[GTER] Postfix body_checks / Virus W32-Mydoom
Marcus Grando
marcus at sbh.eng.br
Thu Jan 29 20:30:36 -02 2004
Ola Pessoal,
Essa semana está circulando pela internet esse vírus, e com ele umas
regras para bloqueio do mesmo no postfix. Quem ainda não percebeu, elas
geram falsos positivos. Quem estiver utilizando elas pode estar barrando
emails válidos.
Abaixo está um pequeno teste para provar.
dd if=linux-2.6.1.tar.bz2 of=lixo.txt count=40
zip lixo.zip lixo.txt
Mande o lixo.zip para você mesmo como anexo, e olhem o que chega:
--------------040201040700090905070205
Content-Type: application/zip;
name="lixo.zip"
Content-Transfer-Encoding: base64
Content-Disposition: inline;
filename="lixo.zip"
UEsDBAoAAAAAANuiPTAYZQdyAFAAAABQAAAIABUAbGl4by50eHRVVAkAA76HGUC+hxlAVXgE
AAAAAABCWmg5MUFZJlNZornb6gTWZH/////373///////////////4DSBRRkcMAUBJoBYD6I
Abaixo está a regra que diz que bloqueava o vírus...
/^(UEsDBAoAAAAAA|ApIAUCZKAEAD\/bJpmiwQBPQl6AEAS85pmm7ZH8gqwAO4sKimaZqmoJiQiICapmmaeHBoYFhQzWCf)/
DISCARD VIRUS
Como podem perceber a primeira linha do falso .zip se encaixa na regra.
Abraços
--
Marcus Grando
marcus(at)sbh.eng.br
More information about the gter
mailing list