[Postfixbuch-users] ClamAV: VIRUS (Suspect.PDF.ObfuscatedJS-1)

[Ralf Hildebrandt]

* Andre Tann <atann at alphasrv.net>:
> Servus zusammen,
> 
> seit ein paar Tagen schlagen immer wieder auf einem meiner Mailserver
> Mails mit einem PDF-Anhang auf, die der ClamAV zurückweist mit:
> 
> 	A virus was found: Suspect.PDF.ObfuscatedJS-1
> 	Scanner detecting a virus: ClamAV-clamd
> 	Content type: Virus
> 	Internal reference code for the message is 02165-16/PlUt3UDZxkEB
> 
> Dabei handelt es sich nicht immer um das gleiche PDF, sondern es sind
> verschiedene Dateien von verschiedenen Absendern. Daß hier und da mal
> eines dabei ist, welches versucht sein mag, würde ich glauben. Die
> plötzliche Welle aber macht mich stutzig. Außerdem erkennt ein Avira die
> Datei als sauber.
> 
> Absender sind dabei fast immer bekannte Firmen, die Preislisten oder
> Dokumentationen schicken wollen, die auch angefordert wurden, also kein
> Spam oder sowas.
> Ich habe daher den Verdacht, daß PDF-Dateien neuerdings Elemente
> enthalten können, die als Virus erkannt werden, aber eigentlich
> ungefährlich wären.
> 
> Spinnt der ClamAV? Was kann ich unternehmen, um festzustellen, ob hier
> tatsächlich eine Verseuchung vorliegt? 

Na wird wohl ein FP sein.
Steht ja auch nicht VIRUS da sondern "Suspect".

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de