[MASOCH-L] Malware Comprimido
Leandro Carlos Rodrigues
leandro at allchemistry.com.br
Thu Aug 6 08:13:55 -03 2015
Pessoal,
Notei recentemente que algumas mensagens estão chegando com arquivo
comprimido contando malware, na qual a extensão no nome do arquivo é ZIP
mas o arquivo na verdade é RAR.
Isso pode confundir alguns scripts que checam se existe arquivos
executáveis dentro de anexos comprimidos. Foi isso que aconteceu no
nosso caso.
Se mais alguém estiver com o mesmo problema, segue o script com a
solução para o mesmo:
#!/bin/bash
if [ $(file $1 | egrep -i -c "Zip archive data") -eq "1" ]; then
unzip -lL "$1" | egrep -i -c
"^.+\.(com|vbs|vbe|bat|pif|scr|prf|lnk|exe|shs|cpl)$"
elif [ $(file $1 | egrep -i -c "RAR archive data") -eq "1" ]; then
unrar l "$1" | egrep -i -c
"^.+\.(com|vbs|vbe|bat|pif|scr|prf|lnk|exe|shs|cpl)\b"
else
echo "0"
fi
Saída "1" para verdadeiro e "0" para falso.
Este script não olha para a extensão do arquivo e sim para o MIME dele
para poder descomprimir com o comando correto.
--
Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7100
More information about the masoch-l
mailing list