2 thoughts on “Reguła na vbs szyfrowania plików.

  1. Ja mam tak (wykorzystuje plugin MIMEHeader)

    ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
    mimeheader __DANGEROUS_VBS_CRYPT Content-Type =~ /(__document+_\d+|__dokument+_\d+|dokumentacja+_\d+)\.rar|\.vbe/
    meta DANGEROUS_VBS_CRYPT __DANGEROUS_VBS_CRYPT
    describe DANGEROUS_VBS_CRYPT VBS(lub inny) w login_cyfry w .zip lub .rar z VBSem
    score DANGEROUS_VBS_CRYPT 5.000

  2. polecam także moją metodę:

    Niebezpieczeństwo przychodzące do firm i instytucji poprzez pocztę elektroniczną jest ogromne.

    Klikanie na linki, otwieranie plików zip z niby faktura czy CV to ogromne zagrożenie.

    Poniżej opiszę jak przy pomocy clamav wycinać wiadomości, z załącznikami zip zawierającymi skompresowane, potencjalnie niebezpieczne zawartości.

    Funkcjonalność tą starałem się rozwiązać poprzez postfix, amavis itp. jednakże bezskutecznie. Dopiero sugestia na grupie https://www.facebook.com/groups/sysopspolska/ dała światełko w tunelu.

    Przechodząc do rzeczy, tworzy plik w katalogu lib clama /var/lib/clamav o zawartości:

    Archived_EXE:*:*:.*\.exe:*:*:*:*:*:*

    Archived_SCR:*:*:.*\.scr:*:*:*:*:*:*

    Archived_PIF:*:*:.*\.pif:*:*:*:*:*:*

    Archived_COM:*:*:.*\.com:*:*:*:*:*:*

    Archived_VB:*:*:.*\.vb:*:*:*:*:*:*

    Archived_VBS:*:*:.*\.vbs:*:*:*:*:*:*

    Archived_VBE:*:*:.*\.vbe:*:*:*:*:*:*

    Archived_JS:*:*:.*\.js:*:*:*:*:*:*

    Archived_JSE:*:*:.*\.jse:*:*:*:*:*:*

    Archived_WS:*:*:.*\.ws:*:*:*:*:*:*

    Archived_WSF:*:*:.*\.wsf:*:*:*:*:*:*

    Archived_WSC:*:*:.*\.wsc:*:*:*:*:*:*

    Archived_WSH:*:*:.*\.wsh:*:*:*:*:*:*

    Zapisujemy jako skasowac.cdb i restartujemy clama.

    To tyle.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *