On Wed, 28 Jan 2004, Oleg Cherevko wrote:
On Tue, 27 Jan 2004, Michael Plostak wrote:
On Tue, Jan 27, 2004 at 09:01:55PM +0200, Pavel Gulchouck wrote:
Я обнаружил, что у него есть поле X-MSMail-Priority: Normal, но при этом нет полей X-Mailer и X-Newsreader. Думаю, что это характерная особенность, по которой вполне можно фильтровать. Правда, для этого нужно сначала заголовок получить... Но все равно дешевле, чем антивирусом каждый аттач проверять.
О! Вот это дело, благодарствую. Ложных вроде быть не должно.
В письмах вируса также изначально нет поля Message-ID. Это, IMHO, тоже неплохой критерий.
А по X-MSMail-Priority без X-Mailer и X-Newsreader ложные срабатывания все же есть, хотя и очень мало (YMMV).
Если кому еще интересно, то вот на этой странице с описанием Novarg'а http://www.f-secure.com/v-descs/novarg.shtml в разделе "Blocking the worm on the mail server" имеются регулярные выражения для ловли его .zip'овых attachment'ов. Их можно свести в одно и поучится, что начало MIME-encoded .zip attacment'а должно удовлетворять такому регулярному выражению (естественно, без кавычек): "^UEsDBAoAAAAAA.{6}(KJx\+eAFgAAAB|zy5egAlgAAAJ)YAA" -- Olwi =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message