7zip Archive mit Passwort werden nicht erkannt

[pvssw]

Guten Tag,

ich möchte, dass komprimierte Anhänge mit Passwort blockiert werden. Für Zip Archive funktioniert das Ganze wie erwartet.

May 24 15:38:07 host pmg-smtp-filter[30965]: A6: virus detected: Heuristics.Encrypted.Zip (clamav)
May 24 15:38:07 host pmg-smtp-filter[30965]: A6: found archive 'office_pw-1.zip' (application/zip)
May 24 15:38:08 host pmg-smtp-filter[30965]: A6: unpack failed - child '36756' failed: 512
May 24 15:38:08 host pmg-smtp-filter[30965]: A6: unpack archive 'office_pw-1.zip' done (40 ms)
May 24 15:38:09 host pmg-smtp-filter[30965]: A6: SA score=3/5 time=1.738 bayes=undefined autolearn=ham autolearn_force=no hits=ClamAVHeuristics(3),AWL(0.132),HTML_MESSAGE(0.001),KAM_DMARC_STATUS(0.01),RCVD_IN_DNSWL_NONE(-0.0001),RCVD_IN_MSPIKE_H2(-0.001),SPF_HELO_PASS(-0.001),SPF_PASS(-0.001),T_SCC_BODY_TEXT_LINE(-0.01)
May 24 15:38:09 host pmg-smtp-filter[30965]: A6: moved mail for <....> to spam quarantine - A1 (rule: Quarantine/Mark Spam (Level 3))

Inahlt des Archivs:


Für Archive mit Passwort im 7zip Format funktionert es leider nicht.

May 24 15:38:28 host pmg-smtp-filter[30966]: AF: found archive 'office_pw-1.7z' (application/x-7z-compressed)
May 24 15:38:28 host pmg-smtp-filter[30966]: AF: unpack failed - child '36763' failed: 512
May 24 15:38:28 host pmg-smtp-filter[30966]: AF: unpack archive 'office_pw-1.7z' done (86 ms)
May 24 15:38:29 host pmg-smtp-filter[30966]: AF: SA score=0/5 time=0.995 bayes=undefined autolearn=ham autolearn_force=no hits=AWL(0.126),HTML_MESSAGE(0.001),KAM_DMARC_STATUS(0.01),RCVD_IN_DNSWL_NONE(-0.0001),RCVD_IN_MSPIKE_H2(-0.001),SPF_HELO_PASS(-0.001),SPF_PASS(-0.001),T_SCC_BODY_TEXT_LINE(-0.01)

Hier wird "Heuristics.Encrypted.Zip" nicht erkannt.

Hat jemand eine Idee wie das Problem gelöst werden kann?

Vielen Dank.

 

[Stoiko Ivanov]

müsste ich noch etwas im detail nachstellen - nehme aber an, dass das schlicht daran liegt, dass ClamAV das (noch) nicht kann:
https://github.com/Cisco-Talos/clamav/issues/542

 

[dcsapak]

ich habs grad getestet mit dem installierten 7z auf meinem system:

7z a -p test.7z testdata

durch mein pmg gejagt und er erkennt es:

ClamAVHeuristics 3 ClamAV heuristic test: Encrypted.7Zip (clamav)

also liegt es wahrscheinlich tatsächlich am "neuen" format das clamav noch nicht kennt

 

[pvssw]

Der Tip scheint in die richtige Richtung zu gehen.
Ich habe noch mal alte 7zip Version bis 9.20 für Windows probiert. Bei allen wurde es nicht erkannnt.

Der Test mit Linux 7z 16.02 war dagegen erfolgreich.

Es gibt scheinbar noch einen Unterschied zwischen Linux und Windows 7z zu geben

 

[pvssw]

Hallo,
noch mal vielen Dank für die Antworten.

Ich habe mir das Ganze noch mal angeschaut. Und ich denke nicht, dass es mit dem Bzip2 Format zusammen hängt.
Meine Testarchive waren alle mit dem Kompressionsverfahren LZMA2 erstellt worden. Allerdings verwendet 7zip unterschiedliche Parameter in Windows und Linux.

Linux:

Windows:

Ich vermute, dass daher die unter Windows erstellten Archive nicht erkannt werden.


Ich hätte eine Frage zu einer Regel um verschlüsselte Anhänge etc zu filtern.
Es ist gewünscht, dass verschlüsselte Anhänge entfernt, in die Quarantäne verschoben werden und die Mail ohne Anhang zugestellt wird.
Meine Idee ist es, den Wert für "clamav_heuristic_score" hoch zu setzen, z.b. auf 500, und anschließend eine Regel "What Object Spam Level 500" und "Action Attachment Quarantine, Accept" zu erstellen.
Wäre das der richtige Weg oder gibt es noch andere Möglichkeiten?

Viele Grüße