서캠웜 바이러스 변종발견..ㅡ.ㅡ++
기존의 서캠웜 바이러스가 Content-Disposition Multipart message 라는 잘못된
헤더정보가 있어서 sendmail에서 룰셋을 적용시켜서 블로킹을 했는데..
아래의 첨부내용을 보시면 알겠지만 Content-Disposition message text 라는
헤더로 서캠웜 바이러스를 보내네요..
아래는 /var/spool/mqueue/q1/ 에서 나가는 메일의 일부분입니다.
------20FC0E22_Outlook_Express_message_boundary
Content-Type text/plain; charset=ISO-8859-1
Content-Transfer-Encoding quoted-printable
Content-Disposition message text
Hi! How are you=3F
I send you this file in order to have your advice
See you later=2E Thanks
------20FC0E22_Outlook_Express_message_boundary
Content-Type application/mixed; name=Chapter9.zip.com
Content-Transfer-Encoding base64
Content-Disposition attachment; filename=Chapter9.zip.com
TVpQAAIAAAAEAA8A//8AALgAAAAAAAAAQAAaAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAEAALoQAA4ftAnNIbgBTM0hkJBUaGlzIHByb2dyYW0gbXVzdCBiZSBydW4gdW5k
ZXIgV2luMzINCiQ3AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAVVBFAABMAQgAGV5CKgAA
내용으로 블로킹을 해야겠는데 procmail로 body부분 체크하는것 말구
sendmail.cf의 룰셋에서 본문을 체크할 수 있는 방법은 없나요?
고수분들의 도움 부탁드립니다.
Re: 임시 해결책은..
HContent-Disposition $>check_sircam2
Scheck_sircam2
Rmessage text $#error $ 550 ${Msg_virus} Sircam.worm !!! See http//www.symantec.com/avcenter/venc/data/pf/w32.sircam.worm@mm.html - ${Msg_master}
일단 이부분을 룰셋에 적용시켜서 막아논 상태인데 ㅡ,.ㅡ;;
Re: 서캠웜 바이러스 변종발견..ㅡ.ㅡ++
거참.. 이틀전에 sendmail.cf 수정했는데.. 또?
에거 귀찮아라.. ㅡㅡ;
Re: 변종 아닙니다. ^^;
변종 아닙니다. 제 홈에 질문하셨을때 저도 잠깐 착각하고 sircam
ruleset 을 만드신 김경욱님께 메일도 드려보았는데.. 역시 변종
아닙니다. sendmail 의 ruleset 은 mail header 를 체크하지 body
header 를 체크하지는 않습니다. 그리고 변종이라고 하셨던
message text 는 multipart 의 본문을 나타내는 정상적인 헤더라고
합니다.
즉 message text 라는 헤더가 있더라도 메일의 메인 헤더의
Content-Disposition 은 Multipart message 가 되게 됩니다.
즉 메인 header 에 Content-Disposition 이 나오는것 자체가
잘못된 사용이라는 것이죠. Content-Disposition 은 Multi
part 메일의 각 Part 의 헤더에 있는 것이 정상이라는 말인듯
싶습니다. (경욱님의 의견을 제가 자의 해석 한것입니다. ^^)