Zimbra y falsos positivos del antivirus ClamAV
Una de las últimas actualizaciones de firmas de ClamAV está dando falsos positivos de detección de virus, en documentos tipo .doc y .docx que utilicen ciertos macros. Esto afecta a los servidores con Zimbra puesto que ClamAV es el antivirus que trae Zimbra de serie de forma gratuita.
De momento y según webs de análisis de virus, es el único motor que está dando este falso positivo en este tipo de archivos cuando hay ciertos macros activados. Por ejemplo, en el análisis on-line que se puede realizar con www.virustotal.com
Esto afecta a los servidores con Zimbra puesto que ClamAV es el antivirus que trae Zimbra de serie forma gratuita.
PARA SOLUCIONAR ESTA SITUACIÓN, SERÁN NECESARIOS 2 PASOS:
1. Poner en lista blanca la firma de ClamAV que provoca los falsos positivos.
2. Liberar los correos de la cuenta de cuarentena de nuestro sistema.
Para agreagar una firma a la lista blanca de ClamAV lo primero es identificar la firma. Se puede realizar esta tarea de varias formas, pero creemos que la más sencilla es, ver la notificación de un hit del antivirus en la cuenta de «admin» (cuenta por defecto). En este ejemplo, la firma es «Doc.Malware.Sagent-6865733-0» y como se puede apreciar, aparece en varios sitios de la notificación.
Una vez identificada esta firma, habrá que crear (en caso que no exista) un fichero de whitelist para nuestro ClamAV. El fichero deberá existir en todos los servidores de Zimbra con el servicio de ClamAV instalado y activado para que el cambio tome efecto. Como usuario «zimbra», hay que ejecutar estos comandos.
touch /opt/zimbra/data/clamav/db/whitelist.ign2
echo «Doc.Malware.Sagent-6865733-0» >> /opt/zimbra/data/clamav/db/whitelist.ign2
zmamavisctl restart
Una vez realizados estos cambios, ya no se marcarán como infectados los ficheros .doc y .docx que contengan macros.
El siguiente paso simplemente consiste en avisarles a los usuarios que vuelvan a enviar los correos o seguir este kb de Zimbra donde explican como hacer un release de los correos infectados. https://wiki.zimbra.com/wiki/Restore-Quarantined-Emails
Idealmente, cuando ClamAV corrija esta situación, sería recomendable quitar esa firma de la whitelist.
Comparte la noticia