1*b6cee71dSXin LI 2*b6cee71dSXin LI#------------------------------------------------------------------------------ 3*b6cee71dSXin LI# $File: fsav,v 1.13 2013/03/25 17:18:47 christos Exp $ 4*b6cee71dSXin LI# fsav: file(1) magic for datafellows fsav virus definition files 5*b6cee71dSXin LI# Anthon van der Neut (anthon@mnt.org) 6*b6cee71dSXin LI 7*b6cee71dSXin LI# ftp://ftp.f-prot.com/pub/{macrdef2.zip,nomacro.def} 8*b6cee71dSXin LI0 beshort 0x1575 fsav macro virus signatures 9*b6cee71dSXin LI>8 leshort >0 (%d- 10*b6cee71dSXin LI>11 byte >0 \b%02d- 11*b6cee71dSXin LI>10 byte >0 \b%02d) 12*b6cee71dSXin LI# ftp://ftp.f-prot.com/pub/sign.zip 13*b6cee71dSXin LI#10 ubyte <12 14*b6cee71dSXin LI#>9 ubyte <32 15*b6cee71dSXin LI#>>8 ubyte 0x0a 16*b6cee71dSXin LI#>>>12 ubyte 0x07 17*b6cee71dSXin LI#>>>>11 uleshort >0 fsav DOS/Windows virus signatures (%d- 18*b6cee71dSXin LI#>>>>10 byte 0 \b01- 19*b6cee71dSXin LI#>>>>10 byte 1 \b02- 20*b6cee71dSXin LI#>>>>10 byte 2 \b03- 21*b6cee71dSXin LI#>>>>10 byte 3 \b04- 22*b6cee71dSXin LI#>>>>10 byte 4 \b05- 23*b6cee71dSXin LI#>>>>10 byte 5 \b06- 24*b6cee71dSXin LI#>>>>10 byte 6 \b07- 25*b6cee71dSXin LI#>>>>10 byte 7 \b08- 26*b6cee71dSXin LI#>>>>10 byte 8 \b09- 27*b6cee71dSXin LI#>>>>10 byte 9 \b10- 28*b6cee71dSXin LI#>>>>10 byte 10 \b11- 29*b6cee71dSXin LI#>>>>10 byte 11 \b12- 30*b6cee71dSXin LI#>>>>9 ubyte >0 \b%02d) 31*b6cee71dSXin LI# ftp://ftp.f-prot.com/pub/sign2.zip 32*b6cee71dSXin LI#0 ubyte 0x62 33*b6cee71dSXin LI#>1 ubyte 0xF5 34*b6cee71dSXin LI#>>2 ubyte 0x1 35*b6cee71dSXin LI#>>>3 ubyte 0x1 36*b6cee71dSXin LI#>>>>4 ubyte 0x0e 37*b6cee71dSXin LI#>>>>>13 ubyte >0 fsav virus signatures 38*b6cee71dSXin LI#>>>>>>11 ubyte x size 0x%02x 39*b6cee71dSXin LI#>>>>>>12 ubyte x \b%02x 40*b6cee71dSXin LI#>>>>>>13 ubyte x \b%02x bytes 41*b6cee71dSXin LI 42*b6cee71dSXin LI# Joerg Jenderek: joerg dot jenderek at web dot de 43*b6cee71dSXin LI# http://www.clamav.net/doc/latest/html/node45.html 44*b6cee71dSXin LI# .cvd files start with a 512 bytes colon separated header 45*b6cee71dSXin LI# ClamAV-VDB:buildDate:version:signaturesNumbers:functionalityLevelRequired:MD5:Signature:builder:buildTime 46*b6cee71dSXin LI# + gzipped tarball files 47*b6cee71dSXin LI0 string ClamAV-VDB: 48*b6cee71dSXin LI>11 string >\0 Clam AntiVirus database %-.23s 49*b6cee71dSXin LI>>34 string : 50*b6cee71dSXin LI>>>35 string !: \b, version 51*b6cee71dSXin LI>>>>35 string x \b%-.1s 52*b6cee71dSXin LI>>>>>36 string !: 53*b6cee71dSXin LI>>>>>>36 string x \b%-.1s 54*b6cee71dSXin LI>>>>>>>37 string !: 55*b6cee71dSXin LI>>>>>>>>37 string x \b%-.1s 56*b6cee71dSXin LI>>>>>>>>>38 string !: 57*b6cee71dSXin LI>>>>>>>>>>38 string x \b%-.1s 58*b6cee71dSXin LI>512 string \037\213 \b, gzipped 59*b6cee71dSXin LI>769 string ustar\0 \b, tarred 60*b6cee71dSXin LI 61*b6cee71dSXin LI# Type: Grisoft AVG AntiVirus 62*b6cee71dSXin LI# From: David Newgas <david@newgas.net> 63*b6cee71dSXin LI0 string AVG7_ANTIVIRUS_VAULT_FILE AVG 7 Antivirus vault file data 64*b6cee71dSXin LI 65*b6cee71dSXin LI0 string X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR 66*b6cee71dSXin LI>33 string -STANDARD-ANTIVIRUS-TEST-FILE!$H+H* EICAR virus test files 67