Zipy z wirusami

Kilka dni temu we wpisie o vbs przedstawiona zostala reguła na pliki ZIP. Następnie pojawilała sie (chyba) mutacja tego która wykrywają nieoficjalne bazy Clamava i przedstawiają to jako SecuriteInfo.com.VBS.Encrypted.Gen.UNOFFICIAL.Cechu chararakterystyczne:

  • temat zaczyna sie od Re:
  • w temacie jest login adresata (czyli reguła LOCALPART
  • czas jest z przyszłości czyli reguła  czyli ta reguła
  • mail zawiera załącznik zip którego nazwa to login + sufix

Jest to bardzo podobna reguła do opisywanej tutaj reguły. Właściwie reguła jest niepotrzebna bo wszystko powinno wpadać juz w inne reguły ale reguł nigdy za mało:)

ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
        mimeheader __ZABOJCASPAMU_VBS_CRYPTv2_1 Content-Type =~ /[a-z.]+\.zip/
        header     __ZABOJCASPAMU_VBS_CRYPTv2_RE Subject=~/^Re:/
        meta       ZABOJCASPAMU_VBS_CRYPTv2   __ZABOJCASPAMU_VBS_CRYPTv2_1 && ZABOJCASPAMUPART_IN_SUBJECT && __ZABOJCASPAMU_VBS_CRYPTv2_RE && ZABOJCASPAMU_DATE_IN_FUTURE
        describe   ZABOJCASPAMU_VBS_CRYPTv2 VBS(lub inny) w login_cyfry.zip z VBSem
        score      ZABOJCASPAMU_VBS_CRYPTv2 10
endif

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *