[sanesecurity] Re: Foxhole JS

• From: "Steve Basford" <steveb_clamav@xxxxxxxxxxxxxxxx>
• To: sanesecurity@xxxxxxxxxxxxx
• Date: Wed, 18 May 2016 13:41:57 +0100

On Wed, May 18, 2016 1:11 pm, Peter wrote:

I've just received a batch of TeslaCrypt zips in emails which weren't
caught by the foxhole sigs... that confused me for a while! They were the
usual .js within a zip format.

Anyway, long story short...
I've had to increase the FileSizeInContainer range on my servers - these
files were somehow around 180KB packed and foxhole only looks at up to 42KB
(packed) files.
I didn't open the JS to see why they were so big.
Hope that saves someone else from the same confusion it caused me!

Hi Peter,

Thanks for the feedback and sorry for the confusion.

I made the size quite small really to avoid as many FP's as possible but
I've increased the size now to 512000, which will go out in the next
update.

Cheers,

Steve
Twitter: @sanesecurity

• References:
  • [sanesecurity] Foxhole JS
    • From: Peter

Other related posts:

• » [sanesecurity] Foxhole JS- Peter
• » [sanesecurity] Re: Foxhole JS - Steve Basford

1. Home
2. sanesecurity
3. Archive
4. 05-2016

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---