このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

amavisd clamd ウイルスメールの誤検出回避につい このメッセージに返信する
日時: 2012/01/31 02:23
名前: sato
URL:
メールサーバーでウィルス&スパムチェック(Postfix+Clam AntiVirus+SpamAssassin)を参考にメールのウイルスチェックを稼働させていた所、MIDIファイルが添付されたメールが不達となり送受信できなくなってしまいました。
BC.Exploit.CVE_2012_0003が原因(http://www.ipa.go.jp/security/ciadr/vul/20120127-wmplayer.html)だとわかりましたが、ウイルスではない正常なMIDIファイルが添付されていてもウイルスと誤検出されメールを送受信できません。

なお、誤検出されたMIDIファイルをclamscanでスキャンすると.Exploit.CVE_2012_0003 FOUNDとなり clamscan --exclude="/.(mid|MID)$"として.mid拡張子のスキャン回避は確認できたのですが、clamavのdatabeseファイルがあるディレクトリにBC.Exploit.CVE_2012_0003と書いたexclude.ign2を置いてみたり、clamd.confにExcludePath /.(mid|MID)$ と書いたりしてみましたが、メールの添付ファイルの誤検出回避は見当外れのようで上手くいきません。

メールのウイルススキャンをするのに、BC.Exploit.CVE_2012_0003を検出しないようにするか、.mid拡張子をスキャン対象外にするかどちらかの方法を取りたいのですが、どのようにしたらよろしいでしょうか?
その他、良い方法はありますでしょうか?
よろしくお願いします。
記事編集 編集
Re: amavisd clamd ウイルスメールの誤検出回避につい このメッセージに返信する
日時: 2012/02/01 00:24
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
即効性の有る、根本的な解決にはならないかもしれませんが
今回本スレッドで話題にされているMIDIファイル
が全く悪意の有るものではないという確証
がお有りなのであれば、誤検知(False Positive)
の可能性もありますので下記ClamAVの申告サイトで申告
してみては如何でしょうか(URLを見ると一応日本語の
サイト内のコンテンツ扱いのようですが、当該ページ自体
は英語表記になっています。但し、簡単な英語が書ければ
申告方法自体は然程難しくないと思います)。

http://www.clamav.net/lang/ja/sendvirus/submit-fp/

私もまだ数回しか上記サイトを利用したことが無いのですが、
ClamAV側でFPと判断されれば、以後の定義データベース
に修正を反映してくれるようです。

既にIPAのサイトで情報をご覧になっているようですが、
2012年1月11日以降にWindows Updateを行っていれば
今回の脆弱性の影響は無いようですので、既に対処済み
であれば一時的にMIDIファイルのスキャンを無効にする
のも方法かもしれません。

どなたか詳しい方>
サポートをお願い致します。

宜しくお願い致します。

以上
記事編集 編集
Re: amavisd clamd ウイルスメールの誤検出回避につい このメッセージに返信する
日時: 2012/02/02 15:44
名前: sato
URL:
よっしーさんありがとうございます。
http://www.clamav.net/lang/ja/sendvirus/submit-fp/
こちらからサンプルファイルを添付して申告してみました。

スキャンを一時的に無効に出来れば良いのですが…勉強不足で方法がわかりません。
記事編集 編集
Re: amavisd clamd ウイルスメールの誤検出回避につい このメッセージに返信する
日時: 2012/02/02 20:33
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
clamscanをmanで調べたところ下記の記載が有りました。

--scan-mail[=yes(*)/no]
Scan mail files. If you turn off this option, the original files will still be scanned, but without parsing individual messages/attachments.

個々のメールや添付ファイルのスキャンをOFFにする形には
なってしまうようですが、上記オプションで暫定的な回避
が出来るのではないでしょうか。但し、自分では試して
いないので最終的な実施判断はご自身でお願い致します。

宜しくお願い致します。

以上
記事編集 編集
Re: amavisd clamd ウイルスメールの誤検出回避につい このメッセージに返信する
日時: 2012/02/03 00:19
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
ネットを検索したところ、下記のページが見つかりました。

http://futuremix.org/2009/11/create-virus-signature-by-clamav-sigtool

上記ページの『ホワイトリストの使用』という項目の方法が何となく
使えそうな感じです。尚、ページ内の事例ではホワイトリスト
の保存先が/usr/lib64/clamavとなっていますが、
CentOSのClamAVのパッケージであれば/var/lib/clamavだと思います。

ホワイトリストにワイルドカードで.mid拡張子を指定してあげれば
お望みの検知の除外設定が出来そうな感じもしますが・・・。

宜しくお願い致します。

以上

記事編集 編集
Re: amavisd clamd ウイルスメールの誤検出回避につい このメッセージに返信する
日時: 2012/02/03 16:45
名前: sato
URL:
よっしーさん、いろいろありがとうございます。
clamavの定義データベースで対処していただいたようで、本日データベースを更新したところ
件のファイルがウイルスだと誤検知されなくなりました。

手持ちのMIDIファイルが3万ファイル以上あり、そのうち5000ファイルほど誤検知されており、
メールでのMIDIファイルのやり取りも頻繁にあるので、どうしたものかと困っておりました。

ひとまず解決となりましたが、教えていただいたsigtoolのホワイトリストについて
http://futuremix.org/2009/11/create-virus-signature-by-clamav-sigtool
こちらをよく読んで今後の為にいかしたいと思います。

ありがとうございました。
記事編集 編集
Re: amavisd clamd ウイルスメールの誤検出回避につい このメッセージに返信する
日時: 2012/02/03 22:27
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
ひとまず解決したようで何よりです。(^o^)

私が言うセリフではないかもしれませんが、解決が
確認出来たら本スレッドを解決済みにして下さい。

宜しくお願い致します。

以上
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -