Od czasu do czasu zdarzają się mnie lub bardziej spektakularne wpadki antywirusów. W ostatnich tygodniach aktualizacja sygnatur ESET-a mogła doprowadzić do zastoju w biznesie, a teraz wadliwa sygnatura trafiła do bazy danych wirusów ClamAV.
Pierwsze wzmianki na temat false positive antywirusa open-source ClamAV wykorzystywanego przez dużych dostawców usług internetowych zostały zgłoszone przez użytkowników forum elektroda.pl. Drugiego czerwca tego roku dodano sporą aktualizacją sygnatur do bazy danych wirusów ClamAV. Jedna z nich była opracowana do wykrywania trojana w nomenklaturze Win.Trojan.NetWiredRC-2. Problem w tym, że zamiast chronić przed szkodliwym oprogramowaniem, powodowała, że wiele firm nie mogło wysyłać dokumentów DOCX – zarówno w usługach pocztowych, poprzez Facebooka, jak i za pośrednictwem wielu innych usług internetowych – wszędzie tam, gdzie stosowany jest ClamAV.
Za błąd odpowiada nieprawidłowe interpretowanie stylu zawierającego się w styles.xml w dokumentach DOCX. Wystarczyło, że dokument zawierał styl dla czcionki “Akapit z listą”.
“Wirus jest wykrywany, jeśli w dokumencie jest zdefiniowany (nie musi być zastosowany) styl o nazwie “Akapit z listą”. Skutkuje to pojawieniem się w pliku word/styles.xml słowa “Akapitzlist”. I to słowo jest wykrywane jako wirus, można to sobie sprawdzić tworząc zwykły plik txt zawierający tylko napis “Akapitzlist” (bez cudzysłowów), następnie taki plik należy zzipować (dokumenty docx są w istocie plikami zip). Próba dołączenia takiego zipa do wiadomości gmaila skutkuje informacją o wirusie. Jeśli natomiast w dokumencie docx Worda nie ma stylu “Akapit z listą”, to “wirus” nie jest wykrywany. – pisze jeden z czytelników Niebezpiecznika”
ClamAV traktował załączniki DOCX jako szkodliwe, jeśli te były wysyłane do odbiorców na GMailu, Adobe Creative Cloud, Home.pl, o2.pl, Interii oraz do odbiorców, których komputery były chronione przez rozwiązanie antyspamowe Barracuda Email Security i SpamTitan.
ClamAV to jeden z tych antywirusów, które lepiej sprawdzają w środowisku usług internetowych niż bezpośrednio w systemie Windows. Antywirus ten chroni ponad 2,5 miliarda użytkowników sieci Internet. Wykorzystywany jest przez Google do skanowania załączników w poczcie Gmail, plików na dyskach Drive i Dropbox. Dzięki darmowej licencji oraz możliwości skanowania z linii poleceń stosuje go także Facebook, który sprawdza wysyłane pliki w wiadomościach prywatnych; Apple, Cisco (obecny właściciel praw licencyjnych do ClamAV – używa go zarówno w sporej gamie rozwiązań hardwarowych, jak i software’owych) i wiele innych większych i mniejszych producentów oprogramowania zabezpieczającego oraz dostawców usług internetowych.
Silnik ClamAV jest stosowany wszędzie tam, gdzie kraje oraz instytucje rządowe z uwagi na bezpieczeństwo i podejrzenie inwigilowania nie mogą pozwolić sobie na stosowanie „zamkniętych” rozwiązań (ze względu na ryzyko backdoorów). Po ataku Stuxneta, Iran na szeroką skalę wdrożył ochronę opartą na ClamAV stosując dodatkowo własne sygnatury.
