2 заметки с тегом

вирус

Вирусы в почте. Конец тестирования

Прошел почти месяц с тех пор, как научил ClamAV искать вирусы в архивах. За это время было найдено и обезврежено около двух десятков писем с троянами, шифровальщиками и прочей пакостью. Так как антивирус не только удаляет эти письма, но и складывает копии в отдельную папку, то я имею возможность позднее их просмотреть. По большей части это были vbs-скрипты. Попадались также wsf- и даже exe-файлы. Все были повторно проверены Nod32 и все были признаны вирусами, не выжил никто. Среди прочих было одно письмо, глядя на которое даже я засомневался вредное ли оно — настолько правдоподобно все было написано. Во вложениях была некая инструкция по установке сертификата, сам сертификат и запароленный архив, в котором лежал текстовый файл. Почитал инструкцию. Сомнения развеялись сразу после того, как увидел что нужно зайти в «тонкие» настройки Firefox и изменить версию TLS с 3 на 1. Инструкция описывала подобные настройки для всех браузеров. И ведь не лень кому-то было ее писать! :-)
Посмотрел также на сертификат. Издателем оказался некий товарищ Никулин, работающий в фирме IBM. Если бы сертификат был подписан любым удостоверяющим центром — было бы интересней. А так оказалось, что сертификат самоподписанный.

12 октября   clamav   вирус   почта

Почта и вирусы в архивах

Часто вирусные файлы приходят в виде тех же vbs скриптов, упакованных в архив. Я не буду говорить про другие форматы, их не так уж и много, но каждый из них может доставить кучу неприятностей. Особенно если это будет шифровальщик.
Так уж сложилось, что несмотря на все ухищрения, используя стандартные методы, нельзя заставить ClamAV проверять архивы на наличие файлов определенного типа. Он может только попытаться определить заражен ли тот или иной файл в архиве, но со скриптами у него явные проблемы. Скрипт по сути представляет собой обычный текстовый файл, поэтому найти в нем код вируса достаточно проблематично.
Часть этого вопроса удалось решить, заставив postfix отбрасывать письма, в которые вложены файлы из «черного» списка. Но он не может работать с архивами, увы. Это был первый, так сказать этап, который успешно показал себя.
Вторым этапом стал поиск файлов в архивах при помощи ClamAV. Оказывается, можно все-таки заставить его проверять архивы на наличие нужных файлов. Неслучайно копаясь в интернете, наткнулся на эту вот замечательную статью. Использовав информацию из нее, подкинул созданный файл в папку с антивирусными базами ClamAV и перегрузил его. Никаких исправлений в файлы конфигураций вносить не пришлось, он сразу его подхватил. Далее я отправил письмо, полученное утром, и содержащее vbs-скрипт в архиве .7z через этот сервер. Хотел было поймать процесс обработки письма, но не успел. Впрочем, через минуту мне на почту упало сообщение от антивируса, что письмо обработано, найден архив с «вредным» файлом и что письмо было заблокировано. Это было все, чего я добивался.

Virus name: rules_block_7z_vbs.UNOFFICIAL
Sender: *****@*****.ru
Recipient(s): *****@*****.ru

Quarantined to: /var/tmp/virus.yHPWqV

Сам файл с нужными определениями состоит из строк вида

rules_block_exe:CL_TYPE_MAIL:*:\.[Ee][Xx][Ee]$:*:*:*:*:*:*

Здесь самыми интересными для нас являются три поля: имя правила, тип правила и расширение файла. Имя и тип задаются первыми двумя параметрами, разделенными двоеточием. Затем идет имя файла с расширением в виде regexp-строки. Оставшиеся параметры оставляем без изменений. Расширение файла указывается в обоих регистрах.

19 сентября   clamav   postfix   архив   база   вирус   вложение   правило   проверка   сервер   файл