다들 많이 사용하시는 룰에 적용해봄직한 룰을 만들은 것입니다.
처음껀 예전에 만든 것인데..
바이러스라는 것이 "자동 실행" 되어야 바이러스로서 가치가 크기에 주로 사용되는 윈도우에서 실행할수 있는 파일 포맷을 정리했습니다.
Code: Select all
:0 BH
* (^Content-Type:.*audio.((x-midi)|(x-wav)))|(name=.*\.(exe|vbs|pif|com|src|hta|scr|cpl|bat|cmd|msc)(\")?$)
{
:0fhw
|formail -i "Subject: [VIRUS] $SUB"
}주로 제목이 "pric 29-jan-2009" 이런 형태가 많더군요.
그래서 지속적인 모니터링 결과 일반 적인 메일에서는 이런 경우가 "거의" 없다고 판단해서 아래 코드를 만들었습니다.
Code: Select all
:0 BH
* (^Received.*from.*\(HELO .(192\.168\.[0-9]+\.[0-9]+)|(10\.[0-9]+\.[0-9]+\.[0-9]+).\) \([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+\))
* (^Content-Disposition: attachment)
{
:0fhw
|formail -i "Subject: [VIRUS] $SUB"
}