[plamo:16571] Re: spam

[KAWAMATA Yoshihiro]

  川俣と申します。
興味があるのでしゃしゃり出てきました。

From: 辰己丈夫 <tatsumi@qef.h.kobe-u.ac.jp>
Subject: [plamo:16550] Re: spam (Re: Re: Mew)
Date: Mon, 18 Nov 2002 11:49:17 +0900

> ところで、この話、fj にも投稿したのですが、私は
> 
>   http://qef.h.kobe-u.ac.jp/special/spamlist.txt
> 
> というprocmailrcファイルを公開しています。これは頻繁に更新しています。

  私も社内LANのウィルスフィルタリングで同じようなことをやっています。
私のは、procmail + formail + sh script で実装してあります。

  スクリプトは添付のとおりです。特徴は；

・procmailレシピは /etc/procmailrc なので、メールサーバの全ユーザに一
  律に適用されます。

・検出したメールは /var/virus/captured に保存されます。
（検知後の調査、あるいは誤検出の場合復帰できないと困るため。etc）

・ウィルスと検知されたメールは
  ・メール本文の頭に告知文が挿入される。
  ・Content-Type を Text/Plain に強制的に変換 → クリックしても無害
  ・本文の各行頭に 「VIRUS==>」という引用マークが付く。

・管理者 (デフォルトは postmaster@localhost) に告知メールを送信する。

あと、POP3プロキシに噛ませて使うバージョン(DeleGate CFIスクリプト、こ
れはPerlで書きました)もあります。

  わたしも、きちんとした形にしてWebで公開しようと思ってるのですが、な
かなか手が付けられません。いい機会なので作ろうかな。


  あと、sendmail の MILTER (Mail Filtering API) とかを使うともっと根本
的に解決できるのでしょうけど、私には難しいです。
----
川俣 吉広

#================
# Initialization
#
      PATH=/bin:/usr/bin
  VIRUSDIR=/var/virus
  LOCKFILE=$VIRUSDIR/lock/pmlock
   LOGFILE=$VIRUSDIR/pmlog
CAPTUREDIR=$VIRUSDIR/captured

#==================
# Check Virus Type
#
INCLUDERC=/var/virus/checkrules.pm

#===============================
# Processing Detected VirusMail
#
:0
* VIRTYPE ?? .
* ! ^X-MDA-VirusCheck: .*
{
	:0c
	$CAPTUREDIR/.

	:0fh
	|$VIRUSDIR/pmwrap-head.sh
	:0fb
	|$VIRUSDIR/pmwrap-body.sh
	:0ch
	|$VIRUSDIR/pmwrap-notify.sh
}
VIRTYPE=""
:B
* \.(DOC|MP3)\.(scr|pif)
	{ VIRTYPE = "W32/BadTrans.B" }
:EB
* ^----VE
	{ VIRTYPE = "W32/Hybris.gen@M" }
:EB
* ^FUIgi/nBVbA3pl9qISpLqVH3YKtBB
	{ VIRTYPE = "W32/Frethem.*@MM" }
:EB
* ^(VQAAaNwBQQBW6FxVAACDxDRfXlvJw|Vui6UQAAg8Q0X15bycOD7GRTi1wkb)
	{ VIRTYPE = "W32/Klez-*" }
:EB
* (readme|sample)\.exe\"
	{ VIRTYPE = "PE/Nimda.*,W32/APost" }
:EB
* Jajajaja.*Es.*la.*ostia.*Miralo
	{ VIRTYPE = "W32/Trilisa@MM" }
:EB
* vvery.*verr.*ffunny
	{ VIRTYPE = "W32/MyLife.b@MM" }
:EB
* ^--Boundary-a8dfidaoRadvfuck
	{ VIRTYPE = "W32/Fbound" }
:EB
* ^begin 666 www\.myparty\.yahoo\.com
	{ VIRTYPE = "W32.Myparty@mm" }
:EB
* year-salary now
	{ VIRTYPE = "W32/Klez" }
:EB
* whatever\.exe"
	{ VIRTYPE = "W32/Aliz" }
:EB
* name="gone\.scr"
	{ VIRTYPE = "W32/Goner" }
:EB
* ^TVqQAAMAAAAEAAAA
	{ VIRTYPE = "Suspicious-Encoded-Executable" }
:EB
* (file|name).*=.*\.(386|acm|asd|asp|avb|bat|bin|chm|cil|cla|cmd|cnv|com|cs|dll|drv|exe|gms|hit|hlp|hta|inf|job|js|jse|lnk|lzh|mht|mpd|nta|nws|ocx|ov|pif|rar|reg|scf|scp|scr|sct|shb|shm|shs|sys|tlb|tsp|vb|vbe|vbs|vxd|wbt|wiz|wsc|wsf|wsh|zip)
	{ VIRTYPE = "Suspicious-FileName-Extension" }
:EB
* ^begin  *[0-7][0-7][0-7]  *.*\.(386|acm|asd|asp|avb|bat|bin|chm|cil|cla|cmd|cnv|com|cs|dll|drv|exe|gms|hit|hlp|hta|inf|job|js|jse|lnk|lzh|mht|mpd|nta|nws|ocx|ov|pif|rar|reg|scf|scp|scr|sct|shb|shm|shs|sys|tlb|tsp|vb|vbe|vbs|vxd|wbt|wiz|wsc|wsf|wsh|zip)
	{ VIRTYPE = "Suspicious-FileName-Extension/uuencode" }
#!/bin/sh
/usr/bin/formail -I 'Content-Type:' -a 'Content-Type: text/plain; charset=iso-2022-jp' -a "X-MDA-VirusCheck: $VIRTYPE"
#!/bin/sh
/usr/bin/sed -e 's|%VIRTYPE%|'"$VIRTYPE"'|g' /var/virus/warning.jis
/usr/bin/sed -e 's/^/VIRUS==> /'
#!/bin/sh
(IFS='' buf=`sed -e '/^$/,$d'`
 f_date=`echo $buf|formail -c -x 'Date:'`
 f_from=`echo $buf|formail -c -x 'From:'`
   f_to=`echo $buf|formail -c -x 'To:'`
 echo "==== VIRUS DETECTED AS FOLLOWS ===="
 echo "= Date: $f_date"
 echo "= From: $f_from"
 echo "=   To: $f_to"
 echo "= Type:  $VIRTYPE"
 echo "===================================") | mail -s 'Virus Alert' postmaster@localhost
【警告】

  このメールからコンピュータウィルスが検出されました。
ウィルスの種類は、「%VIRTYPE%」と推測されます。

  感染の事実を調査するため、情報システム部までご連絡下さい。
お手数ですが、ご協力よろしくお願い致します。

  ××××技術局 情報システム部 (0xx-xxx-xxxx, 内線xxx)

  なお、このメールには添付文書が付加されていましたが、
ウィルスを無害化するため、添付データは無効になっています。


                                     ウィルス検出スクリプト
                                    ProcVirus バージョン1.2
                             作成: 川俣吉広 (kaw@teny.co.jp)
----