ClamaV et les PDFs

Le
JF Straeten
Chère Liste,


ClamAV n'est-il pas supposé trouver un virus encapsulé dans un PDF ?

Si j'attache la signature Eicar à un PDF, il me répond que tout va
bien


pdftk job_7660-ActiveReports_Document.pdf attach_files eicar.com output out.pdf

testclamav:/tmp# clamscan -v
Scanning /tmp/out.pdf
/tmp/out.pdf: OK

-- SCAN SUMMARY --
Known viruses: 857360
Engine version: 0.96.5
Scanned directories: 1
Scanned files: 1
Infected files: 0
Data scanned: 0.03 MB
Data read: 0.03 MB (ratio 1.14:1)
Time: 4.574 sec (0 m 4 s)

testclamav:/tmp# clamscan -v --scan-pdf=yes *
Scanning out.pdf
out.pdf: OK

-- SCAN SUMMARY --
Known viruses: 857360
Engine version: 0.96.5
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.03 MB
Data read: 0.03 MB (ratio 1.14:1)
Time: 4.582 sec (0 m 4 s)


L'histoire se passe sous Lenny, dernière version de ClamAV et base à
jour, même si pour Eicar on pourrait trouver ça secondaire

Strange, non ?


--

JFS.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20101230175049.GA7741@jones.jfs.dt
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Yves F. Barbier
Le #22972141
On Thu, 30 Dec 2010 18:50:49 +0100, "JF Straeten" wrote:

Chère Liste,
ClamAV n'est-il pas supposé trouver un virus encapsulé dans un PDF ?



Si fait, gent damoiseau.

Si j'attache la signature Eicar à un PDF, il me répond que tout va
bien...


pdftk job_7660-ActiveReports_Document.pdf attach_files eicar.com output
out.pdf



Que fait *réellement* cette Cde? (dans le détail)

testclamav:/tmp# clamscan -v
Scanning /tmp/out.pdf
/tmp/out.pdf: OK



Histoire de vérifier si ça ne serait pas clamav qui a un PB, tu p eux installer
clamav-testfiles, puis faire un:
clamscan -v /usr/share/clamav-testfiles/clam.pdf
qui doit renvoyer un positif.

...
L'histoire se passe sous Lenny, dernière version de ClamAV et base à
jour, même si pour Eicar on pourrait trouver ça secondaire...



benan: EICAR est justement fait pour tester les antivirus.

Strange, non ?



Ptêt H1N1, appelle Roselyne, elle a du rab:)

--
Linux! Guerrilla UNIX Development Venimus, Vidimus, Dolavimus.
-- Mark A. Horton KA4YBR,

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
JF Straeten
Le #22974051
Re,

On Thu, Dec 30, 2010 at 07:52:57PM +0100, Jean-Yves F. Barbier wrote:

> pdftk job_7660-ActiveReports_Document.pdf attach_files eicar.com output
> out.pdf

Que fait *réellement* cette Cde? (dans le détail)



Elle est censée attacher un fichier au PDF, au niveau du document
lui-même (pas d'une page, quoi).

Et, de fait, en regardant les fichiers joints dans Adobe Reader,
Eicar.com apparaît dans la liste, de même que les tailles sont
compatibles avec l'inclusion de l'un dans l'autre.


De man pdftk :

attach_files <attachment filenames | PROMPT> [to_page <page number |
PROMPT>]
Packs arbitrary files into a PDF using PDF's file attachment fea‐
tures. More than one attachment may be listed after attach_files.
Attachments are added at the document level unless the optional
to_page option is given, in which case the files are attached to
the given page number (the first page is 1, the final page is end).
For example:

pdftk in.pdf attach_files table1.html table2.html to_page 6 output
out.pdf


Naturellement, j'ai joins le vrai Eicar.com sans toucher à la
signature.

Quand au pdf, c'est un fichier d'une page contenant une impression de
virement bancaire (sans intérêt à mon avis).

Enfin, la commande 'unpack_files' du même pdftk permet bien de
dissocier les deux fichiers : on retrouve le pdf de départ et le
supposé vilain Eicar.



Histoire de vérifier si ça ne serait pas clamav qui a un PB, tu peux installer
clamav-testfiles, puis faire un:
clamscan -v /usr/share/clamav-testfiles/clam.pdf
qui doit renvoyer un positif.



Yep, déjà fait, et il a bon :

testclamav:~# clamscan /usr/share/clamav-testfiles/*
/usr/share/clamav-testfiles/clam.7z: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.arj: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam-aspack.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.bin-be.cpio: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.bin-le.cpio: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.bz2.zip: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.cab: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam_cache_emax.tgz: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.chm: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.d64.zip: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.ea05.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.ea06.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.exe.binhex: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.exe.bz2: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.exe.html: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.exe.mbox.base64: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.exe.mbox.uu: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.exe.rtf: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.exe.szdd: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam-fsg.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.impl.zip: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam_IScab_ext.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam_IScab_int.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam_ISmsi_ext.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam_ISmsi_int.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.mail: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam-mew.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.newc.cpio: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam-nsis.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.odc.cpio: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.ole.doc: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.pdf: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam-pespin.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam-petite.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.ppt: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.sis: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.tar.gz: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.tnef: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam-upack.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam-upx.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam-v2.rar: OK
/usr/share/clamav-testfiles/clam-v3.rar: OK
/usr/share/clamav-testfiles/clam-wwpack.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam-yc.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.zip: ClamAV-Test-File FOUND

----------- SCAN SUMMARY -----------
Known viruses: 858216
Engine version: 0.96.5
Scanned directories: 0
Scanned files: 46
Infected files: 44
Data scanned: 12.47 MB
Data read: 6.21 MB (ratio 2.01:1)
Time: 7.298 sec (0 m 7 s)


À moins que les 2 fichiers dit non infectés ne le soient en réalité ?
(Comment savoir ?)


> L'histoire se passe sous Lenny, dernière version de ClamAV et base
> à jour, même si pour Eicar on pourrait trouver ça secondaire...

benan: EICAR est justement fait pour tester les antivirus.



Oui, donc être tip top à jour pour trouver une séquence de test qui
devrait dedans de base n'est pas de première importance, si ?


> Strange, non ?

Ptêt H1N1, appelle Roselyne, elle a du rab:)



Super cool, j'adore les plans Roselyne, mais pour ClamAV, on fait
quoi ? :-)

Une bonne âme saurait essayer de reproduire le problème chez elle pour
voir ?

Merci d'avance,


--

JFS.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #22974331
On Fri, 31 Dec 2010 12:20:36 +0100, "JF Straeten" wrote:

...
Elle est censée attacher un fichier au PDF, au niveau du document
lui-même (pas d'une page, quoi).

Et, de fait, en regardant les fichiers joints dans Adobe Reader,
Eicar.com apparaît dans la liste, de même que les tailles sont
compatibles avec l'inclusion de l'un dans l'autre.



Ok, c'est donc comme un attachment sur un email; là, effectivement, c' est
calamiteux.

Tu devrais faire un bug report chez clamav.

...
À moins que les 2 fichiers dit non infectés ne le soient en r éalité ?
(Comment savoir ?)



Non: même résultats, et j'utilise aussi avast qui ne détecte pas d'EICAR
dedans non plus; donc c'est bon.

...
Une bonne âme saurait essayer de reproduire le problème chez el le pour
voir ?



je n'utilise pas pdftk.

reteste avec une autre image pour voir s'il n'y aurait pas une interraction
(Tpeu probable) et fait un report bug.

--
Knowledge is power -- knowledge shared is power lost.
-- Aleister Crowley

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
JF Straeten
Le #22974681
Re,

On Fri, Dec 31, 2010 at 01:35:01PM +0100, Jean-Yves F. Barbier wrote:

[...]
reteste avec une autre image pour voir s'il n'y aurait pas une interraction
(Tpeu probable) et fait un report bug.



Tu as raison :

x=0 ; for file in *.pdf; do pdftk $file attach_files eicar.com output
out${x}.pdf; x=$((x+1)); done

testclamav:/tmp# clamscan
/tmp/out7.pdf: OK
/tmp/out6.pdf: OK
/tmp/out5.pdf: OK
/tmp/out4.pdf: OK
/tmp/out3.pdf: OK
/tmp/out2.pdf: OK
/tmp/out1.pdf: OK
/tmp/out0.pdf: OK
/tmp/eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 858216
Engine version: 0.96.5
Scanned directories: 1
Scanned files: 9
Infected files: 1
Data scanned: 1.11 MB
Data read: 0.69 MB (ratio 1.62:1)
Time: 4.740 sec (0 m 4 s)

testclamav:/tmp# clamscan --scan-pdf=yes
/tmp/out7.pdf: OK
/tmp/out6.pdf: OK
/tmp/out5.pdf: OK
/tmp/out4.pdf: OK
/tmp/out3.pdf: OK
/tmp/out2.pdf: OK
/tmp/out1.pdf: OK
/tmp/out0.pdf: OK
/tmp/eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 858216
Engine version: 0.96.5
Scanned directories: 1
Scanned files: 9
Infected files: 1
Data scanned: 1.11 MB
Data read: 0.69 MB (ratio 1.62:1)
Time: 4.736 sec (0 m 4 s)


C'est inquiétant...

Bon, je vais faire un tour sur le site de Clamav.

Merci,

--

JFS.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #22984281
On Fri, 31 Dec 2010 14:50:17 +0100, "JF Straeten" wrote:

Au fait JF, tiens nous au courant des suites (ça m'arrive de forwarder des
pgms w$, et ça me ferait mal d'infecter la machine d'un pote.)

Merci d'avance.

JY

...
C'est inquiétant...

Bon, je vais faire un tour sur le site de Clamav.




--
If men could get pregnant, abortion would be a sacrament.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
JF Straeten
Le #22986541
Re,

On Mon, Jan 03, 2011 at 11:59:54PM +0100, Jean-Yves F. Barbier wrote:

Au fait JF, tiens nous au courant des suites (ça m'arrive de
forwarder des pgms w$, et ça me ferait mal d'infecter la machine
d'un pote.)



Of course.

(Pour l'instant, le rapport de bug est fait (#2455), mais je n'ai
encore aucun feedback.)

A+


--

JFS.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
JF Straeten
Le #23016211
On Tue, Jan 04, 2011 at 05:07:35PM +0100, JF Straeten wrote:
> Au fait JF, tiens nous au courant des suites (ça m'arrive de
> forwarder des pgms w$, et ça me ferait mal d'infecter la machine
> d'un pote.)

Of course.



Reçu ça :

Date: Fri, 7 Jan 2011 16:42:10 +0100
From:
To:
Subject: [Bug 2455] ClamAV doesn't find virus encapsulated into PDFs files
(with pdftk)

https://wwws.clamav.net/bugzilla/show_bug.cgi?id$55

Tomasz Kojm
What |Removed |Added
----------------------------------------------------------------------------
CC| |
AssignedTo| |
Target Milestone|--- |0.97

--
Configure bugmail: https://wwws.clamav.net/bugzilla/userprefs.cgi?tab=email
------- You are receiving this mail because: -------
You are on the CC list for the bug.
You reported the bug.



--

JFS.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bernard Schoenacker
Le #23016661
Le Wed, 12 Jan 2011 23:24:39 +0100,
"JF Straeten"
On Tue, Jan 04, 2011 at 05:07:35PM +0100, JF Straeten wrote:
> > Au fait JF, tiens nous au courant des suites (ça m'arrive de
> > forwarder des pgms w$, et ça me ferait mal d'infecter la machine
> > d'un pote.)
>
> Of course.

Reçu ça :

Date: Fri, 7 Jan 2011 16:42:10 +0100
From:
To:
Subject: [Bug 2455] ClamAV doesn't find virus encapsulated into PDFs
files (with pdftk)

https://wwws.clamav.net/bugzilla/show_bug.cgi?id$55

Tomasz Kojm
What |Removed |Added
------------------------------------------------------------------------- ---
CC| |
AssignedTo| |
Target Milestone|--- |0.97

--
Configure bugmail:
https://wwws.clamav.net/bugzilla/userprefs.cgi?tab=email ------- You
are receiving this mail because: ------- You are on the CC list for
the bug. You reported the bug.



Bonjour,

serait il possible de réaliser l'essai avec un bout de
signature injecté dans une image, malheureusement je doute
que clamav arrive à détecter la présence ...


slt
bernard

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
JF Straeten
Le #23017201
Re,

On Thu, Jan 13, 2011 at 08:38:23AM +0100, Bernard Schoenacker wrote:

serait il possible de réaliser l'essai avec un bout de
signature injecté dans une image, malheureusement je doute que
clamav arrive à détecter la présence ...



Faudrait essayer...

Si tu as un bout de code qui fait ça (injecter), j'ai toujours les
deux machines de test de ClamAV en place pour leur soumettre le
fichier.

A+

--

JFS.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bernard Schoenacker
Le #23017641
Le Thu, 13 Jan 2011 11:17:26 +0100,
"JF Straeten"

Re,

On Thu, Jan 13, 2011 at 08:38:23AM +0100, Bernard Schoenacker wrote:

> serait il possible de réaliser l'essai avec un bout de
> signature injecté dans une image, malheureusement je doute
> que clamav arrive à détecter la présence ...

Faudrait essayer...

Si tu as un bout de code qui fait ça (injecter), j'ai toujours les
deux machines de test de ClamAV en place pour leur soumettre le
fichier.

A+



bonjour,

pour info victor stinner a déjà réalisé ce genre d'essai et
malheureusument l'équipe en charge de clamAV ne bouge pas ses
fesses depuis plusieures années et que à un momment cela
devient trop criant ....

lien :

http://www.haypocalc.com/wiki/Mes_contributions_aux_logiciels_libres


slt
bernard

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme