Re: yo también iloveyou(Aclaración)

To: Joan Cirer <j.cirer@barcelo.com>, Lista Debian Castellano <debian-user-spanish@lists.debian.org>
Subject: Re: yo también iloveyou(Aclaración)
From: Manel Marin <manel3@apdo.com>
Date: Sat, 6 May 2000 09:35:31 +0000
Message-id: <[🔎] 20000506093531.A638@sirius.localdomain>
Mail-followup-to: Joan Cirer <j.cirer@barcelo.com>, Lista Debian Castellano <debian-user-spanish@lists.debian.org>
In-reply-to: <[🔎] 003401bfb699$bf3a3e20$0200000a@jornets>; from Joan Cirer on Fri, May 05, 2000 at 03:56:43PM +0200
References: <[🔎] Pine.LNX.3.96.1000505154138.5536M-100000@tajo.unex.es> <[🔎] 003401bfb699$bf3a3e20$0200000a@jornets>

Hola a todos,

On Fri, May 05, 2000 at 03:56:43PM +0200, Joan Cirer wrote:
> 
> Por cierto...
> Conoceis el filtro para sendmail Amavis (http://aachalon.de/AMaViS) ?
> Es un mailer que escanea todos los mensajes que pasan a traves del servidor
> para detectar virus no es tan sofisticado como los antivirus para MS
> Exchange o Lotus Domino, pero os puede sacar de apuros en el curro ;-)
> 

Yo utilizo un interceptador de ejecutables con procmail, no es exactamente un
 antivirus, pero me va bien... (excepto los autoextraibles nadie envia nunca
 ejecutables a "mis" usuarios... excepto los virus)

Ademas he intentado detectar macros dentro de archivos word (funciona al menos
 con el virus de macro de word-97 que le llegó a la secre de mi jefe ;-)

No conozco todos los formatos de correo (de adjuntos) asi que he preparado estos
recipientes por ensayo-y-error

¿Que os parece?
¿Hay mas formatos de añadir adjuntos?
Agradeceré comentarios ;-)


----8<----
####
# CAPTURA DE CORREO CON EJECUTABLES .EXE , ETC... (VIRUS DE E-MAIL)
# Esto captura todos los mensajes con añadidos exe, com, hta, vbs, js y reg
# y los envia al recipiente exemacros para "su desactivación"
# ¿Hay mas formatos de adjuntos?
#
# Capturo adjuntos MIME
:0 HB
* .*filename=".*(\.exe|\.com|\.hta|\.vbs|\.js|\.reg)"
! exemacros

# Captuto adjuntos ¿uuencode?
# (lo he tomado del virus de e-mail Happy.exe)
# que es: ^begin 644 Happy99.exe$ (expresión regular)
#
:0 HB
* ^begin.*(\.exe|\.com|\.hta|\.vbs|\.js|\.reg)
! exemacros


####
# CAPTURA DE ADJUNTOS CON MACROS (MS-Word 97 como minimo)
# Lo que vamos a hacer es detectar en el cuerpo la cadena
#  "0x00 M 0x00 a 0x00 c 0x00 r 0x00 o 0x00 s 0x00" que parece estar siempre
#  presente cuando hay macros...
# Como los adjuntos siempre vienen codificados hay que buscar esa cadena
#  ya codificada
# En la codificacion base64 (3 en 4) hay tres cadenas resultantes en funcion
#  de la posicion relativa de la cadena desde el inicio del texto
# Aunque la codificacion quoted-printable no suele ser la usada en los .doc
#  la añado por si acaso (es el cuarto valor)
:0 B
* .*(TQBhAGMAcgBvAHM|E0AYQBjAHIAbwBz|BNAGEAYwByAG8Acw|M=00a=00c=00r=00o=00s=00)
! exemacros
---->8----

Mas detalles:
Me bajo el correo de mis usuarios con fetchmail y lo entrego a procmail,
le paso estos "filtros" y luego lo envio a los recipiente de mis usuarios
a traves del MTA del sistema (exim)

La idea no es detectar virus, sino detectar ejecutables o la presencia de
 macros en documentos microchof, aunque con Excel no he tenido exito...


Saludos,
-- 
-------------------------------------------------
Manel Marin   e-mail: manel3@apdo.com
Linux Powered (Debian 2.1 slink)  kernel 2.2.14

Mira mis chuletas de Linux en  http://perso.wanadoo.es/manel3
-------------------------------------------------
Mi petición de drivers para Linux es la nº 33126
 (Pasate por http://www.libranet.com/petition.html ;-)

Reply to:

References:
- yo también iloveyou(Aclaración)
  - From: Diego Bote <dbote@unex.es>
- RE: yo también iloveyou(Aclaración)
  - From: "Joan Cirer" <j.cirer@barcelo.com>

Prev by Date: Re: Filosofia de Debian.
Next by Date: Re: RV: cat /dev/zero>archivo
Previous by thread: RE: yo también iloveyou(Aclaración)
Next by thread: Re: [Novato pregunta sobre conexion por modem y dselect]
Index(es):
- Date
- Thread