Sophos AV no bloquea los archivos de prueba estándar de ClamAV

4

La empresa en la que trabajo recientemente obtuvo una auditoría de seguridad. Todo parece ser sólido, excepto nuestro AV Sophos Cloud Security.

Me pidieron que intentara descargar algunos de estos Archivos de prueba de ClamAV en nuestras máquinas (en particular: clam.mail y clam.zip ), esperando que Sophos las bloquee, pero en su lugar no solo podía descargar, sino también abrir los archivos.

Lo probé en mi MacBook con MacOS Sierra y en una computadora portátil con Windows 10 actualizada, pero el resultado final es el mismo. Sophos no ve estos archivos como amenazas y no los bloquea.

Según el equipo de auditoría, estos son archivos de prueba "ficticios" estándar que solo deben ser detectados por el software antivirus, pero son inocuos.

Mirando alrededor, parece que los archivos estándar utilizados en este escenario son en realidad los los de EICAR . A diferencia de los ClamAV, estos son recogidos correctamente por nuestro software Sophos AV.

Intentamos contactar al soporte de Sophos, pero todavía estamos esperando una respuesta.

Mientras tanto, probamos los mismos archivos ClamAV en otras máquinas de prueba con diferentes software AV (a saber, Windows Defender y F-Secure por ahora) y ninguno de ellos responde a la amenaza.

Dado que este es el único paso que nos impide pasar la auditoría, sería muy importante entender si es el software de Sophos el que debe bloquear los archivos, o si los archivos en sí no son los correctos para probar una funcionalidad de AV.

    
pregunta stassinari 27.02.2017 - 15:00
fuente

1 respuesta

6

Clam.exe que se usa en estas pruebas es un programa de prueba inofensivo similar al inocente virus de prueba EICAR, es decir, solo imprime un mensaje. Pero, a diferencia del EICAR, también inofensivo, este archivo de prueba generalmente no es tratado como malicioso por los programas antivirus y, por lo tanto, no se detectará. Y no tengo idea de por qué ClamAV necesita tener su propio programa de prueba en lugar de la prueba EICAR comúnmente utilizada.

Por lo tanto, si Sophos detecta EICAR pero no el programa de prueba clamev.exe dentro de ZIP, correos electrónicos, etc., puede asumir que Sophos aún puede detectar malware dentro de los archivos ZIP y correos e ignorar que no detecta el programa de prueba específico de ClamAV.

  

Según el equipo de auditoría, estos son archivos de prueba "ficticios" estándar que solo deben ser detectados por el software antivirus, pero son inocuos.

Cuestionaría la competencia del equipo de auditoría si hacen tales afirmaciones. Solo verifique con virustotal y encontrará que casi no lo va a hacer. p>     

respondido por el Steffen Ullrich 27.02.2017 - 16:10
fuente

Lea otras preguntas en las etiquetas