Kilka dni temu we wpisie o vbs przedstawiona zostala reguła na pliki ZIP. Następnie pojawilała sie (chyba) mutacja tego która wykrywają nieoficjalne bazy Clamava i przedstawiają to jako SecuriteInfo.com.VBS.Encrypted.Gen.UNOFFICIAL.Cechu chararakterystyczne:
- temat zaczyna sie od Re:
- w temacie jest login adresata (czyli reguła LOCALPART
- czas jest z przyszłości czyli reguła czyli ta reguła
- mail zawiera załącznik zip którego nazwa to login + sufix
Jest to bardzo podobna reguła do opisywanej tutaj reguły. Właściwie reguła jest niepotrzebna bo wszystko powinno wpadać juz w inne reguły ale reguł nigdy za mało:)
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader mimeheader __ZABOJCASPAMU_VBS_CRYPTv2_1 Content-Type =~ /[a-z.]+\.zip/ header __ZABOJCASPAMU_VBS_CRYPTv2_RE Subject=~/^Re:/ meta ZABOJCASPAMU_VBS_CRYPTv2 __ZABOJCASPAMU_VBS_CRYPTv2_1 && ZABOJCASPAMUPART_IN_SUBJECT && __ZABOJCASPAMU_VBS_CRYPTv2_RE && ZABOJCASPAMU_DATE_IN_FUTURE describe ZABOJCASPAMU_VBS_CRYPTv2 VBS(lub inny) w login_cyfry.zip z VBSem score ZABOJCASPAMU_VBS_CRYPTv2 10 endif