слегка переделанный вариант deny message = Infected by I-Worm.Bagle.g condition = ${if and{ \ { match{$h_message-id:}{\N\<[a-z]{19}\@\N} } \ { > {$message_size} {12K} } \ { < {$message_size} {80K} } \ { match{$message_body}{\N[Pp]ass(word)?.*Content-Type: application/octet-stream; name="[a-zA-Z0-9_-]+\.[Zz][Ii][Pp]"\N} } \ { !def:h_x-mailer: } \ } {yes}{no}} On Thu, Mar 04, 2004 at 12:46:12PM +0200, Pavel Gulchouck wrote: PG> Hi! PG>On Thu, Mar 04, 2004 at 12:32:44PM +0200, Alexander Trotsai writes: PG>> VN>> как вам это нравицца? PG>> PG>> VN>http://www.viruslist.com/viruslist.html?id=144729632 PG>> PG>> clam и drweb уже ловят PG>Сложно его ловить. PG>После распаковки - конечно, ловят. А вот в парольных архивах - фиг. :( PG>----- Dr.Web report begin ----- PG>[28411] qqq - archive MAIL PG>[28411] >qqq/AttachedDocument.zip - archive ZIP PG>[28411] >>qqq/AttachedDocument.zip/wpuldu.scr - password protected, skipped PG>----- Dr.Web report end ----- PG>Пока заметил закономерность в построении msgid - <[a-z]{19}@.*>. PG>На этом основании нарисовал acl для exim - считать зараженными PG>письма с таким msgid, размером >12K, с зипом в аттаче и словом PG>"password" в теле письма. PG>acl_check_body: PG> discard message = Infected by I-Worm.Bagle.g PG> condition = ${if match {$message_headers}{Message-ID: <[a-z]\{19\}\@}{${if >{$message_size}{12K}{yes}{no}}}{no}} PG> condition = ${if match {$message_body}{[Pp]assword.*Content-Type: application/octet-stream; name="[a-zA-Z0-9_]+\.[Zz][Ii][Pp]"}{yes}{no}} PG>-- PG> Lucky carrier, PG> Паша. PG>=================================================================== PG>uanog mailing list. PG>To Unsubscribe: send mail to majordomo@uanog.kiev.ua PG>with "unsubscribe uanog" in the body of the message -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Учиться, учиться и еще раз учиться - три вещи несовместные =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message