Re: header_checks contre swen
Le Dimanche 21 Septembre 2003 01:51, Jacques L'helgoualc'h a écrit :
> Régis Grison a écrit, dimanche 21 septembre 2003, à 00:35 :
> > D'après le site :
> > http://www.f-secure.com/v-descs/swen.shtml
> >
> > la ligne suivante dans header_checks devrait stopper le virus (je l'ai
> > mis en place mais je n'ai pas le recul pour savoir si c'est efficace) :
> >
> > /^From:
> > (MS|Microsoft|Corporation|Program|internet|Network|Security|Division|\
> > Section|Departement|Center|Technical|Public|Customer|Bulletin|Services|\
> > Assistance|Support|)*<.*@(news|bulletin|confidence|advisor|updates|techne
> >t|\ support|newsletters).(ms|msn|msdn|microsoft)\.(com|net)>$/ REJECT
>
> Il manque les doubles quotes autour de la première partie, et l'espace
> entre les mots :
>
> /^From: "(<---alternative1--->| )*" \
> <[a-z_-]*@((<--alternative2 ??? -->)[_.])*(net|com)> *$/ ?
>
> La droite du @ semble être [a-z]+([_.][a-z])?, mais le domaine de
> l'adresse est plus varié que ça :-/
>
> Toujours \.(com|net), on dirait ... => c'est lié à Verisign ? Il y a un
> peu de < ?>, @aol\.com, @america\.(com|net), etc.
>
> Dans le sous-domaine, on trouve _ au lieu de \. : newsletters_ms.com, et
> il peut n'y avoir que deux mots : news.com, bulletin.net, etc.
>
> Ah, zut, il y a aussi un peu de sous-domaines aléatoires : @qpsbynu.com>
> ... encore du Verisign (je n'ai pas fait le whois ;) ?
>
> Il y a aussi ^(FROM|TO|SUBJECT): qui en attrape beaucoup.
Dans le corps de message, il y a "Thank you for using Micro$oft products" qui
en attrape un peu moins de la moitié et "iframe $rc" qui attrape l'autre
moitié (remplacez $ par s). Ca me semble beaucoup plus efficace que des tests
sur les headers générés "aléatoirement" par le virus.
--
ultimateclem
Debian user
Reply to: