14:22
3/6/2016

I znaczna część z tej sporej części nawet o tym nie wie. Zgubione “umowy”, wysłane ale nieprzyjęte (bo nieodebrane) wnioski, itp. Za wszystko to jest odpowiedzialny błąd w oprogramowaniu antywirusowym ClamAV, wykorzystywanym jako “składowa” w urządzeniach sieciowych filtrujących pocztę, ale również w popularnych serwisach pocztowych, takich jak GMail…

Oto, jak dziś rano prezentowały się e-maile z załącznikami DOCX, które jeszcze wczoraj normalnie dało się z GMaila pobrać:

13301451_10154208440639183_362933838710138145_o

Brak możliwości (chwilowego zapewne) ściągnięcia plików przez webinterface GMaila to nie problem. Gorzej, że od rana na skrzynki hostowane na GMailu, Adobe Creative Cloud, Home.pl, o2 oraz te chronione rozwiązaniami m.in. Barracuda Email Security, jak informują nasi czytelnicy, w ogóle nie dochodzą wiadomości z załącznikami DOCX (bo odrzuca je filtr antywirusowy działający najwyraźniej w oparciu o ClamAV).

Antivirus_scan_for_9346ce358ed2c8441dcaa5c3380ca1a18ab035532629176794629b883e78c508_at_2016-06-03_11_59_49_UTC_-_VirusTotal

Jak informuje jeden z naszych czytelników, Marek:

Wirus jest wykrywany jeśli w dokumencie jest zdefiniowany (nie musi być zastosowany) styl o nazwie “Akapit z listą”. Skutkuje to pojawieniem się w pliku word/styles.xml słowa “Akapitzlist”. I to słowo jest wykrywane jako wirus, można to sobie sprawdzić tworząc zwykły plik txt zawierający tylko napis “Akapitzlist” (bez cudzysłowów), następnie taki plik należy zzipować (dokumenty docx są w istocie plikami zip). Próba dołączenia takiego zipa do wiadomości gmaila skutkuje informacją o wirusie. Jeśli natomiast w dokumencie docx Worda nie ma stylu “Akapit z listą”, to “wirus” nie jest wykrywany.

Korzystam z/czekam na Worda — co robić, jak żyć?

Jeśli czekacie na jakiegoś “Worda” (umowę, zamówienie, itp.) to upewnijcie się, że nie został on odfiltrowany. Nadawca wcale nie musiał zostać poinformowany o fakcie odrzucenia pliku przez Wasze serwery i żyje w błogiej nieświadomości. Wszystko wskazuje na to, że problem występuje od wczorajszego wieczora do chwili obecnej włącznie.

Antywirusa można oszukać na 2 sposoby. Przesłać zaszyfrowaną wiadomość, albo zapisać plik Worda jako DOC (nie DOCX).

PS. Problemem też zostały dotknięte czaty na FB. I to pewnie nie wszystkie ofiary false-positive’a w ClamAV. Jeśli znacie inne, podeślijcie w komentarzach.

Przeczytaj także:

92 komentarzy

Dodaj komentarz
  1. Najlepszym antywirusem jest wzrok z aktywnym połączeniem z umysłem.

    • Zapraszam do mnie dziennie przechodzi mi ponad 5000 e-maili przez serwer, to sobie popatrzysz, pomyslisz i ogarniesz. Niestety pomyłki sie zdarzają i będą zdarzać.

    • I co, myślisz że w Google będzie siedzieć osoba i czytać wszystkich maile?
      Użytkownicy oczekują odfiltrowania pewnej ilości wirusów.

  2. Jedno z tymczasowych rozwiązań: wysyłać dokumenty zapisane jako doc, nie docx (czyli “Dokument programu Word 97-2003”).

    • 2 sposob to zapakowac do archiwum z haslem

    • Trzeci sposób, nie używać płatnych pakietów biurowych i wysyłać jako .odt (LibreOffice/OpenOffice) tudzież .pdf jak nie ma potrzeby edycji.

    • „Jedno z tymczasowych rozwiązań: wysyłać dokumenty zapisane jako doc”
      „albo zapisać plik Worda jako DOC”

      Sprawdzone, czy działa?

      Bo jeśli myk ze stringiem w txt + zip ma być fałszywie wykrywany jako wirus, to „doc” tak dość mechanicznie też nie powinien być ratunkiem (chyba że inaczej koduje znaki / nazywa feralny styl).

    • doc a docx to 2 zupełnie różne formaty.

    • A Gmail nie blokuje archiwów z hasłem?

  3. Ok, a kiedy napiszecie coś o ataku na Team Viewer – bo firma twierdzi że był tylko DDoS ale ludzie wypisują że poginęły im pieniądze z PayPala i możliwe że zostały wykorzystane skradzione wcześniej hasła do wielu różnych serwisów a TV był tylko “narzędziem” do użycia tych danych? Co w ogóle sądzicie o takich programach jak Team Viewer.

  4. Webdpl też odnotowuje ten problem
    https://twitter.com/webdpl/status/738685471853817856

  5. Jeśli zapiszemy plik jako DOC zamiast DOCX to wszystko przechodzi !

  6. Problem dotyczy też poczty Windows 10 i Dysku Google.

    • Nie do tyczy poczty Windows 10 a jedynie skrzynek, które tam masz ustawione.
      Ja używam Outlooka i one drive i tam wszystko działa poprawnie.

  7. Wysyłanie dokumentu DOC – najlepszy sposób na włam do wysyłającego. Sami zresztą o tym kiedyś pisaliście.
    A teraz clue – bardzo często spotykam się z przypadkiem, że pani A wysyła pani B dokument DOC mailem przez zewnętrzną pocztę pomimo, że siedzą obok siebie i mają dostęp do własnego serwera plików w firmie…

    • Mógłbyś wskazać źródło tego artykułu o niebezpieczeństwie .doc?

    • Dokładnie, też mam takie doświadczenia, część userów nie może odwyknąć od używania zewnętrznego e-maila do wszystkiego, krążą więc w sieci wte i we wte niepotrzebnie hurtowe ilości plików Office, tworząc pretekst do false positivów.

      … a z zachowań bez bezpośredniego związku z office, to dobija mnie jak widzę blokowanie poczty kilkudziesięciomegowymi załącznikami forwardowanymi sobie w najlepsze, bo to “takie wygodne”…

  8. Jeśli chodzi o serwery poczty to na listę należy dopisać wszystkie instalacje Zimbra, które też używają ClamAV.

  9. Problem dotyczy także plików przechowywanych an Google Drive – nie można ich pobrać ani pojedynczo, ani zipując folder

  10. Poczta na Interii zachowuje się tak samo: uniemożliwia załadowanie pliku z rozszerzeniem .docx

  11. Ciekawostka: Google, Facebook i inni korzystają po prostu z virustotal, a nie bezpośrednio z clamav czy innych.

    • Jakieś źródło tych informacji o wielce oświecony?

    • Źródło?

    • @Marek: Google jest przecież właścicielem VirusTotal, to po co źródło.

  12. Złośliwie powiem, że po raz pierwszy na VirusTotal ClamAV wyprzedził konkurencję :>

  13. Na własnej instancji clamava można dodać do ignorowanych sygnaturę Win.Trojan.NetWiredRC-2
    http://pig.made-it.com/clamav.html

  14. na Home.pl problem nie występuje.

  15. Dla adminów: najprawdopodobniej nazwa wadliwej regułki, do dodania do whitelist: Win.Trojan.NetWiredRC-2

  16. heh Win.Trojan.NetWiredRC-2, na screenie jest ;), ok, nie ma sensu publikować poprzedniego, proszę nie publikować tego i poprzedniego komentarza

  17. :D Jeden błąd w sygnaturze i świat nie może przesyłać plików docx – facebook, maile, cloud (dysk google potwierdzony, a inne?) Swoja droga to calkiem niezły paraliż mogłoby wywołać, gdyby do tego dołączyc pdf, xlsx itp :P

    Jeśli ktoś ma własny serwer z clamav jako av może tymczasowo wyłączyć sprawdzanie sygnatury tworząc plik .ign2 w katalogu z bazą danych clamav, np:
    /var/db/clamav/ignorelist.ign2 (folder dla freebsd, folder bazy można sprawdzić clamconf -n)

    a w środku:
    Win.Trojan.NetWiredRC-2

    Działa z clamav 0.95.1>

    Oczywiście nie jest to dobre rozwiązanie, ale oprócz tego można:
    – zmienić AV na inny
    – wyrzucić w ogóle sprawdzanie fw.
    – zacisnąć zęby i czekać na globalną poprawkę

    Wybór należy do Was

    • pulsko to nie caly swiat
      swiat ma w dupie problemy nic nie znaczacego panstewka na koncu jewropy

  18. Zaczepilem ClamAV na Twitterze i:
    “@pczajkowski huh, that’s an odd coincidence. That signature is a size/md5 match.”

  19. przy okazji wiadomo kto korzysta z silnika i baz clamav.

  20. mam to samo…nie mogę wysłać pracy licencjackiej swojej promotorce przez pocztę na interii, ani przez fb :P tragedia

    • Użyj “zapisz jako”, wybierz inny format pliku, np .doc (wcześniejsza wersja Word), i spróbuj przesłać taką wersję.

      Szkoda że uczelnia nie zrobiła Wam poczty wewnętrznej (adresy mailowe w ich domenie) lub jakiegoś niezależnego od emaila mechanizmu uploadu plików. No ale na to nie masz wpływu, więc spróbuj podanego obejścia.

      Możesz też zgłaszać to jako problem do pomocy technicznej dostawcy poczty (swojej – interia, i promotorki – sprawdź gdzie ma maila).

      I raczej nie wysyłaj pracy przez fejsa, to serwis utrzymujący się z profilowania użytkowników i z reklam, więc nie chcesz powierzać mu swojej własności intelektualnej / formalnej korespondencji.

    • Ja mam pocztę na uczelni we własnej domenie. Tyle, że obsługuje ją… Google.

  21. Exchange Online – zero kłopotów. PS. Ktos poruszyl temat TV – radziłbym uważać.

  22. Chyba palec, bo żadnej takiej informacji nie mogę odszukać.

  23. w /var/lib/clamav
    tworzymy plik z rozszerzeniem ign2 z zawartością:
    Win.Trojan.NetWiredRC-2, [ENTER}
    restart clamd

  24. już wczoraj wieczorem był problem z docx

  25. Jako obejście problemu dla osób, które korzystają z clamav:
    wystarczy utworzyć plik local.ign2

    Od początku:
    1. sprawdzamy, gdzie clamav trzyma bazy:
    clamconf | grep “Database directory”

    Otrzymamy jako wynik ścieżkę np: /usr/share/clamav lub /var/lib/clamav (ścieżka będzie się różniła w zależności od dystrybucji)

    2. w katalogu, który uzyskamy, tworzymy plik z zawartością:
    Win.Trojan.NetWiredRC-2

    Zakładając, że ktoś posiada już taki plik, bezpieczniej będzie na wszelki przypadek dopisać do niego poleceniem:
    echo “Win.Trojan.NetWiredRC-2” >>/var/lib/clamav/local.ign2

    Restartujemy clamav i możemy przetestować (albo wysyłając plik docx, albo jak powyżej zaproponował Marek ze spakowanym do ZIP plikiem tekstowym z zawartością:
    Akapitzlist

    Rozwiązanie sprawdzone na kilku serwerach i różnych wersjach clamav. Działa.

    • telepatia :D

    • Oczywiście pamiętajcie, żeby na bieżąco śledzić aktualizacje – być może wpis:
      Win.Trojan.NetWiredRC-2
      trzeba będzie za kilka dni usunąć, jak twórcy sygnatur clamav naprawią błąd.
      Zostawienie na zawsze tej linijki może obniżyć poziom bezpieczeństwa serwera.

    • Tym bardziej, że https://twitter.com/clamav/status/738736530995351552

    • raczej: echo Win.Trojan.NetWiredRC-2 >>/var/lib/clamav/local.ign2
      Nawiasy zbędne ;)

    • Trzeba tylko uważać, by nie zostawić tego wyjątku na dłuższy czas. Ciemna strona może to wykorzystać ;)

  26. A, no tak, bo moje komentarze czekają na ew. aktywacje :) Do moderatora: można usunąć wszystkie, nie wprowadzają nic do rozmowy już

  27. Tylko jak to jest, że o problemie wszyscy trąbią, a nadal nie ma aktualizacji bazy sygnatur clamav usuwającej badziewie?

    • Problemu nie usunęli, bo sprawa dotyczy wyłącznie języka polskiego, więc zachód nie zauważył (“Akapit z listą” -> “akapitzlist”)

  28. Można też:
    8>/usr/share/clamav/local.ign2
    chown clamav:clamav /usr/share/clamav/local.ign2
    8<– EOT

    Ścieżka baz może być inna, ta jest z Qmailtoastera.

  29. Rewelacja! To powinno być na stałe!

  30. Wygląda na to, że sytuacja opanowana, u mnie załączniki .docx bez problemu przechodzą.

    • Nie jest rozwiązany bo ja wysyłałem o 9:50 z prv serwera i dalej problem występuje ( oczywiście po aktualizacji bazy sygnatur )

  31. To zemsta Europy za niepraworządność Polski. Hehe. Ciekawe jakiej narodowości był twórca wirusa.

  32. nam wstrzymal dziesiatki plikow, ale nie wszytkie… co lepsze, wsrod niektorych znalezlismy dziwne zachowania przy analizie behawioralnej, typu wyslanie kilku pakietow do NL, jakies dyrektywy dla kursora, wpisy w rejestrach, napisywanie zawartosic pamieci… a nic innego na virustotal nie wykrylo zeby plik byl zainfekowany czyms innym niz RC-2 (oczywiscie ClamAV). … wiec ja bym tak szybko nie wylaczal clamav czy tej sygnatury ;)

  33. Utworzenie zwyklego pliku tekstowego z trescia “akapitzlist” i spakowanie rowniez rodzi problem. Gmail nie zalącza pliku.

  34. z google driva też nie chciał wczoraj pobierać docx’ów bez zalogowania jako właściciel pliku, bo rzekomo wirusa znalazł :D

  35. Witam.
    Również na NAS Synology antywir Essential wypluwa wszystkie .docx jako Win.Trojan.NetWiredRC-2

    Zrzut ekranu :)
    http://genonas.ddns.net:5000/fbsharing/BT0cjoX1

  36. Czy wiadomo, kiedy problem zostanie rozwiązany?

  37. Najgorsze jest to, że do dnia dzisiejszego problem nie został rozwiązany…. false positives jak były tak są. Co robić? Jak żyć?

    • patrz komentarze wyżej

  38. Troszkę ich zdopingowałem: https://bugzilla.clamav.net/show_bug.cgi?id=11581

  39. Heh.
    SonicWall w piątek na szczęście tylko jednego maila WYCHODZĄCEGO zablokował…

  40. … od lat powtarzam korzystać z Open/Libre Office .. nie ma wtedy problemów bo windows bo mac bo linux…. zawsze i wszędzie tak samo dobrze działa i nie ma takich problemów jak z super docx itp, a do tego jest za free…

    • ale problem nie jest z dokumentami, tylko z ClamAV’em

  41. W piątek próba wysłania załącznika *.docx przez serwer interia.pl programem pocztowym generował błąd, że znaleziono wirusa w załączniku.

  42. W poniedziałek na Barracudzie SPF z definicjami z 6-6-16 z 8:31 problem nie występuje, podczas gdy clamav (na debian) definicje najnowsze problem występuje nadal

  43. wygląda na to że problem został rozwiązany…

  44. Problem nadal wystepuje, ale rozwiazanie podane powyzej dziala. Pytanie czemu ClamAV nic z tym nie robi… czy wiadomo juz czy maile w Gmailu wychodza ?

  45. gmaila wychodzą i przychodzą – moim zdaniem poprawka został wypuszczona pozostaje tylko kwestia szybkości aktualizacji…

  46. Wygląda na to, że działa, ale na virustotal ClamAV dalej zgłasza virusa. Widocznie Google dodało Win.Trojan.NetWiredRC-2 do whitelisty :P

  47. Wiadomo czy już poprawili ten bug czy nadal jest problem ?

  48. https://twitter.com/clamav/status/738739649510678528

    3 czerwca rano twierdzili, że zidentyfikowali problem i szybko go naprawią.

  49. Jak bylem na studiach (ładnych pare lat temu) i ten format wchodził to się drukowało osobom które używały go karne …. to co parkingowo-upośledzonym ;-). Niby libre/open office od lat sobie radzą z tym badziewiem ale rozszerzenie dalej mi podnosi ciśnienie

  50. Problem nadal występuje :(

  51. Wygląda na to, że niektóre pliki *.odt też sa odrzucane. Zwłaszcza te zapisane w starszych wersjach open office.

  52. a czy ktoś w zimbrze dodawał wyjątek do ignorowanych? powyższe instrukcje nie reagują.

    • Zimbra 8.5 – obejście działa – ścieżka do baz /opt/zimbra/data/clamav/db/ i tam należy plik umieścić pamiętając żeby właścicielem był użytkownik zimbra.

  53. Do tej pory nie działa, wszyscy moi znajomi mówią że nadal jest to problem..

  54. Tymczasowe dodanie wyjątku na clamav na ubuntu działa ok. Ale co z tego, skoro na innych sewerach odrzuca.

  55. 6.06.2016 17:28 baza daily.cld – sygnatura cały czas nie została usunięta

    Win.Trojan.NetWiredRC-2;Engine:51-255,Container:CL_TYPE_ZIP,Target:7;(0);616b617069747a6c697374

    Jedyne rozwiązanie to dodanie jej do whitelisty, jak pisano wyżej.

  56. U mnie na uczelni panika – maile do promotorów nie przychodzą, prace licencjackie i inne stoją w miejscu, bo jak je sprawdzić, szok i niedowierzanie, co robić, jak żyć, coraz mniej czasu do obroń itp. :) Przynajmniej internauci przychodzą z pomocą :)

  57. Nie działa, nie działa. Umowy, oferty… nic nie przeszło ani dziś, ani wczoraj.
    Dopiero eksport do PDFa pomaga.

  58. Ciekawi mnie czy to nie jest podobna sytuacja co kiedyś z Kaspersky a potem nie pamiętam z kim to było, ze do globalnego repo sygnatur dodano kilka fałszywych by sprawdzić czy producenci oprogramowania wersyfikują doniesienia czy na ślepo dodają do bazy i tyle.

    Niestety nadal nie dzial na Google (wszędzie) i o2.pl, outlook.com i onedrive nie ma problemu.

  59. ClamAV rozwiązał problem.

  60. A z Waszego doświadczenia – czy docx jest jeden, czy tak jak doc? Doce niby są różne, ale przy zapisie różnymi Ofisami do jednej grupy doców, potrafią być różnice. BTW wpadłem ostatnio na program pandoc. Pliki md podpiąłem pod niego z takimi parametrami, że generuje mi docx i otwiera w Office :) Wygoda! No, szczerze to konwertuje mi do PDF i otwiera w LibreOffice, ale chciałem się wtopić w temat docx.

  61. Dziś zacząłem otrzymywać z mojego serwera poniższe ostrzeżenia

    A virus was found: Win.Exploit.CVE_2016_3316-1
    Scanner detecting a virus: ClamAV-clamd
    Content type: Virus

    Problem dotyczy trzech adresów, podejrzewam false-positive

    • Potwierdzam dokument word .doc
      Wirus (Win.Exploit.CVE_2016_3316-1)
      oczywiście plik ok

      Barracuda SPF

    • o sieci wieść się niesie, że inni też mają problemy z tą sygnaturą.

      Podobnie jak @Ryczypiór
      echo ‘Win.Exploit.CVE_2016_3316-1’ >> local.ign2
      przeładowanie clamav i działa

  62. Problem dzisiaj znowu powrócił.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.