El domingo, 21 de septiembre de 2003, a las 11:41, Ismael Fanlo escribe: > encontrar expresión regular, name=.*\.{exe|pif|bat|scr} Si las expresiones regulares en kmail son las mismas expresiones regulares "de toda la vida", entonces, necesitas cambiar las llaves por paréntesis. name=.*\.(exe|pif|bat|scr) Yo ahora, estoy utilizando desde procmail, el filtro mpartinfo2hdr.py de Jarno Elonen <elonen@iki.fi>. Es capaz de analizar las partes MIME de los mensajes, y determinar si el tipo MIME "declarado" para un anexo, es igual que el tipo MIME "real" del anexo. Esto resulta genial para detectar, por ejemplo, ejecutables codificados como muestras de audio, o similares. Por ejemplo, mpartinfo2hdr.py generaría una cabecera de este tipo, contra un mensaje con el puñetero W32/Swen@MM, donde el ejecutable pretende ser una onda wav. X-Msg-Part-Info: attachment; size="106496"; md5sum="b09e26c292759d654633d3c8ed00d18d"; claimedmime="audio/x-wav"; name="gvzvfszn.exe"; guessedmime="application/x-dosexec" El md5sum "canta" la presencia del virus W32/Swen@MM, fácilmente podrías filtrarlo con las reglas de tu cliente de correo. Si fueses un desconcertado usuario de Windows, y lanzases el anexo, estarías ejecutando gvzvfszn.exe en lugar de oir la bonita onda. :P Mis recetas procmail para este filtro, son tal que así: # Analiza anexos MIME y añade al mensaje cabeceras que describen su # contenido. :0 fw: .mpartinfo2hdr.lock | $HOME/bin/mpartinfo2hdr.py # Elimina mensajes con el virus W32/Swen@MM. :0 * ^X-Msg-Part-Info:.*b09e26c292759d654633d3c8ed00d18d /dev/null Algunos servidores de correo intermedios, equipados con antivirus, amablemente aniquilan el anexo, dejándolo como un ejecutable de longitud cero. Sabiendo la md5sum de "algo" de longitud cero, también es posible eliminar este tipo de mensajes. :0 * ^X-Msg-Part-Info:.*d41d8cd98f00b204e9800998ecf8427e.*name=.*\.(exe|pif|bat|scr) /dev/null El filtro de marras puede descargarse aquí. Jarno lo modificó ayer noche, pues sólo funcionaba con python2.3 de sid. Ahora funciona de perlas también con python2.2 de woody. http://elonen.iki.fi/code/misc-notes/mpartinfo2hdr/mpartinfo2hdr.py Espero que esta información resulte útil. Un saludo, Ismael -- "Tout fourmille de commentaries; d'auteurs il en est grande cherté"
Attachment:
signature.asc
Description: Digital signature