как вам это нравицца? ----------------------------------- ????: E-mail account disabling warning. ????: Thu, 04 Mar 2004 10:35:52 +0500 ??: management@org.ua ????: info@ameu.org.ua Dear user of Org.ua, Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service. For details see the attach. In order to read the attach you have to use the following password: 08580. The Management, The Org.ua team http://www.org.ua ----------------------------- и внутри аттач типа зип -- Serge Pekarsky [SBP4-RIPE] [SP4-UANIC] =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Thu, Mar 04, 2004 at 10:23 +0200, Serge Pekarsky wrote: Тю, обычный вирусняк, нашел чем удивить...
как вам это нравицца? ----------------------------------- ????: E-mail account disabling warning. ????: Thu, 04 Mar 2004 10:35:52 +0500 ??: management@org.ua ????: info@ameu.org.ua
Dear user of Org.ua,
Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
For details see the attach.
In order to read the attach you have to use the following password: 08580.
The Management, The Org.ua team http://www.org.ua -----------------------------
и внутри аттач типа зип -- Serge Pekarsky [SBP4-RIPE] [SP4-UANIC]
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- Victor Cheburkin VCW61, VC319-RIPE, VC1-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Thu, Mar 04, 2004 at 10:23:38, macman wrote about "[uanog] org.ua":
как вам это нравицца?
http://www.viruslist.com/viruslist.html?id=144729632
----------------------------------- ????: E-mail account disabling warning. ????: Thu, 04 Mar 2004 10:35:52 +0500 ??: management@org.ua ????: info@ameu.org.ua
Dear user of Org.ua,
Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
For details see the attach.
In order to read the attach you have to use the following password: 08580.
The Management, The Org.ua team http://www.org.ua -----------------------------
и внутри аттач типа зип
-netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Mar 04, 2004 at 11:14:01AM +0200, Valentin Nechayev wrote: VN> Thu, Mar 04, 2004 at 10:23:38, macman wrote about "[uanog] org.ua": VN>> как вам это нравицца? VN>http://www.viruslist.com/viruslist.html?id=144729632 clam и drweb уже ловят -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Не ошибается то, что не работает =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Thu, Mar 04, 2004 at 12:32:44PM +0200, Alexander Trotsai writes:
VN>> как вам это нравицца?
VN>http://www.viruslist.com/viruslist.html?id=144729632
clam и drweb уже ловят
Сложно его ловить. После распаковки - конечно, ловят. А вот в парольных архивах - фиг. :( ----- Dr.Web report begin ----- [28411] qqq - archive MAIL [28411] >qqq/AttachedDocument.zip - archive ZIP [28411] >>qqq/AttachedDocument.zip/wpuldu.scr - password protected, skipped ----- Dr.Web report end ----- Пока заметил закономерность в построении msgid - <[a-z]{19}@.*>. На этом основании нарисовал acl для exim - считать зараженными письма с таким msgid, размером >12K, с зипом в аттаче и словом "password" в теле письма. acl_check_body: discard message = Infected by I-Worm.Bagle.g condition = ${if match {$message_headers}{Message-ID: <[a-z]\{19\}\@}{${if >{$message_size}{12K}{yes}{no}}}{no}} condition = ${if match {$message_body}{[Pp]assword.*Content-Type: application/octet-stream; name="[a-zA-Z0-9_]+\.[Zz][Ii][Pp]"}{yes}{no}} -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
слегка переделанный вариант deny message = Infected by I-Worm.Bagle.g condition = ${if and{ \ { match{$h_message-id:}{\N\<[a-z]{19}\@\N} } \ { > {$message_size} {12K} } \ { < {$message_size} {80K} } \ { match{$message_body}{\N[Pp]ass(word)?.*Content-Type: application/octet-stream; name="[a-zA-Z0-9_-]+\.[Zz][Ii][Pp]"\N} } \ { !def:h_x-mailer: } \ } {yes}{no}} On Thu, Mar 04, 2004 at 12:46:12PM +0200, Pavel Gulchouck wrote: PG> Hi! PG>On Thu, Mar 04, 2004 at 12:32:44PM +0200, Alexander Trotsai writes: PG>> VN>> как вам это нравицца? PG>> PG>> VN>http://www.viruslist.com/viruslist.html?id=144729632 PG>> PG>> clam и drweb уже ловят PG>Сложно его ловить. PG>После распаковки - конечно, ловят. А вот в парольных архивах - фиг. :( PG>----- Dr.Web report begin ----- PG>[28411] qqq - archive MAIL PG>[28411] >qqq/AttachedDocument.zip - archive ZIP PG>[28411] >>qqq/AttachedDocument.zip/wpuldu.scr - password protected, skipped PG>----- Dr.Web report end ----- PG>Пока заметил закономерность в построении msgid - <[a-z]{19}@.*>. PG>На этом основании нарисовал acl для exim - считать зараженными PG>письма с таким msgid, размером >12K, с зипом в аттаче и словом PG>"password" в теле письма. PG>acl_check_body: PG> discard message = Infected by I-Worm.Bagle.g PG> condition = ${if match {$message_headers}{Message-ID: <[a-z]\{19\}\@}{${if >{$message_size}{12K}{yes}{no}}}{no}} PG> condition = ${if match {$message_body}{[Pp]assword.*Content-Type: application/octet-stream; name="[a-zA-Z0-9_]+\.[Zz][Ii][Pp]"}{yes}{no}} PG>-- PG> Lucky carrier, PG> Паша. PG>=================================================================== PG>uanog mailing list. PG>To Unsubscribe: send mail to majordomo@uanog.kiev.ua PG>with "unsubscribe uanog" in the body of the message -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Учиться, учиться и еще раз учиться - три вещи несовместные =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Thu, Mar 04, 2004 at 02:31:04PM +0200, Alexander Trotsai wrote: AT> слегка переделанный вариант AT> deny message = Infected by I-Worm.Bagle.g AT> condition = ${if and{ \ AT> { match{$h_message-id:}{\N\<[a-z]{19}\@\N} } \ AT> { > {$message_size} {12K} } \ AT> { < {$message_size} {80K} } \ AT> { match{$message_body}{\N[Pp]ass(word)?.*Content-Type: application/octet-stream; name="[a-zA-Z0-9_-]+\.[Zz][Ii][Pp]"\N} } \ AT> { !def:h_x-mailer: } \ AT> } {yes}{no}} Там ещё boundary очень характерный: "--------[a-z]{20}". AT> On Thu, Mar 04, 2004 at 12:46:12PM +0200, Pavel Gulchouck wrote: PG>>On Thu, Mar 04, 2004 at 12:32:44PM +0200, Alexander Trotsai writes: PG>> VN>>> как вам это нравицца? PG>>> PG>> VN>>http://www.viruslist.com/viruslist.html?id=144729632 PG>>> PG>>> clam и drweb уже ловят PG>>Сложно его ловить. PG>>После распаковки - конечно, ловят. А вот в парольных архивах - фиг. :( PG>>----- Dr.Web report begin ----- PG>>[28411] qqq - archive MAIL PG>>[28411] >qqq/AttachedDocument.zip - archive ZIP PG>>[28411] >>qqq/AttachedDocument.zip/wpuldu.scr - password protected, skipped PG>>----- Dr.Web report end ----- PG>>Пока заметил закономерность в построении msgid - <[a-z]{19}@.*>. PG>>На этом основании нарисовал acl для exim - считать зараженными PG>>письма с таким msgid, размером >12K, с зипом в аттаче и словом PG>>"password" в теле письма. PG>>acl_check_body: PG>> discard message = Infected by I-Worm.Bagle.g PG>> condition = ${if match {$message_headers}{Message-ID: <[a-z]\{19\}\@}{${if >{$message_size}{12K}{yes}{no}}}{no}} PG>> condition = ${if match {$message_body}{[Pp]assword.*Content-Type: application/octet-stream; name="[a-zA-Z0-9_]+\.[Zz][Ii][Pp]"}{yes}{no}} PG>>-- PG>> Lucky carrier, PG>> Паша. AT> -- AT> Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC AT> My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] AT> Учиться, учиться и еще раз учиться - три вещи несовместные -- Vsevolod Volkov (VVV-UANIC) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Thu, Mar 04, 2004 at 02:31:04PM +0200, Alexander Trotsai writes:
слегка переделанный вариант deny message = Infected by I-Worm.Bagle.g condition = ${if and{ \ { match{$h_message-id:}{\N\<[a-z]{19}\@\N} } \ { > {$message_size} {12K} } \ { < {$message_size} {80K} } \ { match{$message_body}{\N[Pp]ass(word)?.*Content-Type: application/octet-stream; name="[a-zA-Z0-9_-]+\.[Zz][Ii][Pp]"\N} } \ { !def:h_x-mailer: } \ } {yes}{no}}
Еще нужно добавить в основную часть конфига message_body_visible = 4K а то 500 байт, которые по умолчанию, недостаточно. Текстовая часть иногда длиннее бывает. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Mar 04, 2004 at 02:55:27PM +0200, Pavel Gulchouck wrote: PG> Hi! PG>On Thu, Mar 04, 2004 at 02:31:04PM +0200, Alexander Trotsai writes: PG>> слегка переделанный вариант PG>> deny message = Infected by I-Worm.Bagle.g PG>> condition = ${if and{ \ PG>> { match{$h_message-id:}{\N\<[a-z]{19}\@\N} } \ PG>> { > {$message_size} {12K} } \ PG>> { < {$message_size} {80K} } \ PG>> { match{$message_body}{\N[Pp]ass(word)?.*Content-Type: application/octet-stream; name="[a-zA-Z0-9_-]+\.[Zz][Ii][Pp]"\N} } \ PG>> { !def:h_x-mailer: } \ PG>> } {yes}{no}} PG>Еще нужно добавить в основную часть конфига PG>message_body_visible = 4K PG>а то 500 байт, которые по умолчанию, недостаточно. Текстовая часть PG>иногда длиннее бывает. message_body_visible = 32k хотя по умолчанию по-моему все-таки 16K -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Программу циклом не испортишь =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thursday 04 March 2004 15:10, Alexander Trotsai wrote:
On Thu, Mar 04, 2004 at 02:55:27PM +0200, Pavel Gulchouck wrote: PG> Hi!
PG>On Thu, Mar 04, 2004 at 02:31:04PM +0200, Alexander Trotsai writes: PG>> слегка переделанный вариант PG>> deny message = Infected by I-Worm.Bagle.g PG>> condition = ${if and{ \ PG>> { match{$h_message-id:}{\N\<[a-z]{19}\@\N} } \ PG>> { > {$message_size} {12K} } \ PG>> { < {$message_size} {80K} } \ PG>> { match{$message_body}{\N[Pp]ass(word)?.*Content-Type: application/octet-stream; name="[a-zA-Z0-9_-]+\.[Zz][Ii][Pp]"\N} } \ PG>> { !def:h_x-mailer: } \ PG>> } {yes}{no}}
PG>Еще нужно добавить в основную часть конфига
PG>message_body_visible = 4K
PG>а то 500 байт, которые по умолчанию, недостаточно. Текстовая часть PG>иногда длиннее бывает.
message_body_visible = 32k хотя по умолчанию по-моему все-таки 16K
Паша прав :) message_body_visible Type: integer Default: 500 но учитывая, что этот параметр влияет и на system_filter оставлять его в default imho не разумно. -- Dimitry Русские прохладно относятся к труду потому, что у нас за маленькие деньги работать не имеет смысла, а за большие работать не надо =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Mar 04, 2004 at 02:31:04PM +0200, Alexander Trotsai wrote:
слегка переделанный вариант deny message = Infected by I-Worm.Bagle.g condition = ${if and{ \ { match{$h_message-id:}{\N\<[a-z]{19}\@\N} } \ { > {$message_size} {12K} } \ { < {$message_size} {80K} } \ { match{$message_body}{\N[Pp]ass(word)?.*Content-Type: application/octet-stream; name="[a-zA-Z0-9_-]+\.[Zz][Ii][Pp]"\N} } \ { !def:h_x-mailer: } \ } {yes}{no}} А во что бы скормить message (headers+body) по tcp, и получить отчёт на тему "чего там было"?
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (8)
-
Alexander Trotsai -
Dmitry Alyabyev -
Paul Arakelyan -
Pavel Gulchouck -
Serge Pekarsky -
Valentin Nechayev -
Victor Cheburkin -
Vsevolod Volkov