[solucao] Re: (linux-br) o clamav encontra um tal de Suspected.Zip em quase todos arquivos .zip que chegam.

[hamacker]

Apenas para divulgacao desse problema � lista, ele realmente � um fato e 
ja foi detectado em .zip criado com o ICEOWS (popular no mundo windows) 
e provavelmente em outros gerenciadores de .zip.
Foi feita uma corre��o na versao CVS do clamav, vejam :

Resposta de [EMAIL PROTECTED] :
>Fixed in CVS.
>
>Sat Feb  5 16:17:41 CET 2005 (tk)
>---------------------------------
> * libclamav/scanners.c: do not report Suspected.Zip on standard
>                          breaking zip archives created by
>			  ICEOWS(problem reported by Hamacker
>                          <sirhamacker*vidy.com.br> and Dirk Mueller
>                          <mueller*kde.org>)
>
>Thanks,
>
>-- oo ..... Tomasz Kojm <[EMAIL PROTECTED]> (\/)\......... 
>http://www.ClamAV.net/gpg/tkojm.gpg \..........._ 
>0DCA5A08407D5288279DB43454822DC8985A444B //\ /\ Sat Feb 5 16:22:49 CET 
>2005

Tambem foi constatato que a versao 5.50 do unzip (Conectiva 10 e outras 
distros) n�o faz uma verifica��o de inconsist�ncia muito importante que 
� feita pelo clamav. Um arquivo .zip pode conter o seguinte erro que 
ser� percebida pela versao 5.51 :
[EMAIL PROTECTED]:~/testes/original$ unzip fotos-guamare-antigas.zip
Archive:  fotos-guamare-antigas.zip
fotos/:  ucsize 67541 <> csize 0 for STORED entry
         continuing with "compressed" size value
   creating: fotos/
  inflating: fotos/mvc_001s.jpg
  (...)

Por�m a vers�o do unzip 5.50 nao gera este tipo de erro, o clamav por 
sua vez faz essa verificacao de inconsistencia e ao encontra-la rejeita 
o arquivo por inteiro em raz�o da possibilidade de ataques do tipo DoS 
em servidores de e-mail ou sistemas Unix multi-usu�rio em geral. Existem 
vermes para Windows que se aproveitam dessa caracter�stica.

A solucao ja foi feita na versao CVS do clamav 0.82 (ainda nao 
disponivel na 0.81) para nao fazer essa checagem em .zip criados por 
alguns programas.

hamacker wrote:
Ol� pessoal, gostaria de saber se alguem j� passou por esse problema.
Estou usando o clamav (ClamAV 0.80/685/Wed Jan 26 09:08:24 2005) e em
praticamente todos os arquivos .zip ele acha um virus Suspected.Zip :
---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html