Re: header_checks contre swen
Régis Grison a écrit, dimanche 21 septembre 2003, à 00:35 :
> D'après le site :
> http://www.f-secure.com/v-descs/swen.shtml
>
> la ligne suivante dans header_checks devrait stopper le virus (je l'ai
> mis en place mais je n'ai pas le recul pour savoir si c'est efficace) :
>
> /^From:
> (MS|Microsoft|Corporation|Program|internet|Network|Security|Division|\
> Section|Departement|Center|Technical|Public|Customer|Bulletin|Services|\
> Assistance|Support|)*<.*@(news|bulletin|confidence|advisor|updates|technet|\
> support|newsletters).(ms|msn|msdn|microsoft)\.(com|net)>$/ REJECT
Il manque les doubles quotes autour de la première partie, et l'espace
entre les mots :
/^From: "(<---alternative1--->| )*" \
<[a-z_-]*@((<--alternative2 ??? -->)[_.])*(net|com)> *$/ ?
La droite du @ semble être [a-z]+([_.][a-z])?, mais le domaine de
l'adresse est plus varié que ça :-/
Toujours \.(com|net), on dirait ... => c'est lié à Verisign ? Il y a un
peu de < ?>, @aol\.com, @america\.(com|net), etc.
Dans le sous-domaine, on trouve _ au lieu de \. : newsletters_ms.com, et
il peut n'y avoir que deux mots : news.com, bulletin.net, etc.
Ah, zut, il y a aussi un peu de sous-domaines aléatoires : @qpsbynu.com>
... encore du Verisign (je n'ai pas fait le whois ;) ?
Il y a aussi ^(FROM|TO|SUBJECT): qui en attrape beaucoup.
--
Jacques L'helgoualc'h
Reply to: