
<html>

  <head>


    <meta http-equiv="content-type" content="text/html; charset=ISO-8859-15">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <br>

    <div class="moz-forward-container"><br>

      <br>

      <br>

      <table class="moz-email-headers-table" cellpadding="0"

        cellspacing="0" border="0">

        <tbody>

          <tr>

            <th valign="BASELINE" align="RIGHT" nowrap="nowrap"><br>

            </th>

            <td><br>

            </td>

          </tr>

          <tr>

            <th valign="BASELINE" align="RIGHT" nowrap="nowrap"><br>

            </th>

            <td><br>

            </td>

          </tr>

          <tr>

            <th valign="BASELINE" align="RIGHT" nowrap="nowrap"><br>

            </th>

            <td><br>

            </td>

          </tr>

          <tr>

            <th valign="BASELINE" align="RIGHT" nowrap="nowrap"><br>

            </th>

            <td><br>

            </td>

          </tr>

        </tbody>

      </table>

      <br>

      <br>

      <pre>It seems that recent trojans come with a 'zip encoding' format that is 

not detected as a compressed file by Amavis. Since it is not detected as 

compressed , no depacking is done and not banning file. So executable

can trespass. The Unix "file" command states it as a "dat" file, so:


Sep  1 11:58:02 fwlinux2 amavis[17845]: (17845-18) check_for_banned 

(p003,p002) multipart/mixed | application/zip,.dat,Ordine.doc.zip

Sep  1 11:58:02 fwlinux2 amavis[17845]: (17845-18) doing banned check 

for <a class="moz-txt-link-abbreviated" href="mailto:edevena@gsy.it">edevena@gsy.it</a> on multipart/mixed | application/zip,.dat,Ordine.doc.zip

Sep  1 11:58:02 fwlinux2 amavis[17845]: (17845-18) 

lookup_re(["multipart/mixed","application/zip",".dat","Ordine.doc.zip"]), no 

matches


while if the same EXE is zipped by hand with (e.g.) Winrar


Sep  1 11:27:19 fwlinux2 amavis[17833]: (17833-05) check_for_banned 

(p003,p002,p004) multipart/mixed | application/zip,.zip,Nuovo WinRAR ZIP 

archive.zip | .exe,.exe-ms,Ordine.doc.pif

Sep  1 11:27:19 fwlinux2 amavis[17833]: (17833-05) doing banned check 

for <a class="moz-txt-link-abbreviated" href="mailto:edevena@gsy.it">edevena@gsy.it</a> on multipart/mixed | application/zip,.zip,Nuovo 

WinRAR ZIP archive.zip | .exe,.exe-ms,Ordine.doc.pif

Sep  1 11:27:19 fwlinux2 amavis[17833]: (17833-05) 

lookup_re(["multipart/mixed","application/zip",".zip","Nuovo WinRAR ZIP 

archive.zip",".exe",".exe-ms","Ordine.doc.pif"]) matches key 

"(?-xism:^.(exe-ms|dll|pif)$)", result="1"


SO what is needed is that amavis "recognizes" the attachment as 

"compressed file" not just by "file" command but even by extension 

(.zip) or that "file" command recognizes that file as "zip"


Any ideas ?


</pre>

      <br>

    </div>

    <br>

  </body>

</html>