Filtrare virus

0 views
Skip to first unread message

Sleepers

unread,
Jun 6, 2003, 2:23:21 AM6/6/03
to
W32.Bugbear.B@mm: 12 email infette in 6 ore sull'account della ditta,
Hamster me le ha filtrate (ignore) per la dimensione eccessiva (ho il
limite a 25K).

Esiste un sistema per "killare" anche in base all'attach (.pif, .exe,
.scr...)? Per ora filtro anche con
|ignore() *Content-Type: "multipart/mixed"
|ignore() *Content-Type: "multipart/alternative"
|ignore() *Content-Type: "multipart/related"
ma cercavo qualcosa di più specifico.

Grazie.

Ciao, Alessio.
--
La versione ufficiale di Agent 1.93 *in italiano* è disponibile su
http://www.forteinc.com/agent/download.php?language=Italiano
Il manuale in italiano di Agent, la guida a FreeAgent, le FAQ di ICSN
e altre risorse si trovano su http://spazioinwind.iol.it/sleepers/

LuigiT

unread,
Jun 6, 2003, 4:09:15 AM6/6/03
to
On Fri, 06 Jun 2003 08:23:21 +0200, Sleepers <sleeper...@tin.it>
wrote:

>Esiste un sistema per "killare" anche in base all'attach (.pif, .exe,
>.scr...)? Per ora filtro anche con
>ma cercavo qualcosa di più specifico.
>
>Grazie.
>
>Ciao, Alessio.
Io uso un metodo un pò pesante per fare questo controllo in uscita.
Il tutto nasce dalla considerazione che i file allegati sono
identificati nel messaggio da:
Content-Disposition: attachment;
filename="nomefile.estensione"
il fatto è che questa informazione si trova nel corpo del messaggio,
per cui devo scorrerlo tutto.
Per fare questo modifo la funzione MsgGetHeader in modo che ricerchi
su tutta la mail. Ottenuta la riga ne estraggo solo l'estensione e
filtro di conseguenza.
Script e modifica al modulo hmessage.hsm li trovi qui:
http://www.studioingtuberga.it/dev/hamster.php#contralleg

Buon lavoro

LuigiT

P.S. Con questo link spero di non essere uscito dalla net-etiquette

Matteo Montanari

unread,
Jun 6, 2003, 5:48:33 AM6/6/03
to
Ciao

"LuigiT" <gruppi.tub...@infinito.it> ha scritto nel messaggio
news:3ee040b2.4431279@localhost...


> On Fri, 06 Jun 2003 08:23:21 +0200, Sleepers <sleeper...@tin.it>
> wrote:
> >Esiste un sistema per "killare" anche in base all'attach (.pif, .exe,
> >.scr...)? Per ora filtro anche con
> >ma cercavo qualcosa di più specifico.
> >
> >Grazie.
> >
> >Ciao, Alessio.
> Io uso un metodo un pò pesante per fare questo controllo in uscita.
> Il tutto nasce dalla considerazione che i file allegati sono
> identificati nel messaggio da:
> Content-Disposition: attachment;
> filename="nomefile.estensione"

La tua soluzione come regge ad Email (che mi sono realmente arrivate) con
questa costruzione mime?

------------SYU4FTFS1UDMNXW
Content-Type: audio/x-midi;
name=canon lbp465 it.exe.exe
Content-Transfer-Encoding: base64
Content-ID: <I2T31BzYkcVqm>

Il mio filtro è stato beatamente inutile..
Io mi ero accontentato di un semplice:

if ( RE_Match( $line, ".*filename=.+\.(com|pif|vbs|scr|exe|bat|shs)" ) )
$result = 2
endif

Ma questo caso non ha le doppie virgolette e si cita "name=" e non
"filename="

dove $line è la riga in analisi del testo della Email e $Result è una
variabile che viene modificata in base al livello di rischio che ho trovato:
0 -> Ok
1 -> Spamming
2 -> Allegati Pericolosi
3 -> Email infetta

Ciao

Matteo


Sleepers

unread,
Jun 6, 2003, 10:03:31 AM6/6/03
to
"Matteo Montanari" <matteo_m...@libero.it> ha scritto nel messaggio
<bbpo1j$bh0bv$1...@ID-123015.news.dfncis.de>:

> if ( RE_Match( $line, ".*filename=.+\.(com|pif|vbs|scr|exe|bat|shs)" ) )
> $result = 2
> endif

Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato cosa usa
lui (su Linux, immagino con Procmail):

/^content-disposition: attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
/^content-type: application\/x-msdownload/ REJECT no executable attachments allowed
/^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
/^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments allowed

Matteo Montanari

unread,
Jun 6, 2003, 10:32:15 AM6/6/03
to
Ciao

"Sleepers" <sleeper...@tin.it> ha scritto nel messaggio
news:bbqe0k.3...@sleepers.it...


> "Matteo Montanari" <matteo_m...@libero.it> ha scritto nel messaggio
> <bbpo1j$bh0bv$1...@ID-123015.news.dfncis.de>:
>
> > if ( RE_Match( $line, ".*filename=.+\.(com|pif|vbs|scr|exe|bat|shs)" ) )
> > $result = 2
> > endif
>
> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato cosa usa
> lui (su Linux, immagino con Procmail):
>
> /^content-disposition: attachment;.+filename
?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no
executable attachments allowed
> /^content-type: application\/x-msdownload/ REJECT no executable
attachments allowed
> /^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/
REJECT no executable attachments allowed
> /^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments
allowed

mmm, interessanti 'sti fatti ^__^

comunque ha dimenticato una estensione: "shs"

Ciao

Matteo


Alan Ford

unread,
Jun 6, 2003, 10:39:25 AM6/6/03
to
*Matteo Montanari* ha scritto:

>> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato cosa usa
>> lui (su Linux, immagino con Procmail):
>>
>> /^content-disposition: attachment;.+filename
>> ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no
>> executable attachments allowed

>> [...]


>
> comunque ha dimenticato una estensione: "shs"

Visto che ci sei, aggiungi anche .HTA (TrojanDropper.VBS.Inor)

Ciao.

--
/ _ _ | Xnews in italiano e Guida ai Menu
( (/( (/ | http://digilander.libero.it/xnews


Alan Ford

unread,
Jun 6, 2003, 5:57:24 PM6/6/03
to
Il /06 giu 2003/, *Sleepers* ha scritto:

> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato
> cosa usa lui (su Linux, immagino con Procmail):
>
> /^content-disposition: attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
> /^content-type: application\/x-msdownload/ REJECT no executable attachments allowed
> /^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
> /^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments allowed

Che tradotto nel Mailfilt.hst di Hamster, dovrebbe suonare cosě (forse):

kill() Content-disposition: {attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$}
kill() Content-type: {application\/x-msdownload}
kill() Content-type: {application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$}
kill() Content-type: {audio\/.+name=.+\.exe"}

Ovviamente prima di mettere dei 'kill' magari usare degli 'ignore'...

Ciao.
(e grazie per la segnalazione)

Alan Ford

unread,
Jun 6, 2003, 6:51:13 PM6/6/03
to
Il /06 giu 2003/, *Sleepers* ha scritto:

> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato
> cosa usa lui (su Linux, immagino con Procmail):
>
> /^content-disposition: attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
> /^content-type: application\/x-msdownload/ REJECT no executable attachments allowed
> /^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no executable attachments allowed
> /^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments allowed

Che tradotto nel Mailfilt.hst di Hamster, dovrebbe suonare cosě (forse):

kill() TOP: {attachment;.+filename ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$}
kill() TOP: {application\/x-msdownload}
kill() TOP: {application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$}
kill() TOP: {audio\/.+name=.+\.exe"}

Ovviamente prima di mettere dei 'kill' magari usare degli 'ignore'...

Ciao.
(e grazie per la segnalazione)

P.S. Solo dalla 2.0.2.0 in su.

Pino Pinto

unread,
Jun 7, 2003, 3:39:32 AM6/7/03
to
The man in black fled across hamster.it.misc, and Sleepers followed,
saying:

>su Linux, immagino con Procmail

Postfix. Filtrarli da Procmail sarebbe abbastanza inutile, visto che la
posta l'avresti già scaricata.

--
___ _ |
| _ (_)_ _ ___ | "There ain't no devil,
| _/ | ' \/ _ \ | there's just god when he's drunk"
|_| |_|_||_\___/ | Tom Waits

LuigiT

unread,
Jun 7, 2003, 5:59:35 AM6/7/03
to
On Fri, 6 Jun 2003 11:48:33 +0200, "Matteo Montanari"
<matteo_m...@libero.it> wrote:

>La tua soluzione come regge ad Email (che mi sono realmente arrivate) con
>questa costruzione mime?
>
>------------SYU4FTFS1UDMNXW
>Content-Type: audio/x-midi;
> name=canon lbp465 it.exe.exe
>Content-Transfer-Encoding: base64
>Content-ID: <I2T31BzYkcVqm>

Effettivamente non funziona. E' che io uso lo script per evitare che
escano mail con file allegati sospetto e quindi mi sono adeguato al
solo mailreader in uso.
Dovrò lavorarci su.
> [cut]
>Ciao
>
>Matteo
Buona domenica
LuigiT

Alan Ford

unread,
Jun 7, 2003, 9:54:42 AM6/7/03
to
Il /07 giu 2003/, *Alan Ford* ha scritto:

> Che tradotto nel Mailfilt.hst di Hamster, dovrebbe suonare così
> (forse):

Dopo qualche prova (ma è ancora tutto da sperimentare nel tempo),
aggiungo qualche ottimizzazione:


#1. Aggiungere nel file Hamster.ini, sezione [Setup], la riga:

mail.filter.toplines=40

in questo modo il criceto scaricherà un'anteprima di 40 righe del
corpo(anziché le 20 di default), che dovrebbero essere sufficienti
per trovare le stringhe incriminate.


#2. Ho cercato di 'sistemare' un po' la regex, perché dalle prove
fatte (autoinviandomi email con allegati) ho visto che alcune
stringhe sono divise su più righe. Chiedo aiuto e suggerimenti da
chi ha più presente la casistica della codifica degli allegati, per
non incappare in falsi positivi.

ignore() TOP: {application\/x-msdownload}
ignore() TOP: {.+name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"}
ignore() TOP: {audio\/.+name=.+\.exe"}


#3. Faccio anch'io una segnalazione:

<Po5Ea.88094$g92.1...@news2.tin.it>

e devo dire che finora la regola:

ignore() TOP: "TVqQAAMA"

ha funzionato.

Ciao.

Sleepers

unread,
Jun 9, 2003, 10:13:40 AM6/9/03
to
Alan Ford <xn...@libero.it> ha scritto nel messaggio
<Xns9393A1DD2...@127.0.0.1>:

>Dopo qualche prova (ma è ancora tutto da sperimentare nel tempo),
>aggiungo qualche ottimizzazione:

Adesso provo ad applicarmi, grazie.

Ho visto che il limite delle 40 righe serve per le mail in HTML, perché
per quelle in solo testo basterebbe mail.filter.toplines=30 (metodo
empirico, basato sull'osservazione dei virus che mi sono arrivati;
comunque casoma aggiornerò questo valore dopo qualche altra verifica).

Matteo Montanari

unread,
Jun 9, 2003, 10:52:04 AM6/9/03
to
Ciao

"Sleepers" <sleeper...@tin.it> ha scritto nel messaggio
news:bbqe0k.3...@sleepers.it...


> "Matteo Montanari" <matteo_m...@libero.it> ha scritto nel messaggio
> <bbpo1j$bh0bv$1...@ID-123015.news.dfncis.de>:
>
> > if ( RE_Match( $line, ".*filename=.+\.(com|pif|vbs|scr|exe|bat|shs)" ) )
> > $result = 2
> > endif
>
> Per chi non legge it.news.net-abuse, Marco d'Itri ha segnalato cosa usa
> lui (su Linux, immagino con Procmail):
>
> /^content-disposition: attachment;.+filename
?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/ REJECT no
executable attachments allowed
> /^content-type: application\/x-msdownload/ REJECT no executable
attachments allowed
> /^content-type: application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?$/
REJECT no executable attachments allowed
> /^content-type: audio\/.+name=.+\.exe"$/ REJECT no executable attachments
allowed

Queste regole non bloccano la mail con header mime che ho citato (dentro
hamster):

Content-Type: audio/x-midi;
name=canon lbp465 it.exe.exe
Content-Transfer-Encoding: base64
Content-ID: <I2T31BzYkcVqm>

il motivo è che quando si passa una riga alla volta al parser delle
espressioni regolari, la seconda regola (/^content-type:
application\/.+name=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?) non funziona perchè
è spezzata in due righe separate.

una domanda allora a chi conosce il parser di hamster meglio di me.

e se si facesse analizzare al parser, nel loop (1->n.righe): [riga corrente]
+ [riga corrente+1] ?

sarà più lenta l'analisi, ma forse dovrebbe funzionare.

suggerimenti?

Ciao

Matteo


Sleepers

unread,
Jun 9, 2003, 11:31:13 AM6/9/03
to
Sleepers <sleeper...@tin.it> ha scritto nel messaggio
<bc2bnk.3...@sleepers.it>:

>>Dopo qualche prova (ma è ancora tutto da sperimentare nel tempo),
>>aggiungo qualche ottimizzazione:
>
>Adesso provo ad applicarmi

Dunque, questi due esempi (presi dagli ultimi virus che mi sono
arrivati) non vengono filtrati:

,---- [ Esempio 1 ]
| Content-Type: audio/x-midi;
| name=resume.exe
`----------

,---- [ Esempio 2 ]
| Content-Type: audio/x-midi;
| name=2002.CSV.scr
`----------

Ho provato a risolvere con questa riga (ho tolto " alla fine) e
funziona:
=ignore() TOP: {.+name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)}
^^^^^^
Sempre se ho capito bene la regexp in questo punto... ammetto di avere
un certo mal di testa, dopo solo un quarto d'ora di voli pindarici sulla
guida :-)

Alan Ford

unread,
Jun 9, 2003, 5:08:29 PM6/9/03
to
Il /09 giu 2003/, *Sleepers* ha scritto:

> Dunque, questi due esempi (presi dagli ultimi virus che mi sono
> arrivati) non vengono filtrati:
>
> ,---- [ Esempio 1 ]
>| Content-Type: audio/x-midi;
>| name=resume.exe
> `----------
> ,---- [ Esempio 2 ]
>| Content-Type: audio/x-midi;
>| name=2002.CSV.scr
> `----------

E` vero, mancano le virgolette alla fine di entrambi...

> Ho provato a risolvere con questa riga (ho tolto " alla fine) e
> funziona:
> =ignore() TOP: {.+name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)}
> ^^^^^^

Sì, ma così fai fuori anche qualcosa come:

filename=pippo.exe.zip

> Sempre se ho capito bene la regexp in questo punto... ammetto di
> avere un certo mal di testa, dopo solo un quarto d'ora di voli
> pindarici sulla guida :-)

Non chiederlo a me, ma a D'Itri... ;o)

Ti faccio l'analisi grammaticale:
dopo "name"
ci può essere o no uno spazio ( ?)
poi c'è un uguale (=)
dopo l'uguale c'è almeno un carattere (.+)
poi c'è un punto (\.)
poi c'è un'alternativa tre quelle nelle parentesi tonde.

Riproviamoci:

ignore() TOP: {.*name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?\s*$}
1 2 34

Correzioni
#1. messo * al posto del +, così becca sia <filename> che <name>
#2. messo ?, che vuol dire che le <"> possono esserci oppure no
#3. messo \s(spazio)*, possono esserci uno o più spazi
#4. messo $, nella riga non c'è altro

Ciao.
(grazie per i consigli)

Alan Ford

unread,
Jun 9, 2003, 5:08:53 PM6/9/03
to
Il /09 giu 2003/, *Sleepers* ha scritto:

> Dunque, questi due esempi (presi dagli ultimi virus che mi sono
> arrivati) non vengono filtrati:
>
> ,---- [ Esempio 1 ]
>| Content-Type: audio/x-midi;
>| name=resume.exe
> `----------
> ,---- [ Esempio 2 ]
>| Content-Type: audio/x-midi;
>| name=2002.CSV.scr
> `----------

E` vero, mancano le virgolette alla fine di entrambi...

> Ho provato a risolvere con questa riga (ho tolto " alla fine) e


> funziona:
> =ignore() TOP: {.+name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)}
> ^^^^^^

Sì, ma così fai fuori anche qualcosa come:

filename=pippo.exe.zip

> Sempre se ho capito bene la regexp in questo punto... ammetto di


> avere un certo mal di testa, dopo solo un quarto d'ora di voli
> pindarici sulla guida :-)

Non chiederlo a me, ma a D'Itri... ;o)

Ti faccio l'analisi grammaticale:
dopo "name"
ci può essere o no uno spazio ( ?)
poi c'è un uguale (=)
dopo l'uguale c'è almeno un carattere (.+)
poi c'è un punto (\.)

poi c'è un'alternativa tra quelle nelle parentesi tonde.

Riproviamoci:

ignore() TOP: {.*name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?\s*$}
1 2 34

Correzioni
#1. messo * al posto del +, così becca sia <filename> che <name>
#2. messo ?, che vuol dire che le <"> possono esserci oppure no
#3. messo \s(spazio)*, possono esserci uno o più spazi
#4. messo $, nella riga non c'è altro

Ciao.
(grazie per i consigli)

--

Sleepers

unread,
Jun 10, 2003, 4:01:52 AM6/10/03
to
Alan Ford <xn...@libero.it> ha scritto nel messaggio
<Xns9395EB799...@127.0.0.1>:

>ignore() TOP: {.*name ?=.+\.(bat|pif|com|exe|scr|lnk|vbs)"?\s*$}
> 1 2 34

Ti giro lo stesso suggerimento che hanno dato a me tempo fa: non
mischiare tab e spazi, in quanto i tab vengono visualizzati in modo
diverso dai vari editor (8 spazi da notepad, 4 dalla maggior parte degli
editor per programmare, 0 da Outlook express).

Nella sezione del MailFilt.hst dedicata a [ditta] adesso ho inserito
queste righe:
-----------
# killa sul server i messaggi che sicuramente contengono virus
=kill() TOP: {.*name ?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)"?\s*$}
=kill() TOP: "TVqQAAMA" #intercetta una stringa tipica di W32.Bugbear.B@mm
=kill() TOP: {audio\/.+name=.+\.exe"}
=kill() TOP: {audio\/x-midi}
#
# se il messaggio contiene un file .exe o .dll (e non è già stato killato
# dalle righe precedenti) viene ignorato
=ignore() TOP: {application\/x-msdownload}
#
# ignora i messaggi con allegati multimediali (.wav, .mid, .avi, .mp*):
# non sono virus ma occupano banda
=ignore() TOP: {audio\/wav}
=ignore() TOP: {audio\/mpeg}
=ignore() TOP: {audio\/mid}
=ignore() TOP: {video\/avi}
=ignore() TOP: {video\/mpeg}
-----------

Grazie dell'analisi grammaticale :-)

Alan Ford

unread,
Jun 10, 2003, 4:42:10 AM6/10/03
to
*Sleepers* ha scritto:

> Ti giro lo stesso suggerimento che hanno dato a me tempo fa: non
> mischiare tab e spazi, in quanto i tab vengono visualizzati in modo
> diverso dai vari editor (8 spazi da notepad, 4 dalla maggior parte degli
> editor per programmare, 0 da Outlook express).

Ecco perchč divento matto tutte le volte e non mi riesce mai... ^__^

> Nella sezione del MailFilt.hst dedicata a [ditta] adesso ho inserito
> queste righe:

Speriamo bene ^__^;

> =kill() TOP: "TVqQAAMA" #intercetta una stringa tipica di W32.Bugbear.B@mm

Da quello che ho capito (e visto in una prova) non č una stringa tipica del
virus in questione, ma di "qualcosa" di piů generico... ?__?

Nella prova, mi ero allegato il file notepad.exe e compariva quella stringa.
(magari metterei un ignore come per i file multimediali).

Ciao.

Sleepers

unread,
Jun 10, 2003, 5:53:14 AM6/10/03
to
"Alan Ford" <xn...@libero.it> ha scritto nel messaggio
<Xns1298B8C56...@192.168.0.2>:

>> Ti giro lo stesso suggerimento che hanno dato a me tempo fa: non
>> mischiare tab e spazi, in quanto i tab vengono visualizzati in modo
>> diverso dai vari editor (8 spazi da notepad, 4 dalla maggior parte degli
>> editor per programmare, 0 da Outlook express).

>Ecco perchè divento matto tutte le volte e non mi riesce mai... ^__^

Guarda, ho eliminato i TAB :-)

>> Nella sezione del MailFilt.hst dedicata a [ditta] adesso ho inserito
>> queste righe:
>Speriamo bene ^__^;

Ho comunque notify attivato, se va male contato il mittente della mail
killata e gli chiedo di rispedire :-)

>> =kill() TOP: "TVqQAAMA" #intercetta una stringa tipica di W32.Bugbear.B@mm
>

>Da quello che ho capito (e visto in una prova) non è una stringa tipica del
>virus in questione, ma di "qualcosa" di più generico... ?__?


>
>Nella prova, mi ero allegato il file notepad.exe e compariva quella stringa.
>(magari metterei un ignore come per i file multimediali).

OK, grazie.

Alan Ford

unread,
Jun 10, 2003, 4:13:05 PM6/10/03
to
Il /10 giu 2003/, *Sleepers* ha scritto:

> Nella sezione del MailFilt.hst dedicata a [ditta] adesso ho inserito
> queste righe:
> -----------
> # killa sul server i messaggi che sicuramente contengono virus
> =kill() TOP: {.*name ?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)"?\s*$}

^
Non ci siamo... :o/

Stasera me né arrivata un'altra (originale 100%) e quel delimitatore
di fine stringa gli da proprio fastidio (e non la vede).

Modifica:
(sarà la volta buona? - stavolta ho bollito veramente il cervello...)

kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}

ovvero la condizione che dopo l'estensione 'cattiva' *non* ci sia un
punto.

Ciao (e scusa).

Sleepers

unread,
Jun 11, 2003, 3:28:06 AM6/11/03
to
Alan Ford <xn...@libero.it> ha scritto nel messaggio
<Xns9396E2042...@127.0.0.1>:

>kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}

1 2 3

1 = hai messo '\s' invece dello spazio ' '
2 = dopo l'estensione (bat...vbs) non deve esserci un punto '.' (il '\56'
è l'ottale del 'punto', giusto?)
3 = potrebbe esserci un '"'

Sleepers

unread,
Jun 11, 2003, 8:12:35 AM6/11/03
to
Alan Ford <xn...@libero.it> ha scritto nel messaggio
<Xns9396E2042...@127.0.0.1>:

>kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}

Provato con queste due tipologie di allegati (virus ricevuti, trovati in
giro o creati ad hoc, come nell'ultimo esempio) e la riga funziona:

,---- [ Tipo 1 ]


|Content-Type: audio/x-midi;
| name=canon lbp465 it.exe.exe
|

|Content-Type: audio/x-midi;
| name=VIERRE2.txt.scr
`----------

,---- [ Tipo 2 ]
|Content-Type: application/x-msdownload; name="220817.dxf.scr"
|Content-Disposition: attachment; filename="220817.dxf.scr"
|
|Content-Type: application/x-msdownload; name="c7_rsa.xls.scr"
|Content-Disposition: attachment; filename="c7_rsa.xls.scr"
|
|Content-Type: application/x-msdownload; name="BILLOTS.xls.pif"
|Content-Disposition: attachment; filename="BILLOTS.xls.pif"
|
|Content-Type: application/x-msdownload;
| name="File di prova con nome molto lungo per verificare se viene spezzato su duerighe-08janvier01.doc.exe"
| filename="File di prova con nome molto lungo per verificare se viene spezzato su duerighe-08janvier01.doc.exe"
`----------

Finora "mail.filter.toplines=30" mi è stato sufficiente, c'è qualcuno
che ha avuto bisogno di arrivare a "mail.filter.toplines=40"?

Alan Ford

unread,
Jun 11, 2003, 12:28:20 PM6/11/03
to
*Sleepers* ha scritto:

>> kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}
> 1 2 3
>
> 1 = hai messo '\s' invece dello spazio ' '
> 2 = dopo l'estensione (bat...vbs) non deve esserci un punto '.' (il '\56'

> č l'ottale del 'punto', giusto?)


> 3 = potrebbe esserci un '"'

Sě, tutto giusto (o per lo meno quelle erano le mie intenzioni ed i risultati
dei miei tentativi).

^_______^

Ciao.

LuigiT

unread,
Jun 12, 2003, 10:40:37 AM6/12/03
to
On Tue, 10 Jun 2003 22:13:05 +0200, Alan Ford <xn...@libero.it> wrote:

>Modifica:
>(sarà la volta buona? - stavolta ho bollito veramente il cervello...)
>
>kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}
>

Scusate, se il file sospetto è il secondo di 2 allegati come la
mettiamo? Il suo nome compare solo al fondo del primo allegato e ben
oltre le 30 o 40 righe.

LuigiT
--
uno che scarica sempre la beta, ma poi non userebbe le novità se non
fosse per questo ng!

Alan Ford

unread,
Jun 12, 2003, 11:35:02 AM6/12/03
to
*LuigiT* ha scritto:

> Scusate, se il file sospetto č il secondo di 2 allegati come la


> mettiamo? Il suo nome compare solo al fondo del primo allegato e ben
> oltre le 30 o 40 righe.

Certamente.
(bella intuizione ;o)

IMO le cose sono due:

#1. o uno accetta la probabilitą (IMO bassa) che un virus usi due allegati per
diffondersi;

#2. oppure no e aumenta le righe a 8000?

Ciao.

P.S. hai notizie di virus maxibon? ^__^

Gandalf il Grigio

unread,
Jun 12, 2003, 12:02:46 PM6/12/03
to
hamster.it.misc ~ 12/6/2003 ~ Alan Ford:

> #1. o uno accetta la probabilità (IMO bassa) che un virus usi due allegati per
> diffondersi;

Ecco...

> #2. oppure no e aumenta le righe a 8000?

Non mi sembra molto utile il filtraggio, a questo punto ^____^;;;

G
--
Farewell! | Gandalf looked at Frodo, and his eyes glinted.
gandalf*ithn.net| 'I knew much and I have learned much,'
ICQ#16553733 | he answered. 'But I am not going to give
snurl.com/dialog| an account of all my doings to _you._'

Alan Ford

unread,
Jun 12, 2003, 2:46:25 PM6/12/03
to
Il /12 giu 2003/, *Gandalf il Grigio* ha scritto:

>> #2. oppure no e aumenta le righe a 8000?
>
> Non mi sembra molto utile il filtraggio, a questo punto ^____^;;;

Quando uno pensa ad un virus in una LAN con più PC gestiti da uto...
ehm *prosperose* segretarie, IMO i criteri di utilità possono cambiare
in fretta... ;o)

(poi diversamente te lo dovresti cmq scaricare e 'spettare che ci pensi
il fido antivirus...)

Ciao.
(da me continua a fare caaaaldo) ^__^;;;;;;;;;;

Sleepers

unread,
Jun 12, 2003, 4:11:04 PM6/12/03
to
gruppi.tub...@infinito.it (LuigiT) ha scritto nel messaggio
<3ee88d2c.3390209@localhost>:

>>kill() TOP: {.*name\s?=.+\.(bat|com|exe|hta|lnk|pif|scr|shs|vbs)(?!\56)"?}

>Scusate, se il file sospetto č il secondo di 2 allegati come la


>mettiamo? Il suo nome compare solo al fondo del primo allegato e ben
>oltre le 30 o 40 righe.

ignore() Bytes: %>50000
ignore() *Content-Type: "multipart/mixed"
ignore() *Content-Type: "multipart/alternative"
ignore() *Content-Type: "multipart/related"

Si potrebbero anche spostare su admin le mail sospette e usare una
WhiteList di indirizzi affidabili sotto il profilo "virus", anche se
ammetto che per la posta aziendale non č cosě semplice; almeno, io
conosco solo due aziende in contatto con noi che aggiornano il loro
antivirus ogni giorno (perň usano GuardaFuori/EntraDentro, quindi siamo
quasi da capo).

Ciao, Alessio.
--
La versione ufficiale di Agent 1.93 *in italiano* č disponibile su

Reply all
Reply to author
Forward
0 new messages