3/6/2016
I znaczna część z tej sporej części nawet o tym nie wie. Zgubione “umowy”, wysłane ale nieprzyjęte (bo nieodebrane) wnioski, itp. Za wszystko to jest odpowiedzialny błąd w oprogramowaniu antywirusowym ClamAV, wykorzystywanym jako “składowa” w urządzeniach sieciowych filtrujących pocztę, ale również w popularnych serwisach pocztowych, takich jak GMail…
Oto, jak dziś rano prezentowały się e-maile z załącznikami DOCX, które jeszcze wczoraj normalnie dało się z GMaila pobrać:
Brak możliwości (chwilowego zapewne) ściągnięcia plików przez webinterface GMaila to nie problem. Gorzej, że od rana na skrzynki hostowane na GMailu, Adobe Creative Cloud, Home.pl, o2 oraz te chronione rozwiązaniami m.in. Barracuda Email Security, jak informują nasi czytelnicy, w ogóle nie dochodzą wiadomości z załącznikami DOCX (bo odrzuca je filtr antywirusowy działający najwyraźniej w oparciu o ClamAV).
Jak informuje jeden z naszych czytelników, Marek:
Wirus jest wykrywany jeśli w dokumencie jest zdefiniowany (nie musi być zastosowany) styl o nazwie “Akapit z listą”. Skutkuje to pojawieniem się w pliku word/styles.xml słowa “Akapitzlist”. I to słowo jest wykrywane jako wirus, można to sobie sprawdzić tworząc zwykły plik txt zawierający tylko napis “Akapitzlist” (bez cudzysłowów), następnie taki plik należy zzipować (dokumenty docx są w istocie plikami zip). Próba dołączenia takiego zipa do wiadomości gmaila skutkuje informacją o wirusie. Jeśli natomiast w dokumencie docx Worda nie ma stylu “Akapit z listą”, to “wirus” nie jest wykrywany.
Korzystam z/czekam na Worda — co robić, jak żyć?
Jeśli czekacie na jakiegoś “Worda” (umowę, zamówienie, itp.) to upewnijcie się, że nie został on odfiltrowany. Nadawca wcale nie musiał zostać poinformowany o fakcie odrzucenia pliku przez Wasze serwery i żyje w błogiej nieświadomości. Wszystko wskazuje na to, że problem występuje od wczorajszego wieczora do chwili obecnej włącznie.
Antywirusa można oszukać na 2 sposoby. Przesłać zaszyfrowaną wiadomość, albo zapisać plik Worda jako DOC (nie DOCX).
PS. Problemem też zostały dotknięte czaty na FB. I to pewnie nie wszystkie ofiary false-positive’a w ClamAV. Jeśli znacie inne, podeślijcie w komentarzach.
Najlepszym antywirusem jest wzrok z aktywnym połączeniem z umysłem.
Zapraszam do mnie dziennie przechodzi mi ponad 5000 e-maili przez serwer, to sobie popatrzysz, pomyslisz i ogarniesz. Niestety pomyłki sie zdarzają i będą zdarzać.
I co, myślisz że w Google będzie siedzieć osoba i czytać wszystkich maile?
Użytkownicy oczekują odfiltrowania pewnej ilości wirusów.
Jedno z tymczasowych rozwiązań: wysyłać dokumenty zapisane jako doc, nie docx (czyli “Dokument programu Word 97-2003”).
2 sposob to zapakowac do archiwum z haslem
Trzeci sposób, nie używać płatnych pakietów biurowych i wysyłać jako .odt (LibreOffice/OpenOffice) tudzież .pdf jak nie ma potrzeby edycji.
„Jedno z tymczasowych rozwiązań: wysyłać dokumenty zapisane jako doc”
„albo zapisać plik Worda jako DOC”
Sprawdzone, czy działa?
Bo jeśli myk ze stringiem w txt + zip ma być fałszywie wykrywany jako wirus, to „doc” tak dość mechanicznie też nie powinien być ratunkiem (chyba że inaczej koduje znaki / nazywa feralny styl).
doc a docx to 2 zupełnie różne formaty.
