Mar0720097 Marzo 200928 Gennaio 20140Commentidi Ermanno Goletto

Alice e Antigen

Pubblicato in Exchange, Security, Tips

Dovendo inviare un file ad un indirizzo @alice.it ho scoperto che i server di posta in questione (Exchange 2003 SP2 dal momento che al telnet rispondono con Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959) utilizzano Antigen come antispam/antivirus, infatti la persona invece di ricevere l’allegato si vede arrivare una mail con il seguente messaggio:

The original contents of this file have been replaced with
this message because of its characteristics.
File name: “Filename.zip”
Virus name: “ExceedinglyInfected”

Ovviamente dopo un primo sospetto d’infezione del mio PC che ho accantonato eseguendo una scansione su Virus Total del file ho cominciato a fare una ricerca dell’errore e dal seguente Descrizione dei messaggi di notifica relativi a file compressi contenenti un numero eccessivo di virus o un numero eccessivo di file nidificati ho trovato la spiegazione:

Antigen ha rilevato un file compresso che contiene un numero di corrispondenze di filtro di file superiore a quello che è in grado di identificare

In effetti dentro il mio file zip c’erano un paio di altri file zip, per default Antigen è in grado di analizzare fino a cinque file compressi annidati, ma probabilmente questo limite è stato ridotto per evitare attacchi basati sull’analisi di file compressi annidati che causano un’aumento di risorse necessarie ad eseguire la scansione.

Ho provveduto ad eliniare il file compressi annidati e a rimandare il file con estensione dat e il risultao è sttao un altro errore:

Microsoft Antigen for Exchange removed a file since it was found to match a filter.
File name: “Filename.dat->program.EXE
Filter name: “FILE FILTER= Kyrill: *.exe”

Questo errore significa due cose:

  • Non importa se l’allegato non ha estensione zip, Antigen capisce che è un file compresso e lo scandisce.
  • E’ stato messo un filtro sulle estensioni .exe, quindi i file con tali estensioni saranno bloccati (per informazioni si veda Filtering files by type and by extension)

Per riuscire a inviare finalmente il file ho provveduto a rinominare program.exe in program.exe.dat, anche in un primo momento la protezione sulle estensioni può sembrare banale da aggirare si pensi a quante risorse in fase di scansione si risparmiano ed in ogni caso il destinatario dovra rinominare il file per eseguire probabilmente seguendo le istruzioni (come nel mio caso) di un mittente di cui si fida quindi quel file non dovrebbe rappresentare un pericolo.

..ed in ogni caso il mittente avrà un antivirus aggiornato e non lavorerà con privilegi amministrativi vero? ;-)