Перейти к содержимому


Фото
- - - - -

DrWeb Exchange пропускает архив с паролем


  • Please log in to reply
16 ответов в этой теме

#1 S_Vladimir

S_Vladimir

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 19 Март 2019 - 10:04

Поставили настройку: Рассматривать архивы с паролем как поврежденные.

Отправили тестовое письмо с запароленным архивом, все нормально отработало.

Теперь приходят письма с вирусом, где вложен архив с паролем и дополнительно пустое текстовый файл, например ATT00001.txt

Антивирус пропускает письмо и не блокирует вложение.

 



#2 Kirill Zaets

Kirill Zaets

    Advanced Member

  • Dr.Web Staff
  • 632 Сообщений:

Отправлено 19 Март 2019 - 16:26

Поставили настройку: Рассматривать архивы с паролем как поврежденные.

Отправили тестовое письмо с запароленным архивом, все нормально отработало.

Теперь приходят письма с вирусом, где вложен архив с паролем и дополнительно пустое текстовый файл, например ATT00001.txt

Антивирус пропускает письмо и не блокирует вложение.

А какое у действие для поврежденных выставлено в настройках?


Best regards, Zaets Kirill
Doctor Web, Ltd.

#3 S_Vladimir

S_Vladimir

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 20 Март 2019 - 08:24

Для поврежденных выставлено блокировать. Тестовые письма с запароленным архивом отправляем с внешнего ящика , успешно блокируются. А вот спам рассылка с запароленным архивом + пустым файлом ATT00001.txt проходит



#4 Kirill Zaets

Kirill Zaets

    Advanced Member

  • Dr.Web Staff
  • 632 Сообщений:

Отправлено 20 Март 2019 - 12:22

Для поврежденных выставлено блокировать. Тестовые письма с запароленным архивом отправляем с внешнего ящика , успешно блокируются. А вот спам рассылка с запароленным архивом + пустым файлом ATT00001.txt проходит

Вы паралельно в саппорте случаем не заводили запрос?
Можете приложить оба архива?


Best regards, Zaets Kirill
Doctor Web, Ltd.

#5 Kirill Zaets

Kirill Zaets

    Advanced Member

  • Dr.Web Staff
  • 632 Сообщений:

Отправлено 20 Март 2019 - 13:54

Еще подскажите, в каком формате архивы? zip, rar или еще что?


Best regards, Zaets Kirill
Doctor Web, Ltd.

#6 S_Vladimir

S_Vladimir

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 26 Март 2019 - 07:49

Архивы RAR



#7 S_Vladimir

S_Vladimir

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 26 Март 2019 - 08:05

 

Для поврежденных выставлено блокировать. Тестовые письма с запароленным архивом отправляем с внешнего ящика , успешно блокируются. А вот спам рассылка с запароленным архивом + пустым файлом ATT00001.txt проходит

Вы паралельно в саппорте случаем не заводили запрос?
Можете приложить оба архива?

 

Сегодня создал в саппорт запрос.

 

Как здесь прикрепить файл?



#8 Kirill Zaets

Kirill Zaets

    Advanced Member

  • Dr.Web Staff
  • 632 Сообщений:

Отправлено 26 Март 2019 - 11:23

Архивы RAR

C RAR разибираемся. В ближайшее время планируется выпуск фикса.
Еще подскажите версию плагина?


Best regards, Zaets Kirill
Doctor Web, Ltd.

#9 S_Vladimir

S_Vladimir

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 28 Март 2019 - 10:34

Версия продукта: 11.5.0.06180 Dr.Web Scanning Engine: 11.5.4.8270 Dr.Web Virus-Finding Engine: 7.0.34.11020 Модуль Антиспама: 01.410.83

#10 snk73_uldp

snk73_uldp

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 28 Март 2019 - 14:37

по сабжу актуально, вопрос:

как в smtp-proxy завернуть rar с паролем на postmaster'a? (или заблокировать),

смотрел, не нашел в plugin_drweb.conf

 

ps

могу переслать такой файлик "от производителя"


Сообщение было изменено snk73_uldp: 28 Март 2019 - 14:38


#11 snk73_uldp

snk73_uldp

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 28 Март 2019 - 14:58

... продолжение...

