Seit 01.12.2008 etwa 17:00 treffen hunderte von Spam-Emails mit folgendem Text auf meinen Servern ein:

Subject: Ihre E-Mail Adresse name@domain wird gesperrt
Sehr geehrte Damen und Herren,
Ihre Email "name@domain" wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. 
Es sind 03 Beschwerden wegen Spamversand bei uns eingegangen.
Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.

Der Anhand enthält eine Zip-Datei namens "hinweis.zip" oder "sperrung.zip", die ihrerseits - wie sollte es auch anders sein - einen Trojaner enthält.

Die meisten dieser Emails werden bereits durch das Greylisting und die sonstigen SpamAssassin Regeln gefiltert. Ich habe vorsichtshalber aber auch noch folgende Zeile in meine SpamAssassin user_prefs Datei aufgenommen:

score ADDRESS_IN_SUBJECT 4

Diese Regel erhöht den Spam Score von vorher 0.5 auf 4 für alle solchen Emails, die die Email-Adresse des Empfängers im Betreff enthalten. Dies sollte reichen, um jede dieser Emails zu filtern.

Clamav Aktualisierung lässt auf sich warten

Der Mailserver hat zwar auch clamav installiert, die Datei mit den Virendefinitionen enthält z.Zt. (15 Stunden nach dem ersten Auftreten) noch kein Update. Ein Check auf http://www.virustotal.com/de/ ergibt, dass dieser Trojaner im Moment erst von 7 von 37 Virenscannern gefunden wird:

Beim einem ähnlichen vergleichbaren Angriff vor einigen Tagen hat es etwa 24 Stunden gedauert, bis clamav aktualisiert wurde. Bei einem kostenlosen Produkt sollte man da nicht meckern. Wer eine bessere Reaktionszeit braucht, kann sich ja ein kommerzielles Produkt kaufen.

Update 10:40 Uhr

Immerhin erkennen jetzt 10 von 37 Antivirus-Programmen den Trojaner. Clamav ist nicht dabei.

EDIT: Zu diesem Zeitpunkt war Clamav sehr wohl schon aktualisiert - nur nicht dieses Testsystem...

Update 12:05 Uhr

Inzwischen wurden 12 von 37 Virenscannern aktualisiert:

Clamav gehört also zum oberen Drittel, was die Performance angeht.

Eine Prüfung der Log Files auf dem Server hat ergeben, dass das Update für Clamav tatsächlich schon um 10:21 Uhr automatisch durchgeführt wurde; offensichtlich aber nicht auf dem VirusTotal Server:

Tue Dec  2 10:21:32 2008 -> SelfCheck: Database modification detected. Forcing reload.
Tue Dec  2 10:21:32 2008 -> Reading databases from /var/lib/clamav
Tue Dec  2 10:22:24 2008 -> Database correctly reloaded (468952 signatures)
Tue Dec  2 10:29:14 2008 -> /var/spool/exim4/scan/1L7RZ9-0000gq-NG/1L7RZ9-0000gq-NG.eml: Trojan.Invo-13 FOUND
Tue Dec  2 10:30:04 2008 -> /var/spool/exim4/scan/1L7RZy-0000gv-Sa/1L7RZy-0000gv-Sa.eml: Trojan.Invo-13 FOUND
Tue Dec  2 10:30:22 2008 -> /var/spool/exim4/scan/1L7Ra3-0000gu-1p/1L7Ra3-0000gu-1p.eml: Trojan.Invo-13 FOUND
Tue Dec  2 10:40:58 2008 -> /var/spool/exim4/scan/1L7RjR-0000hZ-7J/1L7RjR-0000hZ-7J.eml: Trojan.Invo-13 FOUND
Tue Dec  2 10:44:11 2008 -> /var/spool/exim4/scan/1L7Rnd-0000ho-U4/1L7Rnd-0000ho-U4.eml: Trojan.Invo-13 FOUND
Tue Dec  2 10:48:04 2008 -> /var/spool/exim4/scan/1L7Rqy-0000jC-FV/1L7Rqy-0000jC-FV.eml: Trojan.Invo-13 FOUND
Tue Dec  2 11:02:33 2008 -> /var/spool/exim4/scan/1L7S5P-00013F-T3/1L7S5P-00013F-T3.eml: Trojan.Invo-13 FOUND
Tue Dec  2 11:17:17 2008 -> /var/spool/exim4/scan/1L7SJg-00013y-6K/1L7SJg-00013y-6K.eml: Trojan.Invo-13 FOUND
Tue Dec  2 11:26:38 2008 -> SelfCheck: Database status OK.
Tue Dec  2 11:38:20 2008 -> /var/spool/exim4/scan/1L7Se1-000151-Dh/1L7Se1-000151-Dh.eml: Trojan.Invo-13 FOUND
Tue Dec  2 11:40:38 2008 -> /var/spool/exim4/scan/1L7Scm-00014r-Ae/1L7Scm-00014r-Ae.eml: Trojan.Invo-13 FOUND
Tue Dec  2 11:41:01 2008 -> /var/spool/exim4/scan/1L7Sge-00015A-05/1L7Sge-00015A-05.eml: Trojan.Invo-13 FOUND
Tue Dec  2 11:51:59 2008 -> /var/spool/exim4/scan/1L7Sr9-00015v-DP/1L7Sr9-00015v-DP.eml: Trojan.Invo-13 FOUND
Tue Dec  2 12:00:41 2008 -> /var/spool/exim4/scan/1L7Szc-00016O-U3/1L7Szc-00016O-U3.eml: Trojan.Invo-13 FOUND
Tue Dec  2 12:01:44 2008 -> /var/spool/exim4/scan/1L7T0e-00016W-Nf/1L7T0e-00016W-Nf.eml: Trojan.Invo-13 FOUND
Tue Dec  2 12:07:31 2008 -> /var/spool/exim4/scan/1L7T6H-00016n-0y/1L7T6H-00016n-0y.eml: Trojan.Invo-13 FOUND

Update 17:00 Uhr

24 Std. nach dem ersten Auftreten des Virus auf meinem Mailserver reagieren 50% aller Virenscanner bereits auf den Trojaner: