Filtrare virus
Sleepers
Hamster me le ha filtrate (ignore) per la dimensione eccessiva (ho il
limite a 25K).
Esiste un sistema per "killare" anche in base all'attach (.pif, .exe,
.scr...)? Per ora filtro anche con
|ignore() *Content-Type: "multipart/mixed"
|ignore() *Content-Type: "multipart/alternative"
|ignore() *Content-Type: "multipart/related"
ma cercavo qualcosa di più specifico.
Grazie.
Ciao, Alessio.
--
La versione ufficiale di Agent 1.93 *in italiano* è disponibile su
http://www.forteinc.com/agent/download.php?language=Italiano
Il manuale in italiano di Agent, la guida a FreeAgent, le FAQ di ICSN
e altre risorse si trovano su http://spazioinwind.iol.it/sleepers/
LuigiT
wrote:
>Esiste un sistema per "killare" anche in base all'attach (.pif, .exe,
>.scr...)? Per ora filtro anche con
>
>Grazie.
>
>Ciao, Alessio.
Il tutto nasce dalla considerazione che i file allegati sono
identificati nel messaggio da:
Content-Disposition: attachment;
filename="nomefile.estensione"
il fatto è che questa informazione si trova nel corpo del messaggio,
per cui devo scorrerlo tutto.
Per fare questo modifo la funzione MsgGetHeader in modo che ricerchi
su tutta la mail. Ottenuta la riga ne estraggo solo l'estensione e
filtro di conseguenza.
Script e modifica al modulo hmessage.hsm li trovi qui:
http://www.studioingtuberga.it/dev/hamster.php#contralleg
Buon lavoro
LuigiT
P.S. Con questo link spero di non essere uscito dalla net-etiquette
Matteo Montanari
"LuigiT" <gruppi.tub...@infinito.it> ha scritto nel messaggio
news:3ee040b2.4431279@localhost...
> On Fri, 06 Jun 2003 08:23:21 +0200, Sleepers <sleeper...@tin.it>
> wrote:
> >Esiste un sistema per "killare" anche in base all'attach (.pif, .exe,
> >.scr...)? Per ora filtro anche con
> >ma cercavo qualcosa di più specifico.
> >
> >Grazie.
> >
> >Ciao, Alessio.
> Io uso un metodo un pò pesante per fare questo controllo in uscita.
> Il tutto nasce dalla considerazione che i file allegati sono
> identificati nel messaggio da:
> Content-Disposition: attachment;
> filename="nomefile.estensione"
La tua soluzione come regge ad Email (che mi sono realmente arrivate) con
questa costruzione mime?
------------SYU4FTFS1UDMNXW
Content-Type: audio/x-midi;
name=canon lbp465 it.exe.exe
Content-Transfer-Encoding: base64
Content-ID: <I2T31BzYkcVqm>
Il mio filtro è stato beatamente inutile..
Io mi ero accontentato di un semplice:
if ( RE_Match( $line, ".*filename=.+\.(com|pif|vbs|scr|exe|bat|shs)" ) )
$result = 2
endif
Ma questo caso non ha le doppie virgolette e si cita "name=" e non
"filename="
dove $line è la riga in analisi del testo della Email e $Result è una
variabile che viene modificata in base al livello di rischio che ho trovato:
0 -> Ok
1 -> Spamming
2 -> Allegati Pericolosi
3 -> Email infetta
Ciao
Matteo
Sleepers
<bbpo1j$bh0bv$1...@ID-123015.news.dfncis.de>:
> if ( RE_Match( $line, ".*filename=.+\.(com|pif|vbs|scr|exe|bat|shs)" ) )
> $result = 2
> endif
Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato cosa usa
lui (su Linux, immagino con Procmail):
/^content-disposition: attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
/^content-type: application\/x-msdownload/ REJECT no executable attachments allowed
/^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
/^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments allowed
Matteo Montanari
"Sleepers" <sleeper...@tin.it> ha scritto nel messaggio
news:bbqe0k.3...@sleepers.it...
> "Matteo Montanari" <matteo_m...@libero.it> ha scritto nel messaggio
> <bbpo1j$bh0bv$1...@ID-123015.news.dfncis.de>:
>
> > if ( RE_Match( $line, ".*filename=.+\.(com|pif|vbs|scr|exe|bat|shs)" ) )
> > $result = 2
> > endif
>
> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato cosa usa
> lui (su Linux, immagino con Procmail):
>
> /^content-disposition: attachment;.+filename
?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no
executable attachments allowed
> /^content-type: application\/x-msdownload/ REJECT no executable
attachments allowed
> /^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/
REJECT no executable attachments allowed
> /^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments
allowed
mmm, interessanti 'sti fatti ^__^
comunque ha dimenticato una estensione: "shs"
Ciao
Matteo
Alan Ford
>> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato cosa usa
>> lui (su Linux, immagino con Procmail):
>>
>> /^content-disposition: attachment;.+filename
>> ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no
>> executable attachments allowed
>> [...]
>
> comunque ha dimenticato una estensione: "shs"
Visto che ci sei, aggiungi anche .HTA (TrojanDropper.VBS.Inor)
Ciao.
--
/ _ _ | Xnews in italiano e Guida ai Menu
( (/( (/ | http://digilander.libero.it/xnews
Alan Ford
> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato
> cosa usa lui (su Linux, immagino con Procmail):
>
> /^content-disposition: attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
> /^content-type: application\/x-msdownload/ REJECT no executable attachments allowed
> /^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
> /^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments allowed
Che tradotto nel Mailfilt.hst di Hamster, dovrebbe suonare cosě (forse):
kill() Content-disposition: {attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$}
kill() Content-type: {application\/x-msdownload}
kill() Content-type: {application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$}
kill() Content-type: {audio\/.+name=.+\.exe"}
Ovviamente prima di mettere dei 'kill' magari usare degli 'ignore'...
Ciao.
(e grazie per la segnalazione)
Alan Ford
> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato
> cosa usa lui (su Linux, immagino con Procmail):
>
> /^content-disposition: attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
> /^content-type: application\/x-msdownload/ REJECT no executable attachments allowed
> /^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
> /^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments allowed
Che tradotto nel Mailfilt.hst di Hamster, dovrebbe suonare cosě (forse):
kill() TOP: {attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$}
kill() TOP: {application\/x-msdownload}
kill() TOP: {application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$}
kill() TOP: {audio\/.+name=.+\.exe"}
Ovviamente prima di mettere dei 'kill' magari usare degli 'ignore'...
Ciao.
(e grazie per la segnalazione)
P.S. Solo dalla 2.0.2.0 in su.
Pino Pinto
saying:
>su Linux, immagino con Procmail
Postfix. Filtrarli da Procmail sarebbe abbastanza inutile, visto che la
posta l'avresti già scaricata.
--
___ _ |
| _ (_)_ _ ___ | "There ain't no devil,
| _/ | ' \/ _ \ | there's just god when he's drunk"
|_| |_|_||_\___/ | Tom Waits
LuigiT
<matteo_m...@libero.it> wrote:
>La tua soluzione come regge ad Email (che mi sono realmente arrivate) con
>questa costruzione mime?
>
>------------SYU4FTFS1UDMNXW
>Content-Type: audio/x-midi;
> name=canon lbp465 it.exe.exe
>Content-Transfer-Encoding: base64
>Content-ID: <I2T31BzYkcVqm>
Effettivamente non funziona. E' che io uso lo script per evitare che
escano mail con file allegati sospetto e quindi mi sono adeguato al
solo mailreader in uso.
Dovrò lavorarci su.
> [cut]
>Ciao
>
>Matteo
Buona domenica
LuigiT
Alan Ford
> Che tradotto nel Mailfilt.hst di Hamster, dovrebbe suonare così
> (forse):
Dopo qualche prova (ma è ancora tutto da sperimentare nel tempo),
aggiungo qualche ottimizzazione:
#1. Aggiungere nel file Hamster.ini, sezione [Setup], la riga:
mail.filter.toplines=40
in questo modo il criceto scaricherà un'anteprima di 40 righe del
corpo(anziché le 20 di default), che dovrebbero essere sufficienti
per trovare le stringhe incriminate.
#2. Ho cercato di 'sistemare' un po' la regex, perché dalle prove
fatte (autoinviandomi email con allegati) ho visto che alcune
stringhe sono divise su più righe. Chiedo aiuto e suggerimenti da
chi ha più presente la casistica della codifica degli allegati, per
non incappare in falsi positivi.
ignore() TOP: {application\/x-msdownload}
ignore() TOP: {.+name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"}
ignore() TOP: {audio\/.+name=.+\.exe"}
#3. Faccio anch'io una segnalazione:
<Po5Ea.88094$g92.1...@news2.tin.it>
e devo dire che finora la regola:
ignore() TOP: "TVqQAAMA"
ha funzionato.
Ciao.
Sleepers
<Xns9393A1DD2...@127.0.0.1>:
>Dopo qualche prova (ma è ancora tutto da sperimentare nel tempo),
>aggiungo qualche ottimizzazione:
Adesso provo ad applicarmi, grazie.
Ho visto che il limite delle 40 righe serve per le mail in HTML, perché
per quelle in solo testo basterebbe mail.filter.toplines=30 (metodo
empirico, basato sull'osservazione dei virus che mi sono arrivati;
comunque casoma aggiornerò questo valore dopo qualche altra verifica).
Matteo Montanari
"Sleepers" <sleeper...@tin.it> ha scritto nel messaggio
news:bbqe0k.3...@sleepers.it...
> "Matteo Montanari" <matteo_m...@libero.it> ha scritto nel messaggio
> <bbpo1j$bh0bv$1...@ID-123015.news.dfncis.de>:
>
> > if ( RE_Match( $line, ".*filename=.+\.(com|pif|vbs|scr|exe|bat|shs)" ) )
> > $result = 2
> > endif
>
> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato cosa usa
> lui (su Linux, immagino con Procmail):
>
> /^content-disposition: attachment;.+filename
?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no
executable attachments allowed
> /^content-type: application\/x-msdownload/ REJECT no executable
attachments allowed
> /^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/
REJECT no executable attachments allowed
> /^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments
allowed
Queste regole non bloccano la mail con header mime che ho citato (dentro
hamster):
Content-Type: audio/x-midi;
name=canon lbp465 it.exe.exe
Content-Transfer-Encoding: base64
Content-ID: <I2T31BzYkcVqm>
il motivo è che quando si passa una riga alla volta al parser delle
espressioni regolari, la seconda regola (/^content-type:
application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?) non funziona perchè
è spezzata in due righe separate.
una domanda allora a chi conosce il parser di hamster meglio di me.
e se si facesse analizzare al parser, nel loop (1->n.righe): [riga corrente]
+ [riga corrente+1] ?
sarà più lenta l'analisi, ma forse dovrebbe funzionare.
suggerimenti?
Ciao
Matteo
Sleepers
>>Dopo qualche prova (ma è ancora tutto da sperimentare nel tempo),
>>aggiungo qualche ottimizzazione:
>
>Adesso provo ad applicarmi
Dunque, questi due esempi (presi dagli ultimi virus che mi sono
arrivati) non vengono filtrati:
,---- [ Esempio 1 ]
| Content-Type: audio/x-midi;
| name=resume.exe
`----------
,---- [ Esempio 2 ]
| Content-Type: audio/x-midi;
| name=2002.CSV.scr
`----------
Ho provato a risolvere con questa riga (ho tolto " alla fine) e
funziona:
=ignore() TOP: {.+name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)}
^^^^^^
Sempre se ho capito bene la regexp in questo punto... ammetto di avere
un certo mal di testa, dopo solo un quarto d'ora di voli pindarici sulla
guida :-)
Alan Ford
> Dunque, questi due esempi (presi dagli ultimi virus che mi sono
> arrivati) non vengono filtrati:
>
> ,---- [ Esempio 1 ]
>| Content-Type: audio/x-midi;
>| name=resume.exe
> `----------
> ,---- [ Esempio 2 ]
>| Content-Type: audio/x-midi;
>| name=2002.CSV.scr
> `----------
E` vero, mancano le virgolette alla fine di entrambi...
> Ho provato a risolvere con questa riga (ho tolto " alla fine) e
> funziona:
> =ignore() TOP: {.+name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)}
> ^^^^^^
Sì, ma così fai fuori anche qualcosa come:
filename=pippo.exe.zip
> Sempre se ho capito bene la regexp in questo punto... ammetto di
> avere un certo mal di testa, dopo solo un quarto d'ora di voli
> pindarici sulla guida :-)
Non chiederlo a me, ma a D'Itri... ;o)
Ti faccio l'analisi grammaticale:
dopo "name"
ci può essere o no uno spazio ( ?)
poi c'è un uguale (=)
dopo l'uguale c'è almeno un carattere (.+)
poi c'è un punto (\.)
poi c'è un'alternativa tre quelle nelle parentesi tonde.
Riproviamoci:
ignore() TOP: {.*name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?\s*$}
1 2 34
Correzioni
#1. messo * al posto del +, così becca sia <filename> che <name>
#2. messo ?, che vuol dire che le <"> possono esserci oppure no
#3. messo \s(spazio)*, possono esserci uno o più spazi
#4. messo $, nella riga non c'è altro
Ciao.
(grazie per i consigli)
Alan Ford
> Dunque, questi due esempi (presi dagli ultimi virus che mi sono
> arrivati) non vengono filtrati:
>
> ,---- [ Esempio 1 ]
>| Content-Type: audio/x-midi;
>| name=resume.exe
> `----------
> ,---- [ Esempio 2 ]
>| Content-Type: audio/x-midi;
>| name=2002.CSV.scr
> `----------
E` vero, mancano le virgolette alla fine di entrambi...
> Ho provato a risolvere con questa riga (ho tolto " alla fine) e
> funziona:
> =ignore() TOP: {.+name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)}
> ^^^^^^
Sì, ma così fai fuori anche qualcosa come:
filename=pippo.exe.zip
> Sempre se ho capito bene la regexp in questo punto... ammetto di
> avere un certo mal di testa, dopo solo un quarto d'ora di voli
> pindarici sulla guida :-)
Non chiederlo a me, ma a D'Itri... ;o)
Ti faccio l'analisi grammaticale:
dopo "name"
ci può essere o no uno spazio ( ?)
poi c'è un uguale (=)
dopo l'uguale c'è almeno un carattere (.+)
poi c'è un punto (\.)
poi c'è un'alternativa tra quelle nelle parentesi tonde.
Riproviamoci:
ignore() TOP: {.*name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?\s*$}
1 2 34
Correzioni
#1. messo * al posto del +, così becca sia <filename> che <name>
#2. messo ?, che vuol dire che le <"> possono esserci oppure no
#3. messo \s(spazio)*, possono esserci uno o più spazi
#4. messo $, nella riga non c'è altro
Ciao.
(grazie per i consigli)
--
Sleepers
>ignore() TOP: {.*name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?\s*$}
> 1 2 34
Ti giro lo stesso suggerimento che hanno dato a me tempo fa: non
mischiare tab e spazi, in quanto i tab vengono visualizzati in modo
diverso dai vari editor (8 spazi da notepad, 4 dalla maggior parte degli
editor per programmare, 0 da Outlook express).
Nella sezione del MailFilt.hst dedicata a [ditta] adesso ho inserito
queste righe:
-----------
# killa sul server i messaggi che sicuramente contengono virus
=kill() TOP: {.*name ?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)"?\s*$}
=kill() TOP: "TVqQAAMA" #intercetta una stringa tipica di W32.Bugbear.B@mm
=kill() TOP: {audio\/.+name=.+\.exe"}
=kill() TOP: {audio\/x-midi}
#
# se il messaggio contiene un file .exe o .dll (e non è già stato killato
# dalle righe precedenti) viene ignorato
=ignore() TOP: {application\/x-msdownload}
#
# ignora i messaggi con allegati multimediali (.wav, .mid, .avi, .mp*):
# non sono virus ma occupano banda
=ignore() TOP: {audio\/wav}
=ignore() TOP: {audio\/mpeg}
=ignore() TOP: {audio\/mid}
=ignore() TOP: {video\/avi}
=ignore() TOP: {video\/mpeg}
-----------
Grazie dell'analisi grammaticale :-)
Alan Ford
> Ti giro lo stesso suggerimento che hanno dato a me tempo fa: non
> mischiare tab e spazi, in quanto i tab vengono visualizzati in modo
> diverso dai vari editor (8 spazi da notepad, 4 dalla maggior parte degli
> editor per programmare, 0 da Outlook express).
Ecco perchč divento matto tutte le volte e non mi riesce mai... ^__^
> Nella sezione del MailFilt.hst dedicata a [ditta] adesso ho inserito
> queste righe:
Speriamo bene ^__^;
> =kill() TOP: "TVqQAAMA" #intercetta una stringa tipica di W32.Bugbear.B@mm
Da quello che ho capito (e visto in una prova) non č una stringa tipica del
virus in questione, ma di "qualcosa" di piů generico... ?__?
Nella prova, mi ero allegato il file notepad.exe e compariva quella stringa.
(magari metterei un ignore come per i file multimediali).
Ciao.
Sleepers
>> Ti giro lo stesso suggerimento che hanno dato a me tempo fa: non
>> mischiare tab e spazi, in quanto i tab vengono visualizzati in modo
>> diverso dai vari editor (8 spazi da notepad, 4 dalla maggior parte degli
>> editor per programmare, 0 da Outlook express).
>Ecco perchè divento matto tutte le volte e non mi riesce mai... ^__^
Guarda, ho eliminato i TAB :-)
>> Nella sezione del MailFilt.hst dedicata a [ditta] adesso ho inserito
>> queste righe:
>Speriamo bene ^__^;
Ho comunque notify attivato, se va male contato il mittente della mail
killata e gli chiedo di rispedire :-)
>> =kill() TOP: "TVqQAAMA" #intercetta una stringa tipica di W32.Bugbear.B@mm
>
>Da quello che ho capito (e visto in una prova) non è una stringa tipica del
>virus in questione, ma di "qualcosa" di più generico... ?__?
>
>Nella prova, mi ero allegato il file notepad.exe e compariva quella stringa.
>(magari metterei un ignore come per i file multimediali).
OK, grazie.
Alan Ford
> Nella sezione del MailFilt.hst dedicata a [ditta] adesso ho inserito
> queste righe:
> -----------
> # killa sul server i messaggi che sicuramente contengono virus
> =kill() TOP: {.*name ?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)"?\s*$}
^
Non ci siamo... :o/
Stasera me né arrivata un'altra (originale 100%) e quel delimitatore
di fine stringa gli da proprio fastidio (e non la vede).
Modifica:
(sarà la volta buona? - stavolta ho bollito veramente il cervello...)
kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}
ovvero la condizione che dopo l'estensione 'cattiva' *non* ci sia un
punto.
Ciao (e scusa).
Sleepers
>kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}
1 2 3
1 = hai messo '\s' invece dello spazio ' '
2 = dopo l'estensione (bat...vbs) non deve esserci un punto '.' (il '\56'
è l'ottale del 'punto', giusto?)
3 = potrebbe esserci un '"'
Sleepers
>kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}
Provato con queste due tipologie di allegati (virus ricevuti, trovati in
giro o creati ad hoc, come nell'ultimo esempio) e la riga funziona:
,---- [ Tipo 1 ]
|Content-Type: audio/x-midi;
| name=canon lbp465 it.exe.exe
|
|Content-Type: audio/x-midi;
| name=VIERRE2.txt.scr
`----------
,---- [ Tipo 2 ]
|Content-Type: application/x-msdownload; name="220817.dxf.scr"
|Content-Disposition: attachment; filename="220817.dxf.scr"
|
|Content-Type: application/x-msdownload; name="c7_rsa.xls.scr"
|Content-Disposition: attachment; filename="c7_rsa.xls.scr"
|
|Content-Type: application/x-msdownload; name="BILLOTS.xls.pif"
|Content-Disposition: attachment; filename="BILLOTS.xls.pif"
|
|Content-Type: application/x-msdownload;
| name="File di prova con nome molto lungo per verificare se viene spezzato su duerighe-08janvier01.doc.exe"
| filename="File di prova con nome molto lungo per verificare se viene spezzato su duerighe-08janvier01.doc.exe"
`----------
Finora "mail.filter.toplines=30" mi è stato sufficiente, c'è qualcuno
che ha avuto bisogno di arrivare a "mail.filter.toplines=40"?
Alan Ford
>> kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}
> 1 2 3
>
> 1 = hai messo '\s' invece dello spazio ' '
> 2 = dopo l'estensione (bat...vbs) non deve esserci un punto '.' (il '\56'
> č l'ottale del 'punto', giusto?)
> 3 = potrebbe esserci un '"'
Sě, tutto giusto (o per lo meno quelle erano le mie intenzioni ed i risultati
dei miei tentativi).
^_______^
Ciao.
LuigiT
>Modifica:
>(sarà la volta buona? - stavolta ho bollito veramente il cervello...)
>
>kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}
>
Scusate, se il file sospetto è il secondo di 2 allegati come la
mettiamo? Il suo nome compare solo al fondo del primo allegato e ben
oltre le 30 o 40 righe.
LuigiT
--
uno che scarica sempre la beta, ma poi non userebbe le novità se non
fosse per questo ng!
Alan Ford
> Scusate, se il file sospetto č il secondo di 2 allegati come la
> mettiamo? Il suo nome compare solo al fondo del primo allegato e ben
> oltre le 30 o 40 righe.
Certamente.
(bella intuizione ;o)
IMO le cose sono due:
#1. o uno accetta la probabilitą (IMO bassa) che un virus usi due allegati per
diffondersi;
#2. oppure no e aumenta le righe a 8000?
Ciao.
P.S. hai notizie di virus maxibon? ^__^
Gandalf il Grigio
> #1. o uno accetta la probabilità (IMO bassa) che un virus usi due allegati per
> diffondersi;
Ecco...
> #2. oppure no e aumenta le righe a 8000?
Non mi sembra molto utile il filtraggio, a questo punto ^____^;;;
G
--
Farewell! | Gandalf looked at Frodo, and his eyes glinted.
gandalf*ithn.net| 'I knew much and I have learned much,'
ICQ#16553733 | he answered. 'But I am not going to give
snurl.com/dialog| an account of all my doings to _you._'
Alan Ford
>> #2. oppure no e aumenta le righe a 8000?
>
> Non mi sembra molto utile il filtraggio, a questo punto ^____^;;;
Quando uno pensa ad un virus in una LAN con più PC gestiti da uto...
ehm *prosperose* segretarie, IMO i criteri di utilità possono cambiare
in fretta... ;o)
(poi diversamente te lo dovresti cmq scaricare e 'spettare che ci pensi
il fido antivirus...)
Ciao.
(da me continua a fare caaaaldo) ^__^;;;;;;;;;;
Sleepers
<3ee88d2c.3390209@localhost>:
>>kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}
>Scusate, se il file sospetto č il secondo di 2 allegati come la
>mettiamo? Il suo nome compare solo al fondo del primo allegato e ben
>oltre le 30 o 40 righe.
ignore() Bytes: %>50000
ignore() *Content-Type: "multipart/mixed"
ignore() *Content-Type: "multipart/alternative"
ignore() *Content-Type: "multipart/related"
Si potrebbero anche spostare su admin le mail sospette e usare una
WhiteList di indirizzi affidabili sotto il profilo "virus", anche se
ammetto che per la posta aziendale non č cosě semplice; almeno, io
conosco solo due aziende in contatto con noi che aggiornano il loro
antivirus ogni giorno (perň usano GuardaFuori/EntraDentro, quindi siamo
quasi da capo).
Ciao, Alessio.
--
La versione ufficiale di Agent 1.93 *in italiano* č disponibile su