作者 主題: 最近很多冒名的email附加檔案內.cmd、.com的執行檔  (閱讀 5081 次)

0 會員 與 1 訪客 正在閱讀本文。

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
附加檔案是 .rar 或 .zip 的檔案,裡面有 .cmd 或 .com 的執行,怎麼設定 spamassassin 可以掃壓縮檔裡面的檔案!!
謝謝
--
TyroneYeh

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
我之前用的方法是用 MailScanner 來解 !!
Networking & Communication Security SE

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5401
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
那應該不是 spamassassin 的工作吧.
一般來說是 amavisd 或 mailscanner 做這件事的.

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
如果兩層壓縮檔,mailscanner 也可以嗎?
--
TyroneYeh

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
如果兩層壓縮檔,mailscanner 也可以嗎?

可以...
Networking & Communication Security SE

蜜蜂

  • 活潑的大學生
  • ***
  • 文章數: 277
  • 性別: 男
    • 檢視個人資料
我們公司最近也收到一堆這種信. 用防毒軟體掃解壓後的檔案也沒發現病毒.
附檔應該是會去執行一些 download 動作或是其他破壞動作.

所以我想須要用 Mailscanner 的 file block 的功能來檔.


kk_study

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
如果兩層壓縮檔,mailscanner 也可以嗎?

加密碼就不行了

湯姆貓

  • 活潑的大學生
  • ***
  • 文章數: 475
    • 檢視個人資料
如果真有人寄有加密碼的病毒壓縮檔,
那還真是夠天才的了.

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5401
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
我記得有一陣子有個 email 的病毒就是加密的 zip 檔. 信件的內容會告訴你密碼.
因為這樣, amavisd-new 後來有個把加密 zip 擋掉的功能出現.

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
如果可以爭取主管與同仁的認同,就把壓縮加密檔案給過濾掉吧....

如果同事會亂寄一些檔案導致被攔截下來,花點時間去教育吧!
---
最簡單的原則,才能顧好你家門口的安全;條件規格越多,只會造成更多問題。
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

lcn0

  • 憂鬱的高中生
  • ***
  • 文章數: 191
    • 檢視個人資料
小弟公司最近也遇到這問題,大部分都是從YAHOO來的

Anti SPAM搭的防毒引擎是Kaspersky ,PC端用的是Symantec ,
兩者都無法偵測到惡意程式,丟到Virustotal分析,的確有問題。

將樣本上傳後對方表示會在下次更新時將特徵碼加入,幾天過去了還是沒有下文...

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
試了一下 MailScanner 不過因為我是用 Exim ,網路上的文章不多,後來卡信就放棄啦~
不過我想因應該防毒就可以做了呀! MailScanner 不是也是搭配防毒在使用的,但是 Clamav 也掃不到 .cmd 中的東東!!!
試 Sophos 手動掃也掃不到!!

用 F-prot 6.2.1 來掃.... 就掃得到.... 但是,F-prot 6.2.1 + Exim 的 av_scanner 又不會設定啦~~ 資料都是教 4.x 版的!! 照設沒效!
代碼: [選擇]
# fpscan a.zip

F-PROT Antivirus version 6.2.1
FRISK Software International (C) Copyright 1989-2007

Engine version: 4.4.1.52
Virus signatures: 2008020318005089ed21e83519414fc4f98d67ae1397
                  (/opt/f-prot/antivir.def)

[Found possible virus] <W32/PWStealer3!Generic (not disinfectable)>     a.zip->小雯照片.Cmd->(RAR)->MyDoc.exe
[Contains infected objects]     a.zip


Results:

Files: 1
Skipped files: 0
MBR/boot sectors checked: 0
Objects scanned: 10
Infected objects: 1
Files with errors: 0
Disinfected: 0

Running time: 00:01

現在還是只能先用 Clamav 頂著,不過那種東西還是沒輒啦~
是否有先進能指導一下呢? 謝謝
--
TyroneYeh

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/