Hi! On Thu, Mar 04, 2004 at 12:32:44PM +0200, Alexander Trotsai writes:
VN>> как вам это нравицца?
VN>http://www.viruslist.com/viruslist.html?id=144729632
clam и drweb уже ловят
Сложно его ловить. После распаковки - конечно, ловят. А вот в парольных архивах - фиг. :( ----- Dr.Web report begin ----- [28411] qqq - archive MAIL [28411] >qqq/AttachedDocument.zip - archive ZIP [28411] >>qqq/AttachedDocument.zip/wpuldu.scr - password protected, skipped ----- Dr.Web report end ----- Пока заметил закономерность в построении msgid - <[a-z]{19}@.*>. На этом основании нарисовал acl для exim - считать зараженными письма с таким msgid, размером >12K, с зипом в аттаче и словом "password" в теле письма. acl_check_body: discard message = Infected by I-Worm.Bagle.g condition = ${if match {$message_headers}{Message-ID: <[a-z]\{19\}\@}{${if >{$message_size}{12K}{yes}{no}}}{no}} condition = ${if match {$message_body}{[Pp]assword.*Content-Type: application/octet-stream; name="[a-zA-Z0-9_]+\.[Zz][Ii][Pp]"}{yes}{no}} -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message