A Gmail nie blokuje archiwów z hasłem?
Ok, a kiedy napiszecie coś o ataku na Team Viewer – bo firma twierdzi że był tylko DDoS ale ludzie wypisują że poginęły im pieniądze z PayPala i możliwe że zostały wykorzystane skradzione wcześniej hasła do wielu różnych serwisów a TV był tylko “narzędziem” do użycia tych danych? Co w ogóle sądzicie o takich programach jak Team Viewer.
To i jeszcze nowe ransomware Cerber najwyraźniej pochodzące od “braci ze wschodu”.
No i się okazuje że forum o Doomie jest lepszym źródłem wiedzy o bezpieczeństwie komputerowym niż NB:
http://forum.zdoom.org/viewtopic.php?f=12&t=52345 <– Cerber
http://forum.zdoom.org/viewtopic.php?f=12&t=52362 <– TeamViewer.
Webdpl też odnotowuje ten problem
https://twitter.com/webdpl/status/738685471853817856
Jeśli zapiszemy plik jako DOC zamiast DOCX to wszystko przechodzi !
Problem dotyczy też poczty Windows 10 i Dysku Google.
Nie do tyczy poczty Windows 10 a jedynie skrzynek, które tam masz ustawione.
Ja używam Outlooka i one drive i tam wszystko działa poprawnie.
Wysyłanie dokumentu DOC – najlepszy sposób na włam do wysyłającego. Sami zresztą o tym kiedyś pisaliście.
A teraz clue – bardzo często spotykam się z przypadkiem, że pani A wysyła pani B dokument DOC mailem przez zewnętrzną pocztę pomimo, że siedzą obok siebie i mają dostęp do własnego serwera plików w firmie…
Mógłbyś wskazać źródło tego artykułu o niebezpieczeństwie .doc?
Dokładnie, też mam takie doświadczenia, część userów nie może odwyknąć od używania zewnętrznego e-maila do wszystkiego, krążą więc w sieci wte i we wte niepotrzebnie hurtowe ilości plików Office, tworząc pretekst do false positivów.
… a z zachowań bez bezpośredniego związku z office, to dobija mnie jak widzę blokowanie poczty kilkudziesięciomegowymi załącznikami forwardowanymi sobie w najlepsze, bo to “takie wygodne”…
Jeśli chodzi o serwery poczty to na listę należy dopisać wszystkie instalacje Zimbra, które też używają ClamAV.
Problem dotyczy także plików przechowywanych an Google Drive – nie można ich pobrać ani pojedynczo, ani zipując folder
Poczta na Interii zachowuje się tak samo: uniemożliwia załadowanie pliku z rozszerzeniem .docx
Ciekawostka: Google, Facebook i inni korzystają po prostu z virustotal, a nie bezpośrednio z clamav czy innych.
Jakieś źródło tych informacji o wielce oświecony?
Źródło?
@Marek: Google jest przecież właścicielem VirusTotal, to po co źródło.
Złośliwie powiem, że po raz pierwszy na VirusTotal ClamAV wyprzedził konkurencję :>
Na własnej instancji clamava można dodać do ignorowanych sygnaturę Win.Trojan.NetWiredRC-2
http://pig.made-it.com/clamav.html
na Home.pl problem nie występuje.
Dla adminów: najprawdopodobniej nazwa wadliwej regułki, do dodania do whitelist: Win.Trojan.NetWiredRC-2
heh Win.Trojan.NetWiredRC-2, na screenie jest ;), ok, nie ma sensu publikować poprzedniego, proszę nie publikować tego i poprzedniego komentarza
:D Jeden błąd w sygnaturze i świat nie może przesyłać plików docx – facebook, maile, cloud (dysk google potwierdzony, a inne?) Swoja droga to calkiem niezły paraliż mogłoby wywołać, gdyby do tego dołączyc pdf, xlsx itp :P
Jeśli ktoś ma własny serwer z clamav jako av może tymczasowo wyłączyć sprawdzanie sygnatury tworząc plik .ign2 w katalogu z bazą danych clamav, np:
/var/db/clamav/ignorelist.ign2 (folder dla freebsd, folder bazy można sprawdzić clamconf -n)
a w środku:
Win.Trojan.NetWiredRC-2
Działa z clamav 0.95.1>
Oczywiście nie jest to dobre rozwiązanie, ale oprócz tego można:
– zmienić AV na inny
– wyrzucić w ogóle sprawdzanie fw.
– zacisnąć zęby i czekać na globalną poprawkę
Wybór należy do Was
pulsko to nie caly swiat
swiat ma w dupie problemy nic nie znaczacego panstewka na koncu jewropy
Zaczepilem ClamAV na Twitterze i:
“@pczajkowski huh, that’s an odd coincidence. That signature is a size/md5 match.”
przy okazji wiadomo kto korzysta z silnika i baz clamav.
mam to samo…nie mogę wysłać pracy licencjackiej swojej promotorce przez pocztę na interii, ani przez fb :P tragedia
Użyj “zapisz jako”, wybierz inny format pliku, np .doc (wcześniejsza wersja Word), i spróbuj przesłać taką wersję.
Szkoda że uczelnia nie zrobiła Wam poczty wewnętrznej (adresy mailowe w ich domenie) lub jakiegoś niezależnego od emaila mechanizmu uploadu plików. No ale na to nie masz wpływu, więc spróbuj podanego obejścia.
Możesz też zgłaszać to jako problem do pomocy technicznej dostawcy poczty (swojej – interia, i promotorki – sprawdź gdzie ma maila).
I raczej nie wysyłaj pracy przez fejsa, to serwis utrzymujący się z profilowania użytkowników i z reklam, więc nie chcesz powierzać mu swojej własności intelektualnej / formalnej korespondencji.
Ja mam pocztę na uczelni we własnej domenie. Tyle, że obsługuje ją… Google.
Exchange Online – zero kłopotów. PS. Ktos poruszyl temat TV – radziłbym uważać.
Chyba palec, bo żadnej takiej informacji nie mogę odszukać.
w /var/lib/clamav
tworzymy plik z rozszerzeniem ign2 z zawartością:
Win.Trojan.NetWiredRC-2, [ENTER}
restart clamd
już wczoraj wieczorem był problem z docx
Jako obejście problemu dla osób, które korzystają z clamav:
wystarczy utworzyć plik local.ign2
Od początku:
1. sprawdzamy, gdzie clamav trzyma bazy:
clamconf | grep “Database directory”
Otrzymamy jako wynik ścieżkę np: /usr/share/clamav lub /var/lib/clamav (ścieżka będzie się różniła w zależności od dystrybucji)
2. w katalogu, który uzyskamy, tworzymy plik z zawartością:
Win.Trojan.NetWiredRC-2
Zakładając, że ktoś posiada już taki plik, bezpieczniej będzie na wszelki przypadek dopisać do niego poleceniem:
echo “Win.Trojan.NetWiredRC-2” >>/var/lib/clamav/local.ign2
Restartujemy clamav i możemy przetestować (albo wysyłając plik docx, albo jak powyżej zaproponował Marek ze spakowanym do ZIP plikiem tekstowym z zawartością:
Akapitzlist
Rozwiązanie sprawdzone na kilku serwerach i różnych wersjach clamav. Działa.
telepatia :D
Oczywiście pamiętajcie, żeby na bieżąco śledzić aktualizacje – być może wpis:
Win.Trojan.NetWiredRC-2
trzeba będzie za kilka dni usunąć, jak twórcy sygnatur clamav naprawią błąd.
Zostawienie na zawsze tej linijki może obniżyć poziom bezpieczeństwa serwera.
Tym bardziej, że https://twitter.com/clamav/status/738736530995351552
raczej: echo Win.Trojan.NetWiredRC-2 >>/var/lib/clamav/local.ign2
Nawiasy zbędne ;)
Trzeba tylko uważać, by nie zostawić tego wyjątku na dłuższy czas. Ciemna strona może to wykorzystać ;)
A, no tak, bo moje komentarze czekają na ew. aktywacje :) Do moderatora: można usunąć wszystkie, nie wprowadzają nic do rozmowy już
Tylko jak to jest, że o problemie wszyscy trąbią, a nadal nie ma aktualizacji bazy sygnatur clamav usuwającej badziewie?
Problemu nie usunęli, bo sprawa dotyczy wyłącznie języka polskiego, więc zachód nie zauważył (“Akapit z listą” -> “akapitzlist”)
Można też:
8>/usr/share/clamav/local.ign2
chown clamav:clamav /usr/share/clamav/local.ign2
8<– EOT
Ścieżka baz może być inna, ta jest z Qmailtoastera.
Rewelacja! To powinno być na stałe!
Wygląda na to, że sytuacja opanowana, u mnie załączniki .docx bez problemu przechodzą.
Nie jest rozwiązany bo ja wysyłałem o 9:50 z prv serwera i dalej problem występuje ( oczywiście po aktualizacji bazy sygnatur )
To zemsta Europy za niepraworządność Polski. Hehe. Ciekawe jakiej narodowości był twórca wirusa.
nam wstrzymal dziesiatki plikow, ale nie wszytkie… co lepsze, wsrod niektorych znalezlismy dziwne zachowania przy analizie behawioralnej, typu wyslanie kilku pakietow do NL, jakies dyrektywy dla kursora, wpisy w rejestrach, napisywanie zawartosic pamieci… a nic innego na virustotal nie wykrylo zeby plik byl zainfekowany czyms innym niz RC-2 (oczywiscie ClamAV). … wiec ja bym tak szybko nie wylaczal clamav czy tej sygnatury ;)
Utworzenie zwyklego pliku tekstowego z trescia “akapitzlist” i spakowanie rowniez rodzi problem. Gmail nie zalącza pliku.
z google driva też nie chciał wczoraj pobierać docx’ów bez zalogowania jako właściciel pliku, bo rzekomo wirusa znalazł :D
Witam.
Również na NAS Synology antywir Essential wypluwa wszystkie .docx jako Win.Trojan.NetWiredRC-2
Zrzut ekranu :)
http://genonas.ddns.net:5000/fbsharing/BT0cjoX1
Czy wiadomo, kiedy problem zostanie rozwiązany?
Najgorsze jest to, że do dnia dzisiejszego problem nie został rozwiązany…. false positives jak były tak są. Co robić? Jak żyć?
patrz komentarze wyżej
Troszkę ich zdopingowałem: https://bugzilla.clamav.net/show_bug.cgi?id=11581
Heh.
SonicWall w piątek na szczęście tylko jednego maila WYCHODZĄCEGO zablokował…
… od lat powtarzam korzystać z Open/Libre Office .. nie ma wtedy problemów bo windows bo mac bo linux…. zawsze i wszędzie tak samo dobrze działa i nie ma takich problemów jak z super docx itp, a do tego jest za free…
ale problem nie jest z dokumentami, tylko z ClamAV’em
W piątek próba wysłania załącznika *.docx przez serwer interia.pl programem pocztowym generował błąd, że znaleziono wirusa w załączniku.
W poniedziałek na Barracudzie SPF z definicjami z 6-6-16 z 8:31 problem nie występuje, podczas gdy clamav (na debian) definicje najnowsze problem występuje nadal
wygląda na to że problem został rozwiązany…
Problem nadal wystepuje, ale rozwiazanie podane powyzej dziala. Pytanie czemu ClamAV nic z tym nie robi… czy wiadomo juz czy maile w Gmailu wychodza ?
gmaila wychodzą i przychodzą – moim zdaniem poprawka został wypuszczona pozostaje tylko kwestia szybkości aktualizacji…
Wygląda na to, że działa, ale na virustotal ClamAV dalej zgłasza virusa. Widocznie Google dodało Win.Trojan.NetWiredRC-2 do whitelisty :P
Wiadomo czy już poprawili ten bug czy nadal jest problem ?
https://twitter.com/clamav/status/738739649510678528
3 czerwca rano twierdzili, że zidentyfikowali problem i szybko go naprawią.
Jak bylem na studiach (ładnych pare lat temu) i ten format wchodził to się drukowało osobom które używały go karne …. to co parkingowo-upośledzonym ;-). Niby libre/open office od lat sobie radzą z tym badziewiem ale rozszerzenie dalej mi podnosi ciśnienie
Problem nadal występuje :(
Wygląda na to, że niektóre pliki *.odt też sa odrzucane. Zwłaszcza te zapisane w starszych wersjach open office.
a czy ktoś w zimbrze dodawał wyjątek do ignorowanych? powyższe instrukcje nie reagują.
Zimbra 8.5 – obejście działa – ścieżka do baz /opt/zimbra/data/clamav/db/ i tam należy plik umieścić pamiętając żeby właścicielem był użytkownik zimbra.
Do tej pory nie działa, wszyscy moi znajomi mówią że nadal jest to problem..
Tymczasowe dodanie wyjątku na clamav na ubuntu działa ok. Ale co z tego, skoro na innych sewerach odrzuca.
6.06.2016 17:28 baza daily.cld – sygnatura cały czas nie została usunięta
Win.Trojan.NetWiredRC-2;Engine:51-255,Container:CL_TYPE_ZIP,Target:7;(0);616b617069747a6c697374
Jedyne rozwiązanie to dodanie jej do whitelisty, jak pisano wyżej.
U mnie na uczelni panika – maile do promotorów nie przychodzą, prace licencjackie i inne stoją w miejscu, bo jak je sprawdzić, szok i niedowierzanie, co robić, jak żyć, coraz mniej czasu do obroń itp. :) Przynajmniej internauci przychodzą z pomocą :)
Nie działa, nie działa. Umowy, oferty… nic nie przeszło ani dziś, ani wczoraj.
Dopiero eksport do PDFa pomaga.
Ciekawi mnie czy to nie jest podobna sytuacja co kiedyś z Kaspersky a potem nie pamiętam z kim to było, ze do globalnego repo sygnatur dodano kilka fałszywych by sprawdzić czy producenci oprogramowania wersyfikują doniesienia czy na ślepo dodają do bazy i tyle.
Niestety nadal nie dzial na Google (wszędzie) i o2.pl, outlook.com i onedrive nie ma problemu.
ClamAV rozwiązał problem.
A z Waszego doświadczenia – czy docx jest jeden, czy tak jak doc? Doce niby są różne, ale przy zapisie różnymi Ofisami do jednej grupy doców, potrafią być różnice. BTW wpadłem ostatnio na program pandoc. Pliki md podpiąłem pod niego z takimi parametrami, że generuje mi docx i otwiera w Office :) Wygoda! No, szczerze to konwertuje mi do PDF i otwiera w LibreOffice, ale chciałem się wtopić w temat docx.
Dziś zacząłem otrzymywać z mojego serwera poniższe ostrzeżenia
A virus was found: Win.Exploit.CVE_2016_3316-1
Scanner detecting a virus: ClamAV-clamd
Content type: Virus
Problem dotyczy trzech adresów, podejrzewam false-positive
Potwierdzam dokument word .doc
Wirus (Win.Exploit.CVE_2016_3316-1)
oczywiście plik ok
Barracuda SPF
o sieci wieść się niesie, że inni też mają problemy z tą sygnaturą.
Podobnie jak @Ryczypiór
echo ‘Win.Exploit.CVE_2016_3316-1’ >> local.ign2
przeładowanie clamav i działa
Problem dzisiaj znowu powrócił.