в plugin_drweb.conf

ArchiveRestriction = reject, quarantine, notify

опция не сработала



#12 Kirill Zaets

Kirill Zaets

    Advanced Member

  • Dr.Web Staff
  • 632 Сообщений:

Отправлено 02 Апрель 2019 - 00:02

по сабжу актуально, вопрос:

как в smtp-proxy завернуть rar с паролем на postmaster'a? (или заблокировать),

смотрел, не нашел в plugin_drweb.conf

 

ps

могу переслать такой файлик "от производителя"

Доброй ночи. Я подозреваю, что у вас не плагин Exchange, а какой-то другой продукт, скорее всего для Unix. 


Best regards, Zaets Kirill
Doctor Web, Ltd.

#13 snk73_uldp

snk73_uldp

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 09 Апрель 2019 - 14:15

 

по сабжу актуально, вопрос:

как в smtp-proxy завернуть rar с паролем на postmaster'a? (или заблокировать),

смотрел, не нашел в plugin_drweb.conf

 

ps

могу переслать такой файлик "от производителя"

Доброй ночи. Я подозреваю, что у вас не плагин Exchange, а какой-то другой продукт, скорее всего для Unix. 

 

да, не плагин, установлен smtp-proxy от DrWeb для почтового Unix-сервера, кстати, удобный инструмент для фильтрации почтового трафика, ну и хотелось бы опцию что-то типа: "если на архиве пароль, то действие"


Сообщение было изменено snk73_uldp: 09 Апрель 2019 - 14:16


#14 Igorn

Igorn

    Member

  • Dr.Web Staff
  • 403 Сообщений:

Отправлено 09 Апрель 2019 - 15:29

ArchiveRestriction = reject, quarantine, notify

опция не сработала

Попробуйте использовать опцию

ProcessingErrors



#15 snk73_uldp

snk73_uldp

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 09 Апрель 2019 - 15:50

 

ArchiveRestriction = reject, quarantine, notify

опция не сработала

Попробуйте использовать опцию

ProcessingErrors

 

спасибо, попробую



#16 serg7788

serg7788

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 09 Апрель 2019 - 22:40

 

Архивы RAR

C RAR разибираемся. В ближайшее время планируется выпуск фикса.
Еще подскажите версию плагина?

 

Кирилл, добрый вечер! У нас такая же проблема.

Галочка "Рассматривать архивы с паролем как поврежденные" активирована.

Модуль пропускает запароленный архив с шифровальщиком как с файлами ATT00001.txt/ATT00001.bin, так и если отправить только архив.

 

Что можете посоветовать?

 

Отправлял заявку с заражённым файлом, вот ответ:

 

"Ваш запрос был проанализирован. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

 

Пожалуйста, убедитесь что Ваша вирусная база Dr.Web обновлена.

 

Угроза: JS.DownLoader.4964

 

dr Web для Exchange:

Версия продукта: 11.0.4.10062 Dr.Web Scanning Engine: 11.1.14.2120 Dr.Web Virus-Finding Engine: 7.0.34.11020 Модуль Антиспама:

01.411.15

 

 



#17 Ivan Martushov

Ivan Martushov

    Newbie

  • Dr.Web Staff
  • 6 Сообщений:

Отправлено 10 Апрель 2019 - 15:01

Кирилл, добрый вечер! У нас такая же проблема.

Галочка "Рассматривать архивы с паролем как поврежденные" активирована.

Модуль пропускает запароленный архив с шифровальщиком как с файлами ATT00001.txt/ATT00001.bin, так и если отправить только архив.

 

Что можете посоветовать?

 

Отправлял заявку с заражённым файлом, вот ответ:

 

"Ваш запрос был проанализирован. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

 

Пожалуйста, убедитесь что Ваша вирусная база Dr.Web обновлена.

 

Угроза: JS.DownLoader.4964

"

dr Web для Exchange:
Версия продукта: 11.0.4.10062 Dr.Web Scanning Engine: 11.1.14.2120 Dr.Web Virus-Finding Engine: 7.0.34.11020 Модуль Антиспама:

01.411.15

 

Фикс вышел в версии Dr.Web for Microsoft Exchange 12.0.0.03290.

Есть возможность обновиться на неё?




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых