опять о новом вирусе
Sep. 24th, 2003 12:59 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
avvaПосчитал, сколько копий нового вируса я получил за последние сутки. Оказалось, ровно 120. А всего три дня назад было 40.
Ой-ёй-ёй.
Причём это ещё те, которые полностью приходят, с полным 140kb-ным аттачментом. Ещё десяток или два за сегодня привалило куцых, у которых аттачмент кто-то по дороге отрезал.
За день этот вирус у меня съел 18Mb траффика. Мне, в общем, наплевать, ограничений на траффик нету, но всё же это ни в какие ворота не лезет.
Кстати, я подобрал для него специально фильтры, если кому надо:
Это инструкции для maildrop, но, думаю, понятно, что и как. :b означает, что фильтровать нужно тела писем. Этот гадостный вирус слишком много вариантов имеет для сабжекта и других полей заголовков, поэтому подбирать фильтры на основе одних заголовков я не стал. В теле письме он тоже много чего меняет, но эти три паттерна вместе ловят, кажется, все варианты. Конечно, некоторое количество false positives может попасться.
Ой-ёй-ёй.
Причём это ещё те, которые полностью приходят, с полным 140kb-ным аттачментом. Ещё десяток или два за сегодня привалило куцых, у которых аттачмент кто-то по дороге отрезал.
За день этот вирус у меня съел 18Mb траффика. Мне, в общем, наплевать, ограничений на траффик нету, но всё же это ни в какие ворота не лезет.
Кстати, я подобрал для него специально фильтры, если кому надо:
if (/^<iframe src=/:b)
to Mail/spam
if (/^How to install: Run attached file\./:b)
to Mail/spam
if (/September 2003, Cumulative Patch/:b)
to Mail/spam
Это инструкции для maildrop, но, думаю, понятно, что и как. :b означает, что фильтровать нужно тела писем. Этот гадостный вирус слишком много вариантов имеет для сабжекта и других полей заголовков, поэтому подбирать фильтры на основе одних заголовков я не стал. В теле письме он тоже много чего меняет, но эти три паттерна вместе ловят, кажется, все варианты. Конечно, некоторое количество false positives может попасться.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
мне
Date: 2003-09-23 03:42 pm (UTC)На самом деле фильтры приведенные выше поймают только
часть. Есть решение которое ловит более четко, но оно довольно тяжелое по CPU:
вот тут (http://www.livejournal.com/users/vzaliva/46584.html?mode=view)
Re: мне
Date: 2003-09-23 03:44 pm (UTC)Ого! Ого-ого! У меня ещё не так уж плохи дела, значит ;)
У меня - по 400-500 в день - пополам сами письма, пополам - warn
Date: 2003-09-24 02:13 am (UTC)