Maile mają związek z z wczorajszym wpisem o Ministerstwem Finansów. tym razem udają skany wysyłane mailem i zawierają zainfekowane docx. Wspólną cechą z poprzednim wpisem jest pole From i są to maile postaci info@gatewaygovuk87.us (oczywiście cyfry są różne). Do blacklist należy dodać wpisy nastepujące (moja na stronei zawiera oczywiście juz wt wpisy)
blacklist_from info@gatewaygovuk??.us blacklist_from info@gatewaygovuk?.us
Jak zwrócono uwagę w komentarzach we wcześniejszym wpisie maile idą z IP 85.143.188.0/23 (range Rosja). Tym razem jest tak samo.
maile jako zainfekowane wychwytywane są przez nieoficjalną bazę Clamava: i identyfikuje wirusa jako INFECTED: YARA.docx_macro.UNOFFICIAL.
ten typ wysyłki może być dużym problemem. o ile pliki exe, js, vbs można zablokować na serwerach poczty to pliki docx juz nie. na ten moment wykrywany jako wirus jest na 10/53 systemów antywirusowych( wg Virus Total) ponizej te które wykrywają.
Ja to wolę uwalić już na poziomie HELO … po co męczyć serwer?
/gatewaygovuk[0-9]{1,3}\.us$/ REJECT Ruskie wirusy
WHOIS pokazuje FAKE dane właściciela, więc pewnie jakaś grupa wspierana przez wiadome służby. Ew. można też zablokować całą klasę 85.143.188.0/23.
Nie ma tego duzo wiec mozna helo mozna blacklista, mozna message-id bo tez jest stale. Na szczeście jest duzo stalych, gorzej jak zacznie szalec z roznych ip, nadawcow itd