[Postfixbuch-users] ClamAV: VIRUS (Suspect.PDF.ObfuscatedJS-1)

Uwe Driessen driessen at fblan.de
Mi Jul 28 15:38:11 CEST 2010



On Behalf Of Andre Tann


> Servus zusammen,
> 
> seit ein paar Tagen schlagen immer wieder auf einem meiner Mailserver
> Mails mit einem PDF-Anhang auf, die der ClamAV zurückweist mit:
> 
> 	A virus was found: Suspect.PDF.ObfuscatedJS-1
> 	Scanner detecting a virus: ClamAV-clamd
> 	Content type: Virus
> 	Internal reference code for the message is 02165-16/PlUt3UDZxkEB
> 
> Dabei handelt es sich nicht immer um das gleiche PDF, sondern es sind
> verschiedene Dateien von verschiedenen Absendern. Daß hier und da mal
> eines dabei ist, welches versucht sein mag, würde ich glauben. Die
> plötzliche Welle aber macht mich stutzig. Außerdem erkennt ein Avira die
> Datei als sauber.

Nicht jeder Antivir erkennt jeden!


> 
> Absender sind dabei fast immer bekannte Firmen, die Preislisten oder
> Dokumentationen schicken wollen, die auch angefordert wurden, also kein
> Spam oder sowas.

Das heißt aber auch nicht das deren PDF Creator in Ordnung sind.

> Ich habe daher den Verdacht, daß PDF-Dateien neuerdings Elemente
> enthalten können, die als Virus erkannt werden, aber eigentlich
> ungefährlich wären.

Würde ich mich nicht drauf verlassen zumal in den älteren Acrobat Reader Versionen immer
wieder Lücken auftauchen. (BSI guggen)

> 
> Spinnt der ClamAV? Was kann ich unternehmen, um festzustellen, ob hier
> tatsächlich eine Verseuchung vorliegt?
> 

Schon mal google gefragt? 
Das schaut für mich danach aus als ob in den Dateien ausführbarer Code/ Scripte enthalten
sind die man so eigentlich nicht versenden sollte.



Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397






Mehr Informationen über die Mailingliste Postfixbuch-users