[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[plamo:16571] Re: spam
-
From:KAWAMATA Yoshihiro
-
Date:Tue, 19 Nov 2002 00:13:03 +0900 (JST)
- Subject: [plamo:16571] Re: spam
- From: KAWAMATA Yoshihiro <kaw@xxxxxxxxxxxx>
- Date: Tue, 19 Nov 2002 00:12:51 +0900 (JST)
川俣と申します。
興味があるのでしゃしゃり出てきました。
From: 辰己丈夫 <tatsumi@qef.h.kobe-u.ac.jp>
Subject: [plamo:16550] Re: spam (Re: Re: Mew)
Date: Mon, 18 Nov 2002 11:49:17 +0900
> ところで、この話、fj にも投稿したのですが、私は
>
> http://qef.h.kobe-u.ac.jp/special/spamlist.txt
>
> というprocmailrcファイルを公開しています。これは頻繁に更新しています。
私も社内LANのウィルスフィルタリングで同じようなことをやっています。
私のは、procmail + formail + sh script で実装してあります。
スクリプトは添付のとおりです。特徴は;
・procmailレシピは /etc/procmailrc なので、メールサーバの全ユーザに一
律に適用されます。
・検出したメールは /var/virus/captured に保存されます。
(検知後の調査、あるいは誤検出の場合復帰できないと困るため。etc)
・ウィルスと検知されたメールは
・メール本文の頭に告知文が挿入される。
・Content-Type を Text/Plain に強制的に変換 → クリックしても無害
・本文の各行頭に 「VIRUS==>」という引用マークが付く。
・管理者 (デフォルトは postmaster@localhost) に告知メールを送信する。
あと、POP3プロキシに噛ませて使うバージョン(DeleGate CFIスクリプト、こ
れはPerlで書きました)もあります。
わたしも、きちんとした形にしてWebで公開しようと思ってるのですが、な
かなか手が付けられません。いい機会なので作ろうかな。
あと、sendmail の MILTER (Mail Filtering API) とかを使うともっと根本
的に解決できるのでしょうけど、私には難しいです。
----
川俣 吉広
#================
# Initialization
#
PATH=/bin:/usr/bin
VIRUSDIR=/var/virus
LOCKFILE=$VIRUSDIR/lock/pmlock
LOGFILE=$VIRUSDIR/pmlog
CAPTUREDIR=$VIRUSDIR/captured
#==================
# Check Virus Type
#
INCLUDERC=/var/virus/checkrules.pm
#===============================
# Processing Detected VirusMail
#
:0
* VIRTYPE ?? .
* ! ^X-MDA-VirusCheck: .*
{
:0c
$CAPTUREDIR/.
:0fh
|$VIRUSDIR/pmwrap-head.sh
:0fb
|$VIRUSDIR/pmwrap-body.sh
:0ch
|$VIRUSDIR/pmwrap-notify.sh
}
VIRTYPE=""
:B
* \.(DOC|MP3)\.(scr|pif)
{ VIRTYPE = "W32/BadTrans.B" }
:EB
* ^----VE
{ VIRTYPE = "W32/Hybris.gen@M" }
:EB
* ^FUIgi/nBVbA3pl9qISpLqVH3YKtBB
{ VIRTYPE = "W32/Frethem.*@MM" }
:EB
* ^(VQAAaNwBQQBW6FxVAACDxDRfXlvJw|Vui6UQAAg8Q0X15bycOD7GRTi1wkb)
{ VIRTYPE = "W32/Klez-*" }
:EB
* (readme|sample)\.exe\"
{ VIRTYPE = "PE/Nimda.*,W32/APost" }
:EB
* Jajajaja.*Es.*la.*ostia.*Miralo
{ VIRTYPE = "W32/Trilisa@MM" }
:EB
* vvery.*verr.*ffunny
{ VIRTYPE = "W32/MyLife.b@MM" }
:EB
* ^--Boundary-a8dfidaoRadvfuck
{ VIRTYPE = "W32/Fbound" }
:EB
* ^begin 666 www\.myparty\.yahoo\.com
{ VIRTYPE = "W32.Myparty@mm" }
:EB
* year-salary now
{ VIRTYPE = "W32/Klez" }
:EB
* whatever\.exe"
{ VIRTYPE = "W32/Aliz" }
:EB
* name="gone\.scr"
{ VIRTYPE = "W32/Goner" }
:EB
* ^TVqQAAMAAAAEAAAA
{ VIRTYPE = "Suspicious-Encoded-Executable" }
:EB
* (file|name).*=.*\.(386|acm|asd|asp|avb|bat|bin|chm|cil|cla|cmd|cnv|com|cs|dll|drv|exe|gms|hit|hlp|hta|inf|job|js|jse|lnk|lzh|mht|mpd|nta|nws|ocx|ov|pif|rar|reg|scf|scp|scr|sct|shb|shm|shs|sys|tlb|tsp|vb|vbe|vbs|vxd|wbt|wiz|wsc|wsf|wsh|zip)
{ VIRTYPE = "Suspicious-FileName-Extension" }
:EB
* ^begin *[0-7][0-7][0-7] *.*\.(386|acm|asd|asp|avb|bat|bin|chm|cil|cla|cmd|cnv|com|cs|dll|drv|exe|gms|hit|hlp|hta|inf|job|js|jse|lnk|lzh|mht|mpd|nta|nws|ocx|ov|pif|rar|reg|scf|scp|scr|sct|shb|shm|shs|sys|tlb|tsp|vb|vbe|vbs|vxd|wbt|wiz|wsc|wsf|wsh|zip)
{ VIRTYPE = "Suspicious-FileName-Extension/uuencode" }
#!/bin/sh
/usr/bin/formail -I 'Content-Type:' -a 'Content-Type: text/plain; charset=iso-2022-jp' -a "X-MDA-VirusCheck: $VIRTYPE"
#!/bin/sh
/usr/bin/sed -e 's|%VIRTYPE%|'"$VIRTYPE"'|g' /var/virus/warning.jis
/usr/bin/sed -e 's/^/VIRUS==> /'
#!/bin/sh
(IFS='' buf=`sed -e '/^$/,$d'`
f_date=`echo $buf|formail -c -x 'Date:'`
f_from=`echo $buf|formail -c -x 'From:'`
f_to=`echo $buf|formail -c -x 'To:'`
echo "==== VIRUS DETECTED AS FOLLOWS ===="
echo "= Date: $f_date"
echo "= From: $f_from"
echo "= To: $f_to"
echo "= Type: $VIRTYPE"
echo "===================================") | mail -s 'Virus Alert' postmaster@localhost
【警告】
このメールからコンピュータウィルスが検出されました。
ウィルスの種類は、「%VIRTYPE%」と推測されます。
感染の事実を調査するため、情報システム部までご連絡下さい。
お手数ですが、ご協力よろしくお願い致します。
××××技術局 情報システム部 (0xx-xxx-xxxx, 内線xxx)
なお、このメールには添付文書が付加されていましたが、
ウィルスを無害化するため、添付データは無効になっています。
ウィルス検出スクリプト
ProcVirus バージョン1.2
作成: 川俣吉広 (kaw@teny.co.jp)
----
- References
-
- [plamo:16499] spam (Re: Re: Mew), KOJIMA
- [plamo:16547] Re: spam (Re: Re: Mew), KATOH Yasufumi
- [plamo:16550] Re: spam (Re: Re: Mew), 辰己丈夫
[検索ページ]
[メール一覧]
Plamo ML 公開システム