Problem z wysłaniem pliku DOCX? Wpadka antywirusa ClamAV

4 czerwca, 2016

Od czasu do czasu zdarzają się mnie lub bardziej spektakularne wpadki antywirusów. W ostatnich tygodniach aktualizacja sygnatur ESET-a mogła doprowadzić do zastoju w biznesie, a teraz wadliwa sygnatura trafiła do bazy danych wirusów ClamAV. 

Pierwsze wzmianki na temat false positive antywirusa open-source ClamAV wykorzystywanego przez dużych dostawców usług internetowych zostały zgłoszone przez użytkowników forum elektroda.pl. Drugiego czerwca tego roku dodano sporą aktualizacją sygnatur do bazy danych wirusów ClamAV. Jedna z nich była opracowana do wykrywania trojana w nomenklaturze Win.Trojan.NetWiredRC-2. Problem w tym, że zamiast chronić przed szkodliwym oprogramowaniem, powodowała, że wiele firm nie mogło wysyłać dokumentów DOCX – zarówno w usługach pocztowych, poprzez Facebooka, jak i za pośrednictwem wielu innych usług internetowych – wszędzie tam, gdzie stosowany jest ClamAV.

Za błąd odpowiada nieprawidłowe interpretowanie stylu zawierającego się w styles.xml w dokumentach DOCX. Wystarczyło, że dokument zawierał styl dla czcionki “Akapit z listą”.

“Wirus jest wykrywany, jeśli w dokumencie jest zdefiniowany (nie musi być zastosowany) styl o nazwie “Akapit z listą”. Skutkuje to pojawieniem się w pliku word/styles.xml słowa “Akapitzlist”. I to słowo jest wykrywane jako wirus, można to sobie sprawdzić tworząc zwykły plik txt zawierający tylko napis “Akapitzlist” (bez cudzysłowów), następnie taki plik należy zzipować (dokumenty docx są w istocie plikami zip). Próba dołączenia takiego zipa do wiadomości gmaila skutkuje informacją o wirusie. Jeśli natomiast w dokumencie docx Worda nie ma stylu “Akapit z listą”, to “wirus” nie jest wykrywany. – pisze jeden z czytelników Niebezpiecznika”

ClamAV traktował załączniki DOCX jako szkodliwe, jeśli te były wysyłane do odbiorców na GMailu, Adobe Creative Cloud, Home.pl, o2.pl, Interii oraz do odbiorców, których komputery były chronione przez rozwiązanie antyspamowe Barracuda Email Security i SpamTitan. 

ClamAV to jeden z tych antywirusów, które lepiej sprawdzają w środowisku usług internetowych niż bezpośrednio w systemie Windows.  Antywirus ten chroni ponad 2,5 miliarda użytkowników sieci Internet. Wykorzystywany jest przez Google do skanowania załączników w poczcie Gmail, plików na dyskach Drive i Dropbox. Dzięki darmowej licencji oraz możliwości skanowania z linii poleceń stosuje go także Facebook, który sprawdza wysyłane pliki w wiadomościach prywatnych; Apple, Cisco (obecny właściciel praw licencyjnych do ClamAV – używa go zarówno w sporej gamie rozwiązań hardwarowych, jak i software’owych) i wiele innych większych i mniejszych producentów oprogramowania zabezpieczającego oraz dostawców usług internetowych.

Ponad dwa lata temu pisaliśmy więcej o silniku ClamAV przy okazji testów rozwiązania antyspamowego SpamTitan. Przypomnijmy, że autorem tego silnika jest Tomasz Kojm. Obecnie prawa do ClamAV należą do Cisco.

Silnik ClamAV jest stosowany wszędzie tam, gdzie kraje oraz instytucje rządowe z uwagi na bezpieczeństwo i podejrzenie inwigilowania nie mogą pozwolić sobie na stosowanie „zamkniętych” rozwiązań (ze względu na ryzyko backdoorów). Po ataku Stuxneta, Iran na szeroką skalę wdrożył ochronę opartą na ClamAV stosując dodatkowo własne sygnatury.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]