¡Muy buenas!

Una de las últimas actualizaciones de firmas de ClamAV está dando falsos positivos de detección de virus, en documentos tipo .doc y .docx que utilicen ciertos macros. Esto afecta a los servidores con Zimbra puesto que ClamAV es el antivirus que trae Zimbra de serie de forma gratuita.

De momento y según webs de análisis de virus, es el único motor que está dando este falso positivo en este tipo de archivos cuando hay ciertos macros activados. Por ejemplo, en el análisis on-line que se puede realizar con www.virustotal.com

Esto afecta a los servidores con Zimbra puesto que ClamAV es el antivirus que trae Zimbra de serie forma gratuita.

PARA SOLUCIONAR ESTA SITUACIÓN, SERÁN NECESARIOS 2 PASOS:

1. Poner en lista blanca la firma de ClamAV que provoca los falsos positivos.

2. Liberar los correos de la cuenta de cuarentena de nuestro sistema.

Para agreagar una firma a la lista blanca de ClamAV lo primero es identificar la firma. Se puede realizar esta tarea de varias formas, pero creemos que la más sencilla es, ver la notificación de un hit del antivirus en la cuenta de «admin» (cuenta por defecto). En este ejemplo, la firma es «Doc.Malware.Sagent-6865733-0» y como se puede apreciar, aparece en varios sitios de la notificación.

Una vez identificada esta firma, habrá que crear (en caso que no exista) un fichero de whitelist para nuestro ClamAV. El fichero deberá existir en todos los servidores de Zimbra con el servicio de ClamAV instalado y activado para que el cambio tome efecto. Como usuario «zimbra», hay que ejecutar estos comandos.

touch /opt/zimbra/data/clamav/db/whitelist.ign2
echo «Doc.Malware.Sagent-6865733-0» >> /opt/zimbra/data/clamav/db/whitelist.ign2

zmamavisctl restart

Una vez realizados estos cambios, ya no se marcarán como infectados los ficheros .doc y .docx que contengan macros.

El siguiente paso simplemente consiste en avisarles a los usuarios que vuelvan a enviar los correos o seguir este kb de Zimbra donde explican como hacer un release de los correos infectados. https://wiki.zimbra.com/wiki/Restore-Quarantined-Emails

Idealmente, cuando ClamAV corrija esta situación, sería recomendable quitar esa firma de la whitelist.

Espero que este artículo os sea de utilidad.

Si tenéis cualquier duda, podéis preguntarme en los comentarios o a través de info@essiprojects.com y os atenderé encantado.

¡Hasta otra!


Sebastián Greco
IT Consultant


¿QUIEN SOMOS?

Somos especialistas en DevOps Ecosystem y ayudamos a las empresas a revolucionar su infrastructura de servicios y aplicaciones para soportar su éxito.

A través de proyectos de consultoría, integración y formación técnica certificada, ofrecemos soluciones basadas en Open Hybrid Cloud Pass, Management & Automation, Monitoring & Performance, Middleware Solutions y Email & Collaboration.

POSTS RECIENTES

CATEGORÍAS

Etiquetas