Kolejna mala próbka maili ze spakowanymi wirusami. Który to raz. Ostatnio szalała przesyłka z Poczty Polskiej. Teraz pojawiło się kilka maili(zapewne na razie kilka) z następną zRARowaną przesyłka. Cechą charakterystyczną są:
- temat postaci np.Order-List595885
- adresaci w kopii ukrytej
Na szczęście sporo AV wykrywa ta przesyłkę. jak skutecznie można zobaczyć na VirusTotal.com. A oto reguła na wychwytywanie tego rodzaju badziewia.
A oto reguła:
header __ZABOJCASPAMU_ORDERLIST_1 Subject=~/Order-List\d{4,}/
header __ZABOJCASPAMU_ORDERLIST_2 To=~/ndisclosed.(R|r)ecipient/
meta ZABOJCASPAMU_ORDERLIST __ZABOJCASPAMU_ORDERLIST_1 && __ZABOJCASPAMU_ORDERLIST_2
describe ZABOJCASPAMU_ORDERLIST Przesyłka z Orderlist i cyfry
score ZABOJCASPAMU_ORDERLIST 10