depuis environ 1h30 mon serveur de messagerie reçoit des mails arrivants
avec des pièces jointes au format pif (my_details.pif, document.pif,
your_document.pif ...).
Le firewall avec sa base antivirale à jour laisse passer, l'antivirus à
jour du serveur de messagerie ne dit rien (norton for exchange), ce
n'est que parce que j'ai interdit toute pièce jointe de type executable
(exe, com, pif et compagnie) que les fichiers sont détruit.
D'après mes études faites au pifomètre, Kaspersky est parmi les plus rapides des éditeurs commerciaux, mais ce n'est pas forcément suffisant (hier, les maj étaient disponibles vers 13H, soit au moins 12 heures après les premiers exemplaires de Netsky.d et 4 heures après le début des envois massifs).
Trend Micro a mis Interscan à jour vers 13H00 aussi....
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les éventuels inconvénients (lesquels ?) de ce produit ?
En second antivirus, peut-être. Ici, nous en avons un sur le firewall et un sur le mail server ; actuellement, ce sont les mêmes. Ce serait utile qu'un des deux soit de type Clam, et l'autre plus pro.
__
F.
"Nicob" <nicob@I.hate.spammers.com> a écrit dans le message de
news:pan.2004.03.02.07.44.31.68203@I.hate.spammers.com...
D'après mes études faites au pifomètre, Kaspersky est parmi les plus
rapides des éditeurs commerciaux, mais ce n'est pas forcément suffisant
(hier, les maj étaient disponibles vers 13H, soit au moins 12 heures
après les premiers exemplaires de Netsky.d et 4 heures après le début
des envois massifs).
Trend Micro a mis Interscan à jour vers 13H00 aussi....
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les
éventuels inconvénients (lesquels ?) de ce produit ?
En second antivirus, peut-être.
Ici, nous en avons un sur le firewall et un sur le mail server ;
actuellement, ce sont les mêmes. Ce serait utile qu'un des deux soit de type
Clam, et l'autre plus pro.
D'après mes études faites au pifomètre, Kaspersky est parmi les plus rapides des éditeurs commerciaux, mais ce n'est pas forcément suffisant (hier, les maj étaient disponibles vers 13H, soit au moins 12 heures après les premiers exemplaires de Netsky.d et 4 heures après le début des envois massifs).
Trend Micro a mis Interscan à jour vers 13H00 aussi....
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les éventuels inconvénients (lesquels ?) de ce produit ?
En second antivirus, peut-être. Ici, nous en avons un sur le firewall et un sur le mail server ; actuellement, ce sont les mêmes. Ce serait utile qu'un des deux soit de type Clam, et l'autre plus pro.
__
F.
Nicob
On Tue, 02 Mar 2004 08:54:13 +0100, Faelan wrote:
Trend Micro a mis Interscan à jour vers 13H00 aussi....
Yep, et Symantec vers 15H00.
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les éventuels inconvénients (lesquels ?) de ce produit ?
En second antivirus, peut-être.
C'est en tant que "troisième" que je l'étudie :)
Nicob
On Tue, 02 Mar 2004 08:54:13 +0100, Faelan wrote:
Trend Micro a mis Interscan à jour vers 13H00 aussi....
Yep, et Symantec vers 15H00.
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les
éventuels inconvénients (lesquels ?) de ce produit ?
Trend Micro a mis Interscan à jour vers 13H00 aussi....
Yep, et Symantec vers 15H00.
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les éventuels inconvénients (lesquels ?) de ce produit ?
En second antivirus, peut-être.
C'est en tant que "troisième" que je l'étudie :)
Nicob
Frederic Bonroy
Nicob wrote:
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les éventuels inconvénients (lesquels ?) de ce produit ?
Je ne l'ai pas encore regardé de près. Mais à lire la documentation etc. il est évident qu'il s'agit d'une simple recherche de chaînes d'octets, avec des expressions régulières pour détecter les virus polymorphes. C'est très optimiste, naïf quoi.
Théoriquement il y a donc possibilité de provoquer une fausse alerte en créant un fichier qui contient une telle chaîne d'octets...
Nicob wrote:
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les
éventuels inconvénients (lesquels ?) de ce produit ?
Je ne l'ai pas encore regardé de près. Mais à lire la documentation etc.
il est évident qu'il s'agit d'une simple recherche de chaînes
d'octets, avec des expressions régulières pour détecter les virus
polymorphes. C'est très optimiste, naïf quoi.
Théoriquement il y a donc possibilité de provoquer une fausse alerte en
créant un fichier qui contient une telle chaîne d'octets...
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les éventuels inconvénients (lesquels ?) de ce produit ?
Je ne l'ai pas encore regardé de près. Mais à lire la documentation etc. il est évident qu'il s'agit d'une simple recherche de chaînes d'octets, avec des expressions régulières pour détecter les virus polymorphes. C'est très optimiste, naïf quoi.
Théoriquement il y a donc possibilité de provoquer une fausse alerte en créant un fichier qui contient une telle chaîne d'octets...
Roland Garcia
On Mon, 01 Mar 2004 23:11:50 +0100, Frederic Bonroy wrote:
Oui, désolé de le dire, mais Clamav est ce que j'appellerais un antivirus "naïf".
D'ailleurs, je me pose des questions sur une utilisation professionnelle de cet antivirus.
Gagner 1 à 6 heures sur les mises à jour lors d'épidémies massives et ultra-rapides, ça m'intéresse très clairement. Mais avoir des faux-positifs (par exemple) est quelque chose que je ne peux me permettre.
D'après mes études faites au pifomètre, Kaspersky est parmi les plus rapides des éditeurs commerciaux, mais ce n'est pas forcément suffisant (hier, les maj étaient disponibles vers 13H, soit au moins 12 heures après les premiers exemplaires de Netsky.d et 4 heures après le début des envois massifs).
J-chkmail détectait Netsky.d à la première seconde, c'est encore mieux que Clamav et c'est amha la base.
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les éventuels inconvénients (lesquels ?) de ce produit ?
Nul doute que Clamav arriverait en bon dernier dans un test anti-virus. Ca l'exclut sur un poste de travail (faux positifs, détection des virus polymorphes quasi-nulle) mais il peut être intéressant dans une passerelle de messagerie contre les diffusions massives car: - la réactivité de Clamav est excellente. - cela ne concerne qu'un petit nombre de malwares. - les derniers vers à la mode ne présentent aucune difficulté de détection. - les faux positifs sur les exécutables ne sont plus un problème.
Roland Garcia
On Mon, 01 Mar 2004 23:11:50 +0100, Frederic Bonroy wrote:
Oui, désolé de le dire, mais Clamav est ce que j'appellerais un
antivirus "naïf".
D'ailleurs, je me pose des questions sur une utilisation professionnelle
de cet antivirus.
Gagner 1 à 6 heures sur les mises à jour lors d'épidémies massives et
ultra-rapides, ça m'intéresse très clairement. Mais avoir des
faux-positifs (par exemple) est quelque chose que je ne peux me permettre.
D'après mes études faites au pifomètre, Kaspersky est parmi les plus
rapides des éditeurs commerciaux, mais ce n'est pas forcément suffisant
(hier, les maj étaient disponibles vers 13H, soit au moins 12 heures
après les premiers exemplaires de Netsky.d et 4 heures après le début
des envois massifs).
J-chkmail détectait Netsky.d à la première seconde, c'est encore mieux
que Clamav et c'est amha la base.
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les
éventuels inconvénients (lesquels ?) de ce produit ?
Nul doute que Clamav arriverait en bon dernier dans un test anti-virus.
Ca l'exclut sur un poste de travail (faux positifs, détection des virus
polymorphes quasi-nulle) mais il peut être intéressant dans une
passerelle de messagerie contre les diffusions massives car:
- la réactivité de Clamav est excellente.
- cela ne concerne qu'un petit nombre de malwares.
- les derniers vers à la mode ne présentent aucune difficulté de détection.
- les faux positifs sur les exécutables ne sont plus un problème.
On Mon, 01 Mar 2004 23:11:50 +0100, Frederic Bonroy wrote:
Oui, désolé de le dire, mais Clamav est ce que j'appellerais un antivirus "naïf".
D'ailleurs, je me pose des questions sur une utilisation professionnelle de cet antivirus.
Gagner 1 à 6 heures sur les mises à jour lors d'épidémies massives et ultra-rapides, ça m'intéresse très clairement. Mais avoir des faux-positifs (par exemple) est quelque chose que je ne peux me permettre.
D'après mes études faites au pifomètre, Kaspersky est parmi les plus rapides des éditeurs commerciaux, mais ce n'est pas forcément suffisant (hier, les maj étaient disponibles vers 13H, soit au moins 12 heures après les premiers exemplaires de Netsky.d et 4 heures après le début des envois massifs).
J-chkmail détectait Netsky.d à la première seconde, c'est encore mieux que Clamav et c'est amha la base.
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les éventuels inconvénients (lesquels ?) de ce produit ?
Nul doute que Clamav arriverait en bon dernier dans un test anti-virus. Ca l'exclut sur un poste de travail (faux positifs, détection des virus polymorphes quasi-nulle) mais il peut être intéressant dans une passerelle de messagerie contre les diffusions massives car: - la réactivité de Clamav est excellente. - cela ne concerne qu'un petit nombre de malwares. - les derniers vers à la mode ne présentent aucune difficulté de détection. - les faux positifs sur les exécutables ne sont plus un problème.
Roland Garcia
Laurent Wacrenier
Nicob écrit:
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les éventuels inconvénients (lesquels ?) de ce produit ?
On ne m'a rapporté qu'un seul faux positif sur des millions de messages scannés (en fait un fichier ZIP contenant une image BMP très compressée et détecté comme suspect, ça s'est résolu en augmentant le taux limite de compression). Si tu rencontre un faux positif, il y a une page web pour l'annoncer et ils devraient en tenir compte.
Les inconveniants que je vois c'est qu'il a tendance à planter de temps à autre et que l'analyse MIME est parfois douteuse, mais ça s'arrange avec le temps.
Sinon, comme autre avantage, c'est qu'il est rapide.
Nicob <nicob@I.hate.spammers.com> écrit:
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les
éventuels inconvénients (lesquels ?) de ce produit ?
On ne m'a rapporté qu'un seul faux positif sur des millions de
messages scannés (en fait un fichier ZIP contenant une image BMP très
compressée et détecté comme suspect, ça s'est résolu en augmentant le
taux limite de compression). Si tu rencontre un faux positif, il y a
une page web pour l'annoncer et ils devraient en tenir compte.
Les inconveniants que je vois c'est qu'il a tendance à planter de
temps à autre et que l'analyse MIME est parfois douteuse, mais ça
s'arrange avec le temps.
Sinon, comme autre avantage, c'est qu'il est rapide.
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les éventuels inconvénients (lesquels ?) de ce produit ?
On ne m'a rapporté qu'un seul faux positif sur des millions de messages scannés (en fait un fichier ZIP contenant une image BMP très compressée et détecté comme suspect, ça s'est résolu en augmentant le taux limite de compression). Si tu rencontre un faux positif, il y a une page web pour l'annoncer et ils devraient en tenir compte.
Les inconveniants que je vois c'est qu'il a tendance à planter de temps à autre et que l'analyse MIME est parfois douteuse, mais ça s'arrange avec le temps.
Sinon, comme autre avantage, c'est qu'il est rapide.
Nicob
On Tue, 02 Mar 2004 11:13:50 +0100, Roland Garcia wrote:
J-chkmail détectait Netsky.d à la première seconde, c'est encore mieux que Clamav et c'est amha la base.
Par le bloquage des PJ exécutables ? Si la réponse est NON, ça m'intéresse si tu détailles ...
Nicob
On Tue, 02 Mar 2004 11:13:50 +0100, Roland Garcia wrote:
J-chkmail détectait Netsky.d à la première seconde, c'est encore mieux
que Clamav et c'est amha la base.
Par le bloquage des PJ exécutables ?
Si la réponse est NON, ça m'intéresse si tu détailles ...
On Mon, 01 Mar 2004 23:11:50 +0100, Frederic Bonroy wrote:
Oui, désolé de le dire, mais Clamav est ce que j'appellerais un antivirus "naïf".
D'ailleurs, je me pose des questions sur une utilisation professionnelle de cet antivirus.
Gagner 1 à 6 heures sur les mises à jour lors d'épidémies massives et ultra-rapides, ça m'intéresse très clairement.
Dans ce cas il faut impérativement une mise à jour automatique toutes les heures. Si la MAJ est manuelle elle arrivera trop tard.
Roland Garcia
Laurent Wacrenier
Roland Garcia écrit:
J-chkmail détectait Netsky.d à la première seconde, c'est encore mieux que Clamav et c'est amha la base.
La suppression de pièces jointes suffixées de telle ou telle manière n'est pas une solution universellement acceptable et d'autre part, on peut, sans plus de difficulté qu'un peu de réflexion, passer au travers d'une implémentation naïve.
Roland Garcia <roland-garcia@wanadoo.fr> écrit:
J-chkmail détectait Netsky.d à la première seconde, c'est encore mieux
que Clamav et c'est amha la base.
La suppression de pièces jointes suffixées de telle ou telle manière
n'est pas une solution universellement acceptable et d'autre part, on
peut, sans plus de difficulté qu'un peu de réflexion, passer au
travers d'une implémentation naïve.
J-chkmail détectait Netsky.d à la première seconde, c'est encore mieux que Clamav et c'est amha la base.
La suppression de pièces jointes suffixées de telle ou telle manière n'est pas une solution universellement acceptable et d'autre part, on peut, sans plus de difficulté qu'un peu de réflexion, passer au travers d'une implémentation naïve.
Roland Garcia
On Tue, 02 Mar 2004 11:13:50 +0100, Roland Garcia wrote:
J-chkmail détectait Netsky.d à la première seconde, c'est encore mieux que Clamav et c'est amha la base.
Par le bloquage des PJ exécutables ?
Oui.
Roland Garcia
On Tue, 02 Mar 2004 11:13:50 +0100, Roland Garcia wrote:
J-chkmail détectait Netsky.d à la première seconde, c'est encore mieux
que Clamav et c'est amha la base.
On Tue, 02 Mar 2004 11:13:50 +0100, Roland Garcia wrote:
J-chkmail détectait Netsky.d à la première seconde, c'est encore mieux que Clamav et c'est amha la base.
Par le bloquage des PJ exécutables ?
Oui.
Roland Garcia
Roland Garcia
Roland Garcia écrit:
J-chkmail détectait Netsky.d à la première seconde, c'est encore mieux que Clamav et c'est amha la base.
La suppression de pièces jointes suffixées de telle ou telle manière n'est pas une solution universellement acceptable
Pour les suffixes exécutables si. Il n'y a pas besoin de mise à jour et une étude sur plusieurs centaines de milliers de message montre que le taux de fausses alertes est équivalent à celui des bons anti-virus: http://www.cnrs.fr/Infosecu/num41.pdf
Ca tourne chez moi et pas mal d'administrations depuis de nombreux mois et personne n'y voit d'inconvénient (un envoi d'EXE volontaire est toujours commenté et peut donc toujours être zippé).
et d'autre part, on peut, sans plus de difficulté qu'un peu de réflexion, passer au travers d'une implémentation naïve.
L'implémentation n'est pas naïve, il filtre même les messages envoyés en plusieurs fois. http://j-chkmail.ensmp.fr/
Roland Garcia
Roland Garcia <roland-garcia@wanadoo.fr> écrit:
J-chkmail détectait Netsky.d à la première seconde, c'est encore mieux
que Clamav et c'est amha la base.
La suppression de pièces jointes suffixées de telle ou telle manière
n'est pas une solution universellement acceptable
Pour les suffixes exécutables si. Il n'y a pas besoin de mise à jour et
une étude sur plusieurs centaines de milliers de message montre que le
taux de fausses alertes est équivalent à celui des bons anti-virus:
http://www.cnrs.fr/Infosecu/num41.pdf
Ca tourne chez moi et pas mal d'administrations depuis de nombreux mois
et personne n'y voit d'inconvénient (un envoi d'EXE volontaire est
toujours commenté et peut donc toujours être zippé).
et d'autre part, on
peut, sans plus de difficulté qu'un peu de réflexion, passer au
travers d'une implémentation naïve.
L'implémentation n'est pas naïve, il filtre même les messages envoyés en
plusieurs fois.
http://j-chkmail.ensmp.fr/
J-chkmail détectait Netsky.d à la première seconde, c'est encore mieux que Clamav et c'est amha la base.
La suppression de pièces jointes suffixées de telle ou telle manière n'est pas une solution universellement acceptable
Pour les suffixes exécutables si. Il n'y a pas besoin de mise à jour et une étude sur plusieurs centaines de milliers de message montre que le taux de fausses alertes est équivalent à celui des bons anti-virus: http://www.cnrs.fr/Infosecu/num41.pdf
Ca tourne chez moi et pas mal d'administrations depuis de nombreux mois et personne n'y voit d'inconvénient (un envoi d'EXE volontaire est toujours commenté et peut donc toujours être zippé).
et d'autre part, on peut, sans plus de difficulté qu'un peu de réflexion, passer au travers d'une implémentation naïve.
L'implémentation n'est pas naïve, il filtre même les messages envoyés en plusieurs fois. http://j-chkmail.ensmp.fr/
