تشخیص اشتباه ClamAV

بروزرسانی جدیدی برای این مطلب درج شده است (می توانید در انتهای مطلب، بروزرسانی را مشاهده کنید)

طی حدودا ۴۸ ساعت قبل متوجه شدیم تعدادی از فایل های فروشندگان در سایت ژاکت از دسترس خارج شده و حین دانلود توسط کاربران خطای ۴۰۴ نشان داده می شود.

در حین بررسی این مشکل، گزارشات مختلفی در خصوص افزونه ها و قالب های مختلف (حتی محصولات کاملا ایرانی با کدنویسی اختصاصی) دریافت کردیم که یک بدافزار در آنها تشخیص داده شده است.

این اتفاقات موجب شد تا به صورت جدی مشکل را زیر ذره بین قرار دهیم و پی بردیم فایل های حذف شده توسط سرور نیز به دلیل تشخیص کد مخرب مشابه توسط آنتی ویروس روی سرور صورت گرفته و کد مخرب نیز با موارد گزارش شده توسط سایر کاربران یکسان بود.

 با بررسی های بیشتر و دقیق تر مشخص شد آنتی ویروس ClamAV که روی اکثر سرورهای لینوکسی نصب است و یکی از موتورهای جستجوی بدافزار در سایت Virustotal.com نیز می باشد در بروزرسانی اخیر Signature های خود دچار اشتباه شده و اغلب افزونه ها و قالب های وردپرسی را با کد مخرب Win.Exploit.CVE_2019_0903-6966169-0 شناسایی می کند.

این تشخیص اشتباه موجب شده است تا بسیاری از کاربران و حتی مسئولین هاست ها و سرورهای اشتراکی نیز با مشکل مواجه شوند و در مواردی به دلیل عدم اطلاع از این تشخیص اشتباه، مسئولان سرورهای اشتراکی حساب های کاربری مشتریان خود را مسدود کنند چرا که وجود آلودگی در فایل های کاربران را محتمل می دانند.

باطلاع می رسانیم با پیگیری ها و بررسی های انجام شده توسط ژاکِت، تشخیص آلودگی از نوع Win.Exploit.CVE_2019_0903-6966169-0 روی فایل های وردپرسی توسط آنتی ویروس ClamAV در حال حاضر اشتباه است (در بسیاری از موارد نیز این تشخیص اشتباه روی فایل های فونت با پسوند ttf, … و یا فایل های با فرمت PDF انجام می شود) و چنانچه در افزونه یا قالب شما نیز چنین آلودگی توسط این ابزار تشخیص داده شد می توانید از آن چشم پوشی کنید.

امید داریم کلیه سرویس های ارائه خدمات میزبانی وب نیز به سرعت این مساله را تشخیص داده و با قراردادن کد آلودگی در لیست سفید آنتی ویروس، تا رفع مشکل و ارائه بروزرسانی جدید برای ClamAV مانع از بروز مشکلات بعدی برای کاربران خود شوند.

قابل ذکر است ژاکِت این تشخیص اشتباه را گزارش کرده و امیدواریم به سرعت بروزرسانی ClamAV جهت رفع این مشکل ارائه شود.

بروزرسانی:  خوشبختانه با ارسال گزارشات متعدد توسط کاربران، بروزرسانی دیتابیس در ۲۰۱۹/۰۵/۲۷ انجام شده و در دیتابیس های نسخه ۲۵۴۶۲ به بعد این مشکل رفع شده است.

‏ ژاکِت فرق میکنه…

منبع: ژاکت