Re: DEMASIADOS VIRUS [OT]

To: debian-user-spanish@lists.debian.org
Subject: Re: DEMASIADOS VIRUS [OT]
From: Ismael Valladolid Torres <ismael@sambara.org>
Date: Sun, 21 Sep 2003 13:08:19 +0200
Message-id: <[🔎] 20030921110819.GJ5115@intranet.sambara.org>
Mail-followup-to: Ismael Valladolid Torres <ismael@sambara.org>, debian-user-spanish@lists.debian.org
In-reply-to: <[🔎] 200309211141.52091.ifanlo@tiscali.es>
References: <[🔎] 200309210020.58301.jfil@gmx.net> <[🔎] 200309210917.59027.osv90287@menta.net> <[🔎] 20030921093747.GF5115@intranet.sambara.org> <[🔎] 200309211141.52091.ifanlo@tiscali.es>

El domingo, 21 de septiembre de 2003, a las 11:41, Ismael Fanlo escribe:
> encontrar expresión regular, name=.*\.{exe|pif|bat|scr}

Si las expresiones regulares en kmail son las mismas expresiones
regulares "de toda la vida", entonces, necesitas cambiar las llaves
por paréntesis.

 name=.*\.(exe|pif|bat|scr)

Yo ahora, estoy utilizando desde procmail, el filtro mpartinfo2hdr.py
de Jarno Elonen <elonen@iki.fi>. Es capaz de analizar las partes MIME
de los mensajes, y determinar si el tipo MIME "declarado" para un
anexo, es igual que el tipo MIME "real" del anexo. Esto resulta genial
para detectar, por ejemplo, ejecutables codificados como muestras de
audio, o similares. Por ejemplo, mpartinfo2hdr.py generaría una
cabecera de este tipo, contra un mensaje con el puñetero W32/Swen@MM,
donde el ejecutable pretende ser una onda wav.

X-Msg-Part-Info: attachment; size="106496";
    md5sum="b09e26c292759d654633d3c8ed00d18d";
    claimedmime="audio/x-wav"; name="gvzvfszn.exe";
    guessedmime="application/x-dosexec"

El md5sum "canta" la presencia del virus W32/Swen@MM, fácilmente
podrías filtrarlo con las reglas de tu cliente de correo. Si fueses un
desconcertado usuario de Windows, y lanzases el anexo, estarías
ejecutando gvzvfszn.exe en lugar de oir la bonita onda. :P

Mis recetas procmail para este filtro, son tal que así:

# Analiza anexos MIME y añade al mensaje cabeceras que describen su
# contenido.
:0 fw: .mpartinfo2hdr.lock
| $HOME/bin/mpartinfo2hdr.py

# Elimina mensajes con el virus W32/Swen@MM.
:0
* ^X-Msg-Part-Info:.*b09e26c292759d654633d3c8ed00d18d
/dev/null

Algunos servidores de correo intermedios, equipados con antivirus,
amablemente aniquilan el anexo, dejándolo como un ejecutable de
longitud cero. Sabiendo la md5sum de "algo" de longitud cero, también
es posible eliminar este tipo de mensajes.

:0
* ^X-Msg-Part-Info:.*d41d8cd98f00b204e9800998ecf8427e.*name=.*\.(exe|pif|bat|scr)
/dev/null

El filtro de marras puede descargarse aquí. Jarno lo modificó ayer
noche, pues sólo funcionaba con python2.3 de sid. Ahora funciona de
perlas también con python2.2 de woody.

http://elonen.iki.fi/code/misc-notes/mpartinfo2hdr/mpartinfo2hdr.py

Espero que esta información resulte útil.

Un saludo, Ismael
-- 
"Tout fourmille de commentaries; d'auteurs il en est grande cherté"

Attachment: signature.asc
Description: Digital signature

Reply to:

Follow-Ups:
- Re: DEMASIADOS VIRUS [OT]
  - From: Ismael Fanlo <ifanlo@tiscali.es>

References:
- DEMASIADOS VIRUS
  - From: jfil <jfil@gmx.net>
- DEMASIADOS VIRUS
  - From: osvi 2 <osv90287@menta.net>
- Re: DEMASIADOS VIRUS
  - From: Ismael Valladolid Torres <ismael@sambara.org>
- Re: DEMASIADOS VIRUS [OT]
  - From: Ismael Fanlo <ifanlo@tiscali.es>

Prev by Date: RE: DEMASIADOS VIRUS
Next by Date: Re: DEMASIADOS VIRUS
Previous by thread: Re: DEMASIADOS VIRUS [OT]
Next by thread: Re: DEMASIADOS VIRUS [OT]
Index(es):
- Date
- Thread