Jak było napisane lepiej zablokować VBS ale ktoś nie chce/nie może. Oto reguła
2 thoughts on “Reguła na vbs szyfrowania plików.”
Ja mam tak (wykorzystuje plugin MIMEHeader)
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
mimeheader __DANGEROUS_VBS_CRYPT Content-Type =~ /(__document+_\d+|__dokument+_\d+|dokumentacja+_\d+)\.rar|\.vbe/
meta DANGEROUS_VBS_CRYPT __DANGEROUS_VBS_CRYPT
describe DANGEROUS_VBS_CRYPT VBS(lub inny) w login_cyfry w .zip lub .rar z VBSem
score DANGEROUS_VBS_CRYPT 5.000
Niebezpieczeństwo przychodzące do firm i instytucji poprzez pocztę elektroniczną jest ogromne.
Klikanie na linki, otwieranie plików zip z niby faktura czy CV to ogromne zagrożenie.
Poniżej opiszę jak przy pomocy clamav wycinać wiadomości, z załącznikami zip zawierającymi skompresowane, potencjalnie niebezpieczne zawartości.
Funkcjonalność tą starałem się rozwiązać poprzez postfix, amavis itp. jednakże bezskutecznie. Dopiero sugestia na grupie https://www.facebook.com/groups/sysopspolska/ dała światełko w tunelu.
Przechodząc do rzeczy, tworzy plik w katalogu lib clama /var/lib/clamav o zawartości:
Archived_EXE:*:*:.*\.exe:*:*:*:*:*:*
Archived_SCR:*:*:.*\.scr:*:*:*:*:*:*
Archived_PIF:*:*:.*\.pif:*:*:*:*:*:*
Archived_COM:*:*:.*\.com:*:*:*:*:*:*
Archived_VB:*:*:.*\.vb:*:*:*:*:*:*
Archived_VBS:*:*:.*\.vbs:*:*:*:*:*:*
Archived_VBE:*:*:.*\.vbe:*:*:*:*:*:*
Archived_JS:*:*:.*\.js:*:*:*:*:*:*
Archived_JSE:*:*:.*\.jse:*:*:*:*:*:*
Archived_WS:*:*:.*\.ws:*:*:*:*:*:*
Archived_WSF:*:*:.*\.wsf:*:*:*:*:*:*
Archived_WSC:*:*:.*\.wsc:*:*:*:*:*:*
Archived_WSH:*:*:.*\.wsh:*:*:*:*:*:*
Zapisujemy jako skasowac.cdb i restartujemy clama.
Ja mam tak (wykorzystuje plugin MIMEHeader)
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
mimeheader __DANGEROUS_VBS_CRYPT Content-Type =~ /(__document+_\d+|__dokument+_\d+|dokumentacja+_\d+)\.rar|\.vbe/
meta DANGEROUS_VBS_CRYPT __DANGEROUS_VBS_CRYPT
describe DANGEROUS_VBS_CRYPT VBS(lub inny) w login_cyfry w .zip lub .rar z VBSem
score DANGEROUS_VBS_CRYPT 5.000
polecam także moją metodę:
Niebezpieczeństwo przychodzące do firm i instytucji poprzez pocztę elektroniczną jest ogromne.
Klikanie na linki, otwieranie plików zip z niby faktura czy CV to ogromne zagrożenie.
Poniżej opiszę jak przy pomocy clamav wycinać wiadomości, z załącznikami zip zawierającymi skompresowane, potencjalnie niebezpieczne zawartości.
Funkcjonalność tą starałem się rozwiązać poprzez postfix, amavis itp. jednakże bezskutecznie. Dopiero sugestia na grupie https://www.facebook.com/groups/sysopspolska/ dała światełko w tunelu.
Przechodząc do rzeczy, tworzy plik w katalogu lib clama /var/lib/clamav o zawartości:
Archived_EXE:*:*:.*\.exe:*:*:*:*:*:*
Archived_SCR:*:*:.*\.scr:*:*:*:*:*:*
Archived_PIF:*:*:.*\.pif:*:*:*:*:*:*
Archived_COM:*:*:.*\.com:*:*:*:*:*:*
Archived_VB:*:*:.*\.vb:*:*:*:*:*:*
Archived_VBS:*:*:.*\.vbs:*:*:*:*:*:*
Archived_VBE:*:*:.*\.vbe:*:*:*:*:*:*
Archived_JS:*:*:.*\.js:*:*:*:*:*:*
Archived_JSE:*:*:.*\.jse:*:*:*:*:*:*
Archived_WS:*:*:.*\.ws:*:*:*:*:*:*
Archived_WSF:*:*:.*\.wsf:*:*:*:*:*:*
Archived_WSC:*:*:.*\.wsc:*:*:*:*:*:*
Archived_WSH:*:*:.*\.wsh:*:*:*:*:*:*
Zapisujemy jako skasowac.cdb i restartujemy clama.
To tyle.