la news /. http://slashdot.org/articles/04/01/27/0038234.shtml?tid=126&tid(...)
Un filtre procmail qui semble fonctionner chez moi:
:0 BH :
* -300^0
* 100^0 ^Subject: (Mail Delivery System|Hi|Hello|hello|Test|test)
* 100^0 ^X-MSMail-Priority: Normal
* 100^0 Content-Type: multipart/mixed;
* 100^0 ^The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment\.
* 100^0 ^The message contains Unicode characters and has been sent as a binary attachment\.
* 100^0 ^Mail transaction failed. Partial message is available\.
* 100^0 name=".*\.(bat|pif|zip)"
"${MAIL_DIR}/junk"
A noter que le score de depart est -300, mais que si vous craignez un filtrage trop large (a cause des 100 points engendres par "X-MSMail-Priority: Normal" qui est la valeur par defaut de outlook), mettez le score initial a -400... tout feedback le bienvenu car j'en recois a la pelle, donc si vous avez mieux, je suis preneur.
# Re: Encore un Worm.
Posté par Edouard Gomez (site web personnel) . Évalué à 2.
[^] # Re: Encore un Worm.
Posté par kallix . Évalué à 1.
le deuxieme a pour sujet "DELIVERY FAILURE: Recipient user name peter (peter@ketc***.fr) not unique. Several matches found in Name & Address Book." et il y a un .scr dans le zip.
Je crois que ton filtre ne vas marcher longtemps :(
[^] # Re: Encore un Worm.
Posté par kallix . Évalué à 1.
D'apres http://www.sarc.com/avcenter/venc/data/w32.novarg.a@mm.html(...) le worm scanne des fichiers pour trouver des adreses mails auxquelles s'auto-envoyer. Je ne pensait pas qu'autant de personnes avait mon adresse :)
A noter que ce worm a pour but de lancer un DoS contre www.sco.com entre le 1 et le 12 fevrier.
[^] # Re: Encore un Worm.
Posté par Marc (site web personnel) . Évalué à 0.
# Re: Encore un Worm.
Posté par Edouard Gomez (site web personnel) . Évalué à 1.
- 117 worms interceptes
- 50 ont passé la règle (je compte aussi les reponses automatiques des gateways anti virus, qui sont tout autant une plaie que les worms)
AU SECOURS ! pourquoi tout le monde forge ses worms a partir de mon adresse email :\
# Re: Encore un Worm.
Posté par nive . Évalué à 4.
:0:
* ^Content-Type:.*multipart/
* 1^1 B ?? ^Content-Type:.*application/x-msdownload
* 1^1 B ?? ^Content-Type:.*name=.*\.(exe|scr|pif|com|bat)
* 1^1 B ?? ^[ ]+(file)?name=.*\.(exe|scr|pif|com|bat)
* -1^1 B ?? ^[ ]+(file)?name=3D.*\.(exe|scr|pif|com|bat)
virus/
# Re: Encore un Worm.
Posté par Edouard Gomez (site web personnel) . Évalué à 3.
# Piege a worm con qui se fout sous la forme d'un exe win32 :0 BD: * name=".*\.(scr|bat|pif|cmd|exe)" "${MAIL_DIR}/junk" # le piege a MyDoom proprement dit :0 BHD : * -700^0 * 100^0 > 30000 * 100^0 < 36000 * 100^0 ^Subject: (Mail Delivery System|Hi|Hello|hello|Test|test|Status) * 100^0 ^X-Priority: 3 * 100^0 ^X-MSMail-Priority: Normal * 100^0 Content-Type: text/plain; * 100^0 charset="Windows-1252" * 100^0 Content-Type: multipart/mixed; * 100^0 ^The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment\. * 100^0 ^The message contains Unicode characters and has been sent as a binary attachment\. * 100^0 ^Mail transaction failed. Partial message is available\. # just test the zip extension as usual extensions get trapped by the # "dumb worms" rule * 100^0 name=".*\.zip" "${MAIL_DIR}/junk"EnjoySuivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.