Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 3444 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Antivirus not catching infected .doc files?

BrianRobison
Hi all.  We've suddenly begun getting deluged with emails containing infected MS Word .doc files that use, if memory serves, a W97 macro attack.  I have both Avira and Sophos antivirus engines running on our inbound email, but these things are sailing right through the Sophos firewall.  Can anyone suggest a way to intercept these while allowing uninfected .doc files through?  The attacks are old; it's not like they're using an attack that the antivirus has never heard of.
Dual UTM-525 in HA active/passive cluster running 9.315-2.

I see that we're not the only ones seeing this uptick: https://threatpost.com/microsoft-reports-massive-increase-in-macros-enabled-threats/110204


TIA,
Brian


This thread was automatically locked due to age.
  • 0
    Brian, does the AV on the client catch that the doc is infected?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Yes, it does.  We run Symantec Endpoint Protection, and it stops it immediately, but I'd rather not let these emails through in the first place.  I submitted these infected emails to Symantec and Avira, and they both came back with the same infection verdict.

    Symantec sees it as a W97 downloader threat, whose first appearance is 2004. http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2014-110100-2117-99&vid=38486

    Brian, does the AV on the client catch that the doc is infected?

    Cheers - Bob
  • 0
    I have to admit; I'm a little surprised that someone hasn't popped up on this thread and told me that catching these infected files is possible and that I'm just missing something obvious.
  • 0
    Well it may be some kind of either problem with AV on the UTM, or config issue.  Have you been able to see anything in logging where it is allowed through?

    OPNSense 64-bit | Intel Xeon 4-core v3 1225 3.20Ghz
    16GB Memory | 500GB SSD HDD | ATT Fiber 1GB
    (Former Sophos UTM Veteran, Former XG Rookie)

  • 0 in reply to Amodin
    Yes; the log shows it passing right through without any kind of issue.

    Well it may be some kind of either problem with AV on the UTM, or config issue.  Have you been able to see anything in logging where it is allowed through?
  • 0
    Sanity check: the Sophos tech I have on the phone wanted originally to blame these emails' going through the firewall (inbound) on the fact that I don't have the Data Protection turned on.  The documentation clearly states that Data Protection only applies to outbound emails, not inbound.  Am I reading that right?
  • 0
    Well, let me go read that right quick.  [;)]

    EDIT:  Well reading it isn't very clear, but looking at Data Protection seems to be a valid concern because it scans the attachments.  What would it hurt by turning it on for you?

    Data Protection seems to be the trigger for AV to tell it what to do with it.

    OPNSense 64-bit | Intel Xeon 4-core v3 1225 3.20Ghz
    16GB Memory | 500GB SSD HDD | ATT Fiber 1GB
    (Former Sophos UTM Veteran, Former XG Rookie)

  • 0
    I believe this is the right answer at present, but I've always thought that this was counter-intuitive if not an actual bug.  It's at least a buggy idea to do it this way. [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to Amodin
    We had one of the recent (within the last 2 weeks) 9.x updates turn on Data Protection (where it had never been on), with an action of "blacklist", and all of a sudden, we were rejecting 100% of all inbound emails for no good reason.  When I turned it off, the problem stopped.

    Well, let me go read that right quick.  [;)]

    EDIT:  Well reading it isn't very clear, but looking at Data Protection seems to be a valid concern because it scans the attachments.  What would it hurt by turning it on for you?

    Data Protection seems to be the trigger for AV to tell it what to do with it.
  • 0 in reply to BAlfson
    Is the operational thing simply to turn on Data Protection?  Right now, I'd be willing to try data protection, if I could set its action to do nothing or permit, if that's what it takes to turn on attachment scanning.

    I believe this is the right answer at present, but I've always thought that this was counter-intuitive if not an actual bug.  It's at least a buggy idea to do it this way. [;)]

    Cheers - Bob
Unfiltered HTML