[Aktulizacja 2016-07-07] Poprawienie reguly po pojawieniu się nowego formatu
Znowu następny wysyp maili szkodników.Nie jest to spam a zapewne pishing. Cóż.. nie pierwszy i nie ostatni zapewne. W plikach zip sa skryppty Visual Basica. mało kto zablokuje VBSy na serwerach. Jak nic trzeba zaprzęgnąć SpamAssassina do działania.
Dwie charakterystyczne cechy tych maili
- brak tematu
- załącznik jako plik zip w ktorym znajduje się VBS. nazwa załącznika ma format np INVOICE_9931382330432_login.zip
Drugi punkt jest tak charakterystyczny, że tylko on zostanie uzyty. Aby poprawnie działa reguła należy załadować plugin MIMEheader
loadplugin Mail::SpamAssassin::Plugin::MIMEHeader
w Debianopodobnych jest to /etc/spamassassin/v310.pre i wystarczy odkomentować ta linię
Oto reguła która sprawdza również czy powyższy moduł jest załadowany
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader mimeheader ZABOJCASPAMU_INVOICE_VBS Content-Type =~ /(INVOICE_\d+_[a-z.-]+|[a-z.-]+_INVOICE\d+)\.zip/ describe ZABOJCASPAMU_INVOICE_VBS Mail z INVOICE score ZABOJCASPAMU_INVOICE_VBS 10 endif