Tbpgr Blog

Ruby プログラマ tbpgr(てぃーびー) のブログ

clamav-daemonを起動時のエラー原因調査(BC.Win.Exploit.CVE_2017_0060-6099223-0.{})

clamav-daemonを起動時にエラーが発生しました。
原因を調査したので調査過程も含めてまとめます。

状況

clamav-daemon を再起動したら警告がでた。

LibClamAV Warning: Don't know how to create filter for: BC.Win.Exploit.CVE_2017_0060-6099223-0.{}
LibClamAV Warning: cli_ac_addpatt: cannot use filter for trie

Actions

問題解決のために行った行動を列挙していきます。

ウイルス名の命名について一般的な規則があるか調査

ウイルス名(今回なら C.Win.Exploit.CVE_2017_0060-6099223-0)は各社命名規則が異なる。

ウイルスの名前はどう決まる? - ITPro

clamav のウイルス名をどのように決めているのかはよくわからなかったが。

ウイルス定義のリリース情報を確認

Signatures Published bytecode - 292 - Mailing List Archive

名前はさておき該当ウイルス定義に関するトラブルの情報がのっている場所を探す

まずは該当ウイルス名で検索してみたが見つからない。
新しいから?
それなら clamavウイルス定義ファイルを参照し、適当なウイルス名をみつけて検索してみることにした。

すると、以下のサイトがヒットした。

Signatures Published bytecode - 285 - Mailing List Archive

Home >ClamAV>virusdb の階層で BC.Win.Exploit.CVE_2017_0060-6099223-0 を検索してみるもヒットせず。
Home >ClamAV の階層に遡って検索したらヒット。

error when starting clamd: LibClamAV Warning: Don’t know how to create filter for: BC.Win.Exploit.CVE_2017_0060-6099223-0.{} - Mailing List Archive

This is caused by a subset of the detection pattern used in the bytecode signature BC.Win.Exploit.CVE_2017_0060-6099223-0. This is a warning and doesn’t impact detection of the bytecode in ClamAV. An updated version of this signature will be published to replace the current version.

警告なので気にすんな。そのうち修正版でるかんね。ってことか。

ちなみに「Mailing List Archive clamav」で検索できていれば
検索順位4位で ClamAV>virusdb - Mailing List Archive に辿りついていたはず。

まとめ

新しすぎる情報はググってもヒットしない。
アンチウイルスの定義がおかしそうならメンテンナンス者とやりとりする窓口に情報がある可能性が高い。

改めて確認したらバグ表が起票されていた。
しかし、特に詳細の記載がないので先程のメーリングリストの情報が一番詳しかった。

雑メモ

関連資料