Hi! On Thu, Mar 04, 2004 at 02:31:04PM +0200, Alexander Trotsai wrote: AT> слегка переделанный вариант AT> deny message = Infected by I-Worm.Bagle.g AT> condition = ${if and{ \ AT> { match{$h_message-id:}{\N\<[a-z]{19}\@\N} } \ AT> { > {$message_size} {12K} } \ AT> { < {$message_size} {80K} } \ AT> { match{$message_body}{\N[Pp]ass(word)?.*Content-Type: application/octet-stream; name="[a-zA-Z0-9_-]+\.[Zz][Ii][Pp]"\N} } \ AT> { !def:h_x-mailer: } \ AT> } {yes}{no}} Там ещё boundary очень характерный: "--------[a-z]{20}". AT> On Thu, Mar 04, 2004 at 12:46:12PM +0200, Pavel Gulchouck wrote: PG>>On Thu, Mar 04, 2004 at 12:32:44PM +0200, Alexander Trotsai writes: PG>> VN>>> как вам это нравицца? PG>>> PG>> VN>>http://www.viruslist.com/viruslist.html?id=144729632 PG>>> PG>>> clam и drweb уже ловят PG>>Сложно его ловить. PG>>После распаковки - конечно, ловят. А вот в парольных архивах - фиг. :( PG>>----- Dr.Web report begin ----- PG>>[28411] qqq - archive MAIL PG>>[28411] >qqq/AttachedDocument.zip - archive ZIP PG>>[28411] >>qqq/AttachedDocument.zip/wpuldu.scr - password protected, skipped PG>>----- Dr.Web report end ----- PG>>Пока заметил закономерность в построении msgid - <[a-z]{19}@.*>. PG>>На этом основании нарисовал acl для exim - считать зараженными PG>>письма с таким msgid, размером >12K, с зипом в аттаче и словом PG>>"password" в теле письма. PG>>acl_check_body: PG>> discard message = Infected by I-Worm.Bagle.g PG>> condition = ${if match {$message_headers}{Message-ID: <[a-z]\{19\}\@}{${if >{$message_size}{12K}{yes}{no}}}{no}} PG>> condition = ${if match {$message_body}{[Pp]assword.*Content-Type: application/octet-stream; name="[a-zA-Z0-9_]+\.[Zz][Ii][Pp]"}{yes}{no}} PG>>-- PG>> Lucky carrier, PG>> Паша. AT> -- AT> Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC AT> My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] AT> Учиться, учиться и еще раз учиться - три вещи несовместные -- Vsevolod Volkov (VVV-UANIC) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message