Esiste un sistema per "killare" anche in base all'attach (.pif, .exe,
.scr...)? Per ora filtro anche con
|ignore() *Content-Type: "multipart/mixed"
|ignore() *Content-Type: "multipart/alternative"
|ignore() *Content-Type: "multipart/related"
ma cercavo qualcosa di più specifico.
Grazie.
Ciao, Alessio.
--
La versione ufficiale di Agent 1.93 *in italiano* è disponibile su
http://www.forteinc.com/agent/download.php?language=Italiano
Il manuale in italiano di Agent, la guida a FreeAgent, le FAQ di ICSN
e altre risorse si trovano su http://spazioinwind.iol.it/sleepers/
Buon lavoro
LuigiT
P.S. Con questo link spero di non essere uscito dalla net-etiquette
"LuigiT" <gruppi.tub...@infinito.it> ha scritto nel messaggio
news:3ee040b2.4431279@localhost...
> On Fri, 06 Jun 2003 08:23:21 +0200, Sleepers <sleeper...@tin.it>
> wrote:
> >Esiste un sistema per "killare" anche in base all'attach (.pif, .exe,
> >.scr...)? Per ora filtro anche con
> >ma cercavo qualcosa di più specifico.
> >
> >Grazie.
> >
> >Ciao, Alessio.
> Io uso un metodo un pò pesante per fare questo controllo in uscita.
> Il tutto nasce dalla considerazione che i file allegati sono
> identificati nel messaggio da:
> Content-Disposition: attachment;
> filename="nomefile.estensione"
La tua soluzione come regge ad Email (che mi sono realmente arrivate) con
questa costruzione mime?
------------SYU4FTFS1UDMNXW
Content-Type: audio/x-midi;
name=canon lbp465 it.exe.exe
Content-Transfer-Encoding: base64
Content-ID: <I2T31BzYkcVqm>
Il mio filtro è stato beatamente inutile..
Io mi ero accontentato di un semplice:
if ( RE_Match( $line, ".*filename=.+\.(com|pif|vbs|scr|exe|bat|shs)" ) )
$result = 2
endif
Ma questo caso non ha le doppie virgolette e si cita "name=" e non
"filename="
dove $line è la riga in analisi del testo della Email e $Result è una
variabile che viene modificata in base al livello di rischio che ho trovato:
0 -> Ok
1 -> Spamming
2 -> Allegati Pericolosi
3 -> Email infetta
Ciao
Matteo
> if ( RE_Match( $line, ".*filename=.+\.(com|pif|vbs|scr|exe|bat|shs)" ) )
> $result = 2
> endif
Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato cosa usa
lui (su Linux, immagino con Procmail):
/^content-disposition: attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
/^content-type: application\/x-msdownload/ REJECT no executable attachments allowed
/^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
/^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments allowed
"Sleepers" <sleeper...@tin.it> ha scritto nel messaggio
news:bbqe0k.3...@sleepers.it...
> "Matteo Montanari" <matteo_m...@libero.it> ha scritto nel messaggio
> <bbpo1j$bh0bv$1...@ID-123015.news.dfncis.de>:
>
> > if ( RE_Match( $line, ".*filename=.+\.(com|pif|vbs|scr|exe|bat|shs)" ) )
> > $result = 2
> > endif
>
> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato cosa usa
> lui (su Linux, immagino con Procmail):
>
> /^content-disposition: attachment;.+filename
?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no
executable attachments allowed
> /^content-type: application\/x-msdownload/ REJECT no executable
attachments allowed
> /^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/
REJECT no executable attachments allowed
> /^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments
allowed
mmm, interessanti 'sti fatti ^__^
comunque ha dimenticato una estensione: "shs"
Ciao
Matteo
>> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato cosa usa
>> lui (su Linux, immagino con Procmail):
>>
>> /^content-disposition: attachment;.+filename
>> ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no
>> executable attachments allowed
>> [...]
>
> comunque ha dimenticato una estensione: "shs"
Visto che ci sei, aggiungi anche .HTA (TrojanDropper.VBS.Inor)
Ciao.
--
/ _ _ | Xnews in italiano e Guida ai Menu
( (/( (/ | http://digilander.libero.it/xnews
> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato
> cosa usa lui (su Linux, immagino con Procmail):
>
> /^content-disposition: attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
> /^content-type: application\/x-msdownload/ REJECT no executable attachments allowed
> /^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
> /^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments allowed
Che tradotto nel Mailfilt.hst di Hamster, dovrebbe suonare cosě (forse):
kill() Content-disposition: {attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$}
kill() Content-type: {application\/x-msdownload}
kill() Content-type: {application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$}
kill() Content-type: {audio\/.+name=.+\.exe"}
Ovviamente prima di mettere dei 'kill' magari usare degli 'ignore'...
Ciao.
(e grazie per la segnalazione)
> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato
> cosa usa lui (su Linux, immagino con Procmail):
>
> /^content-disposition: attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
> /^content-type: application\/x-msdownload/ REJECT no executable attachments allowed
> /^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
> /^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments allowed
Che tradotto nel Mailfilt.hst di Hamster, dovrebbe suonare cosě (forse):
kill() TOP: {attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$}
kill() TOP: {application\/x-msdownload}
kill() TOP: {application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$}
kill() TOP: {audio\/.+name=.+\.exe"}
Ovviamente prima di mettere dei 'kill' magari usare degli 'ignore'...
Ciao.
(e grazie per la segnalazione)
P.S. Solo dalla 2.0.2.0 in su.
>su Linux, immagino con Procmail
Postfix. Filtrarli da Procmail sarebbe abbastanza inutile, visto che la
posta l'avresti già scaricata.
--
___ _ |
| _ (_)_ _ ___ | "There ain't no devil,
| _/ | ' \/ _ \ | there's just god when he's drunk"
|_| |_|_||_\___/ | Tom Waits
>La tua soluzione come regge ad Email (che mi sono realmente arrivate) con
>questa costruzione mime?
>
>------------SYU4FTFS1UDMNXW
>Content-Type: audio/x-midi;
> name=canon lbp465 it.exe.exe
>Content-Transfer-Encoding: base64
>Content-ID: <I2T31BzYkcVqm>
Effettivamente non funziona. E' che io uso lo script per evitare che
escano mail con file allegati sospetto e quindi mi sono adeguato al
solo mailreader in uso.
Dovrò lavorarci su.
> [cut]
>Ciao
>
>Matteo
Buona domenica
LuigiT
> Che tradotto nel Mailfilt.hst di Hamster, dovrebbe suonare così
> (forse):
Dopo qualche prova (ma è ancora tutto da sperimentare nel tempo),
aggiungo qualche ottimizzazione:
#1. Aggiungere nel file Hamster.ini, sezione [Setup], la riga:
mail.filter.toplines=40
in questo modo il criceto scaricherà un'anteprima di 40 righe del
corpo(anziché le 20 di default), che dovrebbero essere sufficienti
per trovare le stringhe incriminate.
#2. Ho cercato di 'sistemare' un po' la regex, perché dalle prove
fatte (autoinviandomi email con allegati) ho visto che alcune
stringhe sono divise su più righe. Chiedo aiuto e suggerimenti da
chi ha più presente la casistica della codifica degli allegati, per
non incappare in falsi positivi.
ignore() TOP: {application\/x-msdownload}
ignore() TOP: {.+name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"}
ignore() TOP: {audio\/.+name=.+\.exe"}
#3. Faccio anch'io una segnalazione:
<Po5Ea.88094$g92.1...@news2.tin.it>
e devo dire che finora la regola:
ignore() TOP: "TVqQAAMA"
ha funzionato.
Ciao.
>Dopo qualche prova (ma è ancora tutto da sperimentare nel tempo),
>aggiungo qualche ottimizzazione:
Adesso provo ad applicarmi, grazie.
Ho visto che il limite delle 40 righe serve per le mail in HTML, perché
per quelle in solo testo basterebbe mail.filter.toplines=30 (metodo
empirico, basato sull'osservazione dei virus che mi sono arrivati;
comunque casoma aggiornerò questo valore dopo qualche altra verifica).
"Sleepers" <sleeper...@tin.it> ha scritto nel messaggio
news:bbqe0k.3...@sleepers.it...
> "Matteo Montanari" <matteo_m...@libero.it> ha scritto nel messaggio
> <bbpo1j$bh0bv$1...@ID-123015.news.dfncis.de>:
>
> > if ( RE_Match( $line, ".*filename=.+\.(com|pif|vbs|scr|exe|bat|shs)" ) )
> > $result = 2
> > endif
>
> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato cosa usa
> lui (su Linux, immagino con Procmail):
>
> /^content-disposition: attachment;.+filename
?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no
executable attachments allowed
> /^content-type: application\/x-msdownload/ REJECT no executable
attachments allowed
> /^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/
REJECT no executable attachments allowed
> /^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments
allowed
Queste regole non bloccano la mail con header mime che ho citato (dentro
hamster):
Content-Type: audio/x-midi;
name=canon lbp465 it.exe.exe
Content-Transfer-Encoding: base64
Content-ID: <I2T31BzYkcVqm>
il motivo è che quando si passa una riga alla volta al parser delle
espressioni regolari, la seconda regola (/^content-type:
application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?) non funziona perchè
è spezzata in due righe separate.
una domanda allora a chi conosce il parser di hamster meglio di me.
e se si facesse analizzare al parser, nel loop (1->n.righe): [riga corrente]
+ [riga corrente+1] ?
sarà più lenta l'analisi, ma forse dovrebbe funzionare.
suggerimenti?
Ciao
Matteo
>>Dopo qualche prova (ma è ancora tutto da sperimentare nel tempo),
>>aggiungo qualche ottimizzazione:
>
>Adesso provo ad applicarmi
Dunque, questi due esempi (presi dagli ultimi virus che mi sono
arrivati) non vengono filtrati:
,---- [ Esempio 1 ]
| Content-Type: audio/x-midi;
| name=resume.exe
`----------
,---- [ Esempio 2 ]
| Content-Type: audio/x-midi;
| name=2002.CSV.scr
`----------
Ho provato a risolvere con questa riga (ho tolto " alla fine) e
funziona:
=ignore() TOP: {.+name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)}
^^^^^^
Sempre se ho capito bene la regexp in questo punto... ammetto di avere
un certo mal di testa, dopo solo un quarto d'ora di voli pindarici sulla
guida :-)
> Dunque, questi due esempi (presi dagli ultimi virus che mi sono
> arrivati) non vengono filtrati:
>
> ,---- [ Esempio 1 ]
>| Content-Type: audio/x-midi;
>| name=resume.exe
> `----------
> ,---- [ Esempio 2 ]
>| Content-Type: audio/x-midi;
>| name=2002.CSV.scr
> `----------
E` vero, mancano le virgolette alla fine di entrambi...
> Ho provato a risolvere con questa riga (ho tolto " alla fine) e
> funziona:
> =ignore() TOP: {.+name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)}
> ^^^^^^
Sì, ma così fai fuori anche qualcosa come:
filename=pippo.exe.zip
> Sempre se ho capito bene la regexp in questo punto... ammetto di
> avere un certo mal di testa, dopo solo un quarto d'ora di voli
> pindarici sulla guida :-)
Non chiederlo a me, ma a D'Itri... ;o)
Ti faccio l'analisi grammaticale:
dopo "name"
ci può essere o no uno spazio ( ?)
poi c'è un uguale (=)
dopo l'uguale c'è almeno un carattere (.+)
poi c'è un punto (\.)
poi c'è un'alternativa tre quelle nelle parentesi tonde.
Riproviamoci:
ignore() TOP: {.*name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?\s*$}
1 2 34
Correzioni
#1. messo * al posto del +, così becca sia <filename> che <name>
#2. messo ?, che vuol dire che le <"> possono esserci oppure no
#3. messo \s(spazio)*, possono esserci uno o più spazi
#4. messo $, nella riga non c'è altro
Ciao.
(grazie per i consigli)
> Dunque, questi due esempi (presi dagli ultimi virus che mi sono
> arrivati) non vengono filtrati:
>
> ,---- [ Esempio 1 ]
>| Content-Type: audio/x-midi;
>| name=resume.exe
> `----------
> ,---- [ Esempio 2 ]
>| Content-Type: audio/x-midi;
>| name=2002.CSV.scr
> `----------
E` vero, mancano le virgolette alla fine di entrambi...
> Ho provato a risolvere con questa riga (ho tolto " alla fine) e
> funziona:
> =ignore() TOP: {.+name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)}
> ^^^^^^
Sì, ma così fai fuori anche qualcosa come:
filename=pippo.exe.zip
> Sempre se ho capito bene la regexp in questo punto... ammetto di
> avere un certo mal di testa, dopo solo un quarto d'ora di voli
> pindarici sulla guida :-)
Non chiederlo a me, ma a D'Itri... ;o)
Ti faccio l'analisi grammaticale:
dopo "name"
ci può essere o no uno spazio ( ?)
poi c'è un uguale (=)
dopo l'uguale c'è almeno un carattere (.+)
poi c'è un punto (\.)
poi c'è un'alternativa tra quelle nelle parentesi tonde.
Riproviamoci:
ignore() TOP: {.*name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?\s*$}
1 2 34
Correzioni
#1. messo * al posto del +, così becca sia <filename> che <name>
#2. messo ?, che vuol dire che le <"> possono esserci oppure no
#3. messo \s(spazio)*, possono esserci uno o più spazi
#4. messo $, nella riga non c'è altro
Ciao.
(grazie per i consigli)
--
>ignore() TOP: {.*name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?\s*$}
> 1 2 34
Ti giro lo stesso suggerimento che hanno dato a me tempo fa: non
mischiare tab e spazi, in quanto i tab vengono visualizzati in modo
diverso dai vari editor (8 spazi da notepad, 4 dalla maggior parte degli
editor per programmare, 0 da Outlook express).
Nella sezione del MailFilt.hst dedicata a [ditta] adesso ho inserito
queste righe:
-----------
# killa sul server i messaggi che sicuramente contengono virus
=kill() TOP: {.*name ?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)"?\s*$}
=kill() TOP: "TVqQAAMA" #intercetta una stringa tipica di W32.Bugbear.B@mm
=kill() TOP: {audio\/.+name=.+\.exe"}
=kill() TOP: {audio\/x-midi}
#
# se il messaggio contiene un file .exe o .dll (e non è già stato killato
# dalle righe precedenti) viene ignorato
=ignore() TOP: {application\/x-msdownload}
#
# ignora i messaggi con allegati multimediali (.wav, .mid, .avi, .mp*):
# non sono virus ma occupano banda
=ignore() TOP: {audio\/wav}
=ignore() TOP: {audio\/mpeg}
=ignore() TOP: {audio\/mid}
=ignore() TOP: {video\/avi}
=ignore() TOP: {video\/mpeg}
-----------
Grazie dell'analisi grammaticale :-)
> Ti giro lo stesso suggerimento che hanno dato a me tempo fa: non
> mischiare tab e spazi, in quanto i tab vengono visualizzati in modo
> diverso dai vari editor (8 spazi da notepad, 4 dalla maggior parte degli
> editor per programmare, 0 da Outlook express).
Ecco perchč divento matto tutte le volte e non mi riesce mai... ^__^
> Nella sezione del MailFilt.hst dedicata a [ditta] adesso ho inserito
> queste righe:
Speriamo bene ^__^;
> =kill() TOP: "TVqQAAMA" #intercetta una stringa tipica di W32.Bugbear.B@mm
Da quello che ho capito (e visto in una prova) non č una stringa tipica del
virus in questione, ma di "qualcosa" di piů generico... ?__?
Nella prova, mi ero allegato il file notepad.exe e compariva quella stringa.
(magari metterei un ignore come per i file multimediali).
Ciao.
>> Ti giro lo stesso suggerimento che hanno dato a me tempo fa: non
>> mischiare tab e spazi, in quanto i tab vengono visualizzati in modo
>> diverso dai vari editor (8 spazi da notepad, 4 dalla maggior parte degli
>> editor per programmare, 0 da Outlook express).
>Ecco perchè divento matto tutte le volte e non mi riesce mai... ^__^
Guarda, ho eliminato i TAB :-)
>> Nella sezione del MailFilt.hst dedicata a [ditta] adesso ho inserito
>> queste righe:
>Speriamo bene ^__^;
Ho comunque notify attivato, se va male contato il mittente della mail
killata e gli chiedo di rispedire :-)
>> =kill() TOP: "TVqQAAMA" #intercetta una stringa tipica di W32.Bugbear.B@mm
>
>Da quello che ho capito (e visto in una prova) non è una stringa tipica del
>virus in questione, ma di "qualcosa" di più generico... ?__?
>
>Nella prova, mi ero allegato il file notepad.exe e compariva quella stringa.
>(magari metterei un ignore come per i file multimediali).
OK, grazie.
> Nella sezione del MailFilt.hst dedicata a [ditta] adesso ho inserito
> queste righe:
> -----------
> # killa sul server i messaggi che sicuramente contengono virus
> =kill() TOP: {.*name ?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)"?\s*$}
^
Non ci siamo... :o/
Stasera me né arrivata un'altra (originale 100%) e quel delimitatore
di fine stringa gli da proprio fastidio (e non la vede).
Modifica:
(sarà la volta buona? - stavolta ho bollito veramente il cervello...)
kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}
ovvero la condizione che dopo l'estensione 'cattiva' *non* ci sia un
punto.
Ciao (e scusa).
>kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}
1 2 3
1 = hai messo '\s' invece dello spazio ' '
2 = dopo l'estensione (bat...vbs) non deve esserci un punto '.' (il '\56'
è l'ottale del 'punto', giusto?)
3 = potrebbe esserci un '"'
>kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}
Provato con queste due tipologie di allegati (virus ricevuti, trovati in
giro o creati ad hoc, come nell'ultimo esempio) e la riga funziona:
,---- [ Tipo 1 ]
|Content-Type: audio/x-midi;
| name=canon lbp465 it.exe.exe
|
|Content-Type: audio/x-midi;
| name=VIERRE2.txt.scr
`----------
,---- [ Tipo 2 ]
|Content-Type: application/x-msdownload; name="220817.dxf.scr"
|Content-Disposition: attachment; filename="220817.dxf.scr"
|
|Content-Type: application/x-msdownload; name="c7_rsa.xls.scr"
|Content-Disposition: attachment; filename="c7_rsa.xls.scr"
|
|Content-Type: application/x-msdownload; name="BILLOTS.xls.pif"
|Content-Disposition: attachment; filename="BILLOTS.xls.pif"
|
|Content-Type: application/x-msdownload;
| name="File di prova con nome molto lungo per verificare se viene spezzato su duerighe-08janvier01.doc.exe"
| filename="File di prova con nome molto lungo per verificare se viene spezzato su duerighe-08janvier01.doc.exe"
`----------
Finora "mail.filter.toplines=30" mi è stato sufficiente, c'è qualcuno
che ha avuto bisogno di arrivare a "mail.filter.toplines=40"?
>> kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}
> 1 2 3
>
> 1 = hai messo '\s' invece dello spazio ' '
> 2 = dopo l'estensione (bat...vbs) non deve esserci un punto '.' (il '\56'
> č l'ottale del 'punto', giusto?)
> 3 = potrebbe esserci un '"'
Sě, tutto giusto (o per lo meno quelle erano le mie intenzioni ed i risultati
dei miei tentativi).
^_______^
Ciao.
>Modifica:
>(sarà la volta buona? - stavolta ho bollito veramente il cervello...)
>
>kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}
>
Scusate, se il file sospetto è il secondo di 2 allegati come la
mettiamo? Il suo nome compare solo al fondo del primo allegato e ben
oltre le 30 o 40 righe.
LuigiT
--
uno che scarica sempre la beta, ma poi non userebbe le novità se non
fosse per questo ng!
> Scusate, se il file sospetto č il secondo di 2 allegati come la
> mettiamo? Il suo nome compare solo al fondo del primo allegato e ben
> oltre le 30 o 40 righe.
Certamente.
(bella intuizione ;o)
IMO le cose sono due:
#1. o uno accetta la probabilitą (IMO bassa) che un virus usi due allegati per
diffondersi;
#2. oppure no e aumenta le righe a 8000?
Ciao.
P.S. hai notizie di virus maxibon? ^__^
> #1. o uno accetta la probabilità (IMO bassa) che un virus usi due allegati per
> diffondersi;
Ecco...
> #2. oppure no e aumenta le righe a 8000?
Non mi sembra molto utile il filtraggio, a questo punto ^____^;;;
G
--
Farewell! | Gandalf looked at Frodo, and his eyes glinted.
gandalf*ithn.net| 'I knew much and I have learned much,'
ICQ#16553733 | he answered. 'But I am not going to give
snurl.com/dialog| an account of all my doings to _you._'
>> #2. oppure no e aumenta le righe a 8000?
>
> Non mi sembra molto utile il filtraggio, a questo punto ^____^;;;
Quando uno pensa ad un virus in una LAN con più PC gestiti da uto...
ehm *prosperose* segretarie, IMO i criteri di utilità possono cambiare
in fretta... ;o)
(poi diversamente te lo dovresti cmq scaricare e 'spettare che ci pensi
il fido antivirus...)
Ciao.
(da me continua a fare caaaaldo) ^__^;;;;;;;;;;
>>kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}
>Scusate, se il file sospetto č il secondo di 2 allegati come la
>mettiamo? Il suo nome compare solo al fondo del primo allegato e ben
>oltre le 30 o 40 righe.
ignore() Bytes: %>50000
ignore() *Content-Type: "multipart/mixed"
ignore() *Content-Type: "multipart/alternative"
ignore() *Content-Type: "multipart/related"
Si potrebbero anche spostare su admin le mail sospette e usare una
WhiteList di indirizzi affidabili sotto il profilo "virus", anche se
ammetto che per la posta aziendale non č cosě semplice; almeno, io
conosco solo due aziende in contatto con noi che aggiornano il loro
antivirus ogni giorno (perň usano GuardaFuori/EntraDentro, quindi siamo
quasi da capo).
Ciao, Alessio.
--
La versione ufficiale di Agent 1.93 *in italiano* č disponibile su