/bases/drw50017.vdb - Ok, virus records: 7585
Loading /var/drweb/bases/drw50016.vdb - Ok, virus records: 5298
Loading /var/drweb/bases/drw50015.vdb - Ok, virus records: 5947
Loading /var/drweb/bases/drw50014.vdb - Ok, virus records: 6039
Loading /var/drweb/bases/drw50013.vdb - Ok, virus records: 5309
Loading /var/drweb/bases/drw50012.vdb - Ok, virus records: 3511
Loading /var/drweb/bases/drw50011.vdb - Ok, virus records: 2495
Loading /var/drweb/bases/drw50010.vdb - Ok, virus records: 4565
Loading /var/drweb/bases/drw50009.vdb - Ok, virus records: 4467
Loading /var/drweb/bases/drw50008.vdb - Ok, virus records: 5196
Loading /var/drweb/bases/drw50007.vdb - Ok, virus records: 2359
Loading /var/drweb/bases/drw50006.vdb - Ok, virus records: 1938
Loading /var/drweb/bases/drw50005.vdb - Ok, virus records: 3335
Loading /var/drweb/bases/drw50004.vdb - Ok, virus records: 3185
Loading /var/drweb/bases/drw50003.vdb - Ok, virus records: 1468
Loading /var/drweb/bases/drw50002.vdb - Ok, virus records: 280
Loading /var/drweb/bases/drw50001.vdb - Ok, virus records: 567
Loading /var/drweb/bases/drw50000.vdb - Ok, virus records: 1194
Loading /var/drweb/bases/drwebase.vdb - Ok, virus records: 423328
Loading /var/drweb/bases/dwrtoday.vdb - Ok, virus records: 294
Loading /var/drweb/bases/dwr50002.vdb - Ok, virus records: 665
Loading /var/drweb/bases/dwr50001.vdb - Ok, virus records: 626
Loading /var/drweb/bases/dwntoday.vdb - Ok, virus records: 403
Loading /var/drweb/bases/dwn50004.vdb - Ok, virus records: 680
Loading /var/drweb/bases/dwn50003.vdb - Ok, virus records: 712
Loading /var/drweb/bases/dwn50002.vdb - Ok, virus records: 925
Loading /var/drweb/bases/dwn50001.vdb - Ok, virus records: 840
Loading /var/drweb/bases/drwrisky.vdb - Ok, virus records: 3316
Loading /var/drweb/bases/drwnasty.vdb - Ok, virus records: 19303
Total virus records: 644480
Key file: /opt/drweb/drweb32.key
License key number: 0014319501
License key activates: 2009-09-21
License key expires: 2009-10-22
/home/roma/eicar.zip.txt.eml - archive MAIL
>/home/roma/eicar.zip.txt.eml/eicar.zip.txt - Ok
/home/roma/eicar.zip.txt.eml - Ok
Scan report for "/home/roma/eicar.zip.txt.eml":
  Scanned: 2/1 Cured: 0
  Infected: 0/0 Deleted: 0
 Modifications: 0/0 Renamed: 0
  Suspicious: 0/0 Moved: 0
  Adware: 0/0 Ignored: 0
  Dialer: 0/0  
  Joke: 0/0 Scan time: 0:00:00
  Riskware: 0/0 Scan speed: 1 Kb/s
  Hacktool: 0/0 Scan speed: 1 Kb/s

[Romanr]

Архивы включены и в них всё находится (если передаются как binary/*)

Прикрепленные файлы:

•  drweb32.ini.txt   14,92К   137 Скачано раз
•  maild_postfix.conf.txt   22,3К   117 Скачано раз
•  plugin_drweb.conf.txt   6,94К   109 Скачано раз

[Romanr]

Может Вы мне подскажете как сделать чтобы распакованные файлы не удалялись (/var/drweb/msgs/in/2/000009E2/b3), я бы тогда глазами глянул что в том файле. Вдруг файл бьётся если передан через мильтр.

[Anton Ivanov]

к сожалению сам /var/drweb/msgs/in/2/000009E2/b3 посмотреть нельзя. можно включить архивацию все проходящей почты (MoveAll=yes) и увидеть все сообщение. суть проблемы в том, что postfix модифицирует концы строк в '\r\n' и в итоге письмо отличается от того, что было послано. если eicar.zip.txt.eml.txt непосредственно через telnet послать в drweb-receiver, то вирус будет обнаружен. мы дальше рассморим, что тут можно сделать

[Romanr]

Как вариант, в режиме Paranoid проверять майм 2 раза с окончаниями строк \r\n и с \n. В идеале конечно перебрать все варианты, но это будет 2^N проверок, где N-количество строк в текстовых частях.

[Romanr]

А на самом деле при декодировании quoted-printable нужно отбрасывать символы \r в конце строки. Если в исходном файле встречается комбинация "\r\n" то она кодируется "=0D\n" (посмотрите ещё раз моё прикреплённое сообщение несколькими постами выше - там есть такая комбинация).
Т.е. в декодере отбрасывать комбинации "=\n", "=\r\n" и "\r", "\r\n" заменять на "\n".

[Anton Ivanov]

Нет, Вы не правы. В rfc1521 нет ничего такого.
Проблема в том, что quoted-printable фактически не преднозначена для работы с бинарными данными. В результате переименования в .txt Ваш MUA скорее всего решил, что это текст, и ошибочно использовал эту кодировку. Затем MTA поменял концы строк в \r\n и в результате при декодировании аттача происходит создание поврежденного архива.

Попробуйте включить MoveAll=yes и затем из получившегося в бэккапе оригинального файла (полученного из MTA) извлечь все аттачи любой назависимой утилитой. Например:

> ripmime -v -i /var/drweb/infected/def/backup/5/00020CC5.maild.hUabGm
Decoding filename=textfile0_1
Decoding filename=textfile1_1
Decoding filename=eicar.zip_1.txt

и затем проверяем аттач:
> unzip eicar.zip_1.txt
Archive: eicar.zip_1.txt
warning [eicar.zip_1.txt]: 3 extra bytes at beginning or within zipfile
(attempting to process anyway)
error [eicar.zip_1.txt]: start of central directory not found;
zipfile corrupt.
(please check that you have transferred or created the zipfile in the
appropriate BINARY mode and that you have compiled UnZip properly)

Таким образом проблема в неправильно использованной кодировки.

[Romanr]

Да, могу с Вами солгаситься. Но мы ведь не "затачиваемся" под RFC или ripmime? По факту утилита - Thunderbird - успешно извлекает архив из сообщения с любыми окончаниями строк. Соответственно, есть возможность пробросить вирус.

[Anton Ivanov]

Проблема в том, что тогда пара декодирование/кодирование будет давать неверный результат и могут быть испорчены другие сообщения. Мы посмотрим что тут можно сделать.

[Romanr]

Т.е. вы считаете что \r кодируется как \r а не как =0D ?

[Anton Ivanov]

это часть hard-line в терминах rfc:

Since
the canonical representation of media types other than
text do not generally include the representation of
line breaks as CRLF sequences, no hard line breaks
(i.e. line breaks that are intended to be meaningful
and to be displayed to the user) can occur in the
quoted-printable encoding of such types.

[Anton Ivanov]

Должно быть исправлено для 5.0.1:
http://bugs.drweb.com/bug_view_advanced_pa...?bug_id=0032818

[Ivan Kuznetsov]

http://bugs.drweb.com/bug_view_advanced_pa...?bug_id=0032818

Access Denied