[Eisfair] Falscher Alarm bei JS in PDFs, ClamAV, abschaltbar?
Juergen Edner
juergen at eisfair.org
Mi Jul 6 20:20:03 CEST 2016
Am 28.06.2016 um 23:17 schrieb Alex Busam:
> Hallo,
>
> Wir haben leider einige Fehlalarme bei empfangenen Mails mittels mail,
> antispam, clamav. Mails werden als virenbefallen gemeldet, im Kopf steht
> dann PUA.Pdf.Trojan.EmbeddedJS-1 Kann ich dies irgendwie umgehen?
> Ich habe schon clam_scan_pdf auf no ohne Erfolg gesetzt.
> Kann ich das in den EXISCAN_AV_OPTIONS hinterlegen?
> Geht das bei EXISCAN_AV_SCANNER auto auch oder muss ich das dann in
> einer Konfig datei direkt pflegen?
der Parameter EXISCAN_AV_OPTIONS wird nur ausgewertet, wenn der
Parameter EXISCAN_AV_SCANNER='cmdline' gesetzt wurde, nicht aber
wenn der clamd automatisch konfiguriert wird.
Wenn ich der Erklärung "What is PUA? I get a lot of false positives
named PUA." auf der folgenden Seite Glauben schenken darf, solltest Du
eher den Parameter CLAMAV_DETECT_PUA='no' setzen um die PUA-Erkennung
abzuschalten: https://www.clamav.net/documents/miscellaneous-faq
Zitat:
At this point we DO NOT recommend using it in production environments,
because the detection may be too aggressive and lead to false positives.
In one of the next releases we will provide additional features for
fine-tuning allowing better adjustments to different setups. NOTE: A
detection as PUA does NOT tell if an application is good or bad. All it
says is, that a file MAY BE unwanted or MAYBE could compromise your
system security and it MAY BE a good idea to check it twice.
Gruß Jürgen
--
Mail: juergen at eisfair.org
Mehr Informationen über die Mailingliste Eisfair