<div dir="ltr">Hi,<div><br></div><div>Today I found the same behaviour with following zip file.</div><div>In <span style="font-size:12.8000001907349px">$log_level=5 i see that amavis see content of zip archive (Docs-5280.exe) but did not block it.</span></div><div><span style="font-size:12.8000001907349px">If I extract the </span><span style="font-size:12.8000001907349px">Docs-5280.exe</span><span style="font-size:12.8000001907349px"> </span><span class="" style="font-size:12.8000001907349px">file</span><span style="font-size:12.8000001907349px"> and place it </span><span style="font-size:12.8000001907349px">into another zip </span><span class="" style="font-size:12.8000001907349px">file</span><span style="font-size:12.8000001907349px">, that zip </span><span class="" style="font-size:12.8000001907349px">file</span><span style="font-size:12.8000001907349px"> is correctly identified as</span></div><div><span style="font-size:12.8000001907349px">containing an .exe, and rejected by the server.</span><br></div><div><br></div><div><div>Can anyone make a test from your side?</div></div><div><br></div><div><span style="font-size:12.8000001907349px">I have CentOS 6 with </span><span style="font-size:12.8000001907349px">amavisd-new-2.8.0</span><br></div><div><span style="font-size:12.8000001907349px"><br></span></div><div><span style="font-size:12.8000001907349px">== THE CONTAINED EXE </span><span class="" style="font-size:12.8000001907349px">FILE</span><span style="font-size:12.8000001907349px"> CONTAINS TROJAN ==</span><br></div><div><span style="font-size:12.8000001907349px">Original file: <a href="https://www.dropbox.com/s/b831empj0t8vz7f/invoice.zip?dl=0">https://www.dropbox.com/s/b831empj0t8vz7f/invoice.zip?dl=0</a></span><br></div><div><span style="font-size:12.8000001907349px"><br></span></div><div><span style="font-size:12.8000001907349px">Thank you.</span></div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-04-24 1:08 GMT+03:00 Thomas Spuhler <span dir="ltr"><<a href="mailto:thomas.spuhler@btspuhler.com" target="_blank">thomas.spuhler@btspuhler.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Thursday, April 23, 2015 02:24:19 PM Brendan Zerr wrote:<br>
> Hello,<br>
><br>
> This morning our mailserver (Postfix+Amavis) had a virus pass through to<br>
> our users. The file was an .exe file within a .zip file. The server is<br>
> configured to block .exe files with $banned_filename_re, but this one<br>
> slipped by. After setting $log_level to 5, it seems that the ZIP file<br>
> was never decoded by amavis, but allowed to pass unscanned. ClamAV<br>
> missed the virus as well, but it should have never made it to that point<br>
> anyway. The strangest thing is, if I extract the .exe file and place it<br>
> into a "new" zip file, that zip file is correctly identified as<br>
> containing an .exe, and blocked by the server.<br>
><br>
> I've gone so far as to override the default zip decoding, using 7zip:<br>
><br>
>     @decoders = (<br>
>         ['zip', \&do_7zip, ['7z', '7za'] ]<br>
>     );<br>
><br>
> and the same behaviour is exhibited.<br>
><br>
> Versions:<br>
> Ubuntu 10.04<br>
> amavisd-new-2.6.4<br>
><br>
> I realize this version is quite out of date, and that may be the<br>
> ultimate cause of the issue (working on testing this theory), but in<br>
> case it isn't I wanted to let someone know.<br>
><br>
> I've made available the original and "new" zip files on Dropbox:<br>
> == THE CONTAINED EXE FILE IS ACTIVELY HARMFUL TO A WINDOWS HOST ==<br>
> Original: <a href="https://www.dropbox.com/s/modnz533k4swum7/Original.zip" target="_blank">https://www.dropbox.com/s/modnz533k4swum7/Original.zip</a><br>
> New: <a href="https://www.dropbox.com/s/5ynitllq0ghvfqn/NewZip.zip" target="_blank">https://www.dropbox.com/s/5ynitllq0ghvfqn/NewZip.zip</a><br>
<br>
</div></div>The exe file is detected here.<br>
I downloaded your Original.zip from the dropbox and attached it to an e-mail I sent to myself.<br>
See the attachment what happened.<br>
Of course, it didn't find the virus since the exe file was blocked before it go to the virus scanner<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Best regards<br>
Thomas Spuhler<br>
<br>
All of my e-mails have a valid digital signature<br>
ID 60114E63</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><b style="color:rgb(0,0,0);font-family:verdana,arial,helvetica,sans-serif;font-size:13px;font-style:normal;font-variant:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;background-color:rgb(255,255,255)"><span style="font-size:8pt;color:rgb(152,72,6)"><span style="color:rgb(56,118,29)"><span style="background-color:rgb(255,255,255)">This message was delivered using 100% recycled</span></span><span><span style="color:rgb(56,118,29)"><span style="background-color:rgb(255,255,255)"> electrons</span></span></span></span></b><b style="color:rgb(0,0,0);font-family:verdana,arial,helvetica,sans-serif;font-size:13px;font-style:normal;font-variant:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;background-color:rgb(255,255,255)"><span style="font-size:8pt;color:rgb(152,72,6)"><span></span></span></b>.<span style="color:rgb(0,0,128);font-family:arial,helvetica,sans-serif;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;background-color:rgb(253,248,219);display:inline!important;float:none"></span></div></div>
</div>