Page 1 of 1

procmail 을 이용한 바이러스 메일 필터링 기법 2개

Posted: 2009/01/29 11:12
by ironiris
안녕하세요~ 뭐 거창한 기술은 아니구요.
다들 많이 사용하시는 룰에 적용해봄직한 룰을 만들은 것입니다.
처음껀 예전에 만든 것인데..
바이러스라는 것이 "자동 실행" 되어야 바이러스로서 가치가 크기에 주로 사용되는 윈도우에서 실행할수 있는 파일 포맷을 정리했습니다.

Code: Select all

:0 BH
* (^Content-Type:.*audio.((x-midi)|(x-wav)))|(name=.*\.(exe|vbs|pif|com|src|hta|scr|cpl|bat|cmd|msc)(\")?$)
{
:0fhw
|formail -i "Subject: [VIRUS] $SUB"
}
두번째 것은 이번에 만든 것인데 바이러스 메일중에는 특이하게도 메일서버에게 HELO 코드를 보낼때 사설 IP주소를 보내더군요.
주로 제목이 "pric 29-jan-2009" 이런 형태가 많더군요.
그래서 지속적인 모니터링 결과 일반 적인 메일에서는 이런 경우가 "거의" 없다고 판단해서 아래 코드를 만들었습니다.

Code: Select all

:0 BH
* (^Received.*from.*\(HELO .(192\.168\.[0-9]+\.[0-9]+)|(10\.[0-9]+\.[0-9]+\.[0-9]+).\) \([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+\))
* (^Content-Disposition: attachment)
{
:0fhw
|formail -i "Subject: [VIRUS] $SUB"
}

Posted: 2009/01/30 13:39
by stone92
팁들 감사합니다.^^;
저는 maildrop 매니아라서리..ㅎㅎㅎ
잘 지내시는지요?
전 요즘 제 웹메일 프로그램 고치느라 정신이 없습니다.
나중에 완성되면 공개하도록 하겠습니다..^^;