这篇文章和qmail的杀毒插件,qmail-scanner的原理是一样的,给大家做个参考。
想从系统级对邮件进行处理,就可以采取这种思路。
转自:http://buy.sky.net.cn/minisite/sc_scricam.htm
掐断Sircam的传播途径
http://sky.net.cn 天网安全在线
——如何在邮件服务器过滤Sircam
一种名为Sircam的病毒正悄悄在肆虐、感染电脑,并传送出可能具有高敏感度的档案。该报道,美国联邦调查局(FBI)全国基础设施保护中心的一台电脑上月底感染此种病毒,并以电子邮件方式传送出FBI部分的私人文件。
多数防毒软件商都把Sircam列为高度危险病毒。据防毒软件公司Central Command称,此病毒7月份名列前茅,当月电脑病毒感染案例中有超过38%由它引起。公众对Sircam的注意不多,与“代号红色”不同,但Sircam病毒的危害却可能更为严重。Sircam病毒主要的危害在于重要信息甚至机密文件的泄漏,且它所传播的邮件地址和主题具有极大的随机性,使用户很难判断所收邮件是否带有病毒。此外,Sircam能够删除C盘所有文件及其目录;同时,每次机器启动时,病毒还将自动在硬盘中写入垃圾文件,直至吞噬硬盘所有可用空间。Sircam病毒比专家预期的更难以对付且存活时间更长,部分原因是该病毒在传播过程中会不断改变。
现在,各个防病毒软件公司已经推出的各种防护和杀除Sircam的病毒升级包,而且,网络上也列出了手工查杀Sircam的有效方法,可以有效地防止个人用户的机器受Sircam病毒的危害。但是由于Sircam病毒本身具有很强的隐藏性,许多个人用户在感染的Sircam病毒以后还是浑然不觉,而由于Sircam传播的广泛性,还是有相当大量的个人用户受到了Sircam病毒的危害,不断地向外部发出带有本机硬盘文件的邮件,而在整个发送过程中,用户是毫不知情的。因此,为了有效地防止Sircam病毒发作所带来的巨大危害,除了在个人用户中发布各种查杀手段和软件外,还需要掐断Sircam的传播途径,Sircam的危害和传播主要是通过电子邮件来实现的,因此,在邮件服务器上过滤Sircam病毒,便成了掐断传播途径的最有效的方法。
Sircam病毒所发出的电子邮件具有很典型的表现形式,邮件正文是如下的一段英文或西班牙文,中间内容有可能出入,但首尾两句不变。
英文:Hi! How are you?
I send you this file in order to have your advice (中间一句有可能不是这样的)
See you later. Thanks
西班牙文: Hola como estas ?
(中间内容有可能是多种情况,首尾不变)
最后一行: Nos vemos pronto, gracias.
Sircam发出的电子邮件具有如此明显的表现特征,客观上也为邮件服务器进行有效的过滤提供了解决思路。只要我们在邮件服务器上把含有这些内容特征的邮件过滤掉,Sircam病毒就会失去传播的媒体介质。
如何在邮件服务器上过滤掉这些含有内容特征的邮件呢?
下面,我们以运行在Linux下的Qmail邮件服务器为例,来具体说明如何在邮件服务器上对Sircam所发出的电子邮件进行过滤。
一、要把邮件过滤程序qmfilt的各个文件取回来,具体地址如下:
http://cvs.sourceforge.net/cgi-bin/viewcvs.cgi/qmfilt/qmfilt/qmfilt.py(这是邮件过滤主程序)
http://cvs.sourceforge.net/cgi-bin/viewcvs.cgi/qmfilt/qmfilt/qmfilt?rev=1.3&content-type=text/vnd.viewcvs-markup(这是邮件过滤程序的配置文件)
二、在安装qmfilt之前,需要先对Qmail的Qmail-queue打个补丁,具体的补丁源程序在地址http://www.qmail.org/qmailqueue-patch下载
三、补丁打好后,就可以开始安装Qmfilt,先把主程序qmfilt.py拷贝到系统的/var/qmail/bin里,同时把配置文件qmfilt拷贝到/var/qmail/control里,建立一个文件/var/log/qmfilt,来记录邮件过滤的日志,把这个文件改成是属于qmaild的,让qmaild可以有写入数据的权限。一切准备好以后,可以以测试模式运行一下Qmfilt,“./qmfilt.qy –test”,如果一切正常,就可以开始做配置文件的设置。
四、接下来我们需要设置邮件服务器的过滤程序,我们通过修改/etc/tcp.stmp使邮件服务器启动mfilt.py来对邮件进行检查及过滤,具体步骤如下:
修改/etc/tcp.stmp成一下的样子:
127.:allow,RELAYCLIENT="",QMAILQUEUE="bin/qmfilt.py"
:allow,QMAILQUEUE="bin/qmfilt.py"
然后重新生成cdb库:
/usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp
这样,当有邮件到达邮件服务器的时候,邮件服务器就会启动qmfilt.py来对邮件进行检查及过滤。
五、这里我们开始要设置qmfilt过滤程序,需要把要过滤的字符串加入到qmfilt的过滤配置文件中。根据Sircam病毒的特点,我们必须配置好配置文件qmfilt,根据Sircam邮件的表现形式,可以把qmfilt配置成以下形式:
SirCam %%^Hi!How are you%%
SirCam2 %%^I send you this file in order%%
六、重新启动邮件服务器使刚才我们所进行的过滤设置生效,重启后查看Qmail的服务进程,如果可以看到以下信息,就表明Qmfilt过滤程度已经正常运作了:
`-tcpserver-+-4*[qmail-smtpd]
-3*[qmail-smtpd---qmfilt.py]
七、你可以通过查看log文件/var/log/qmfilt,可以看到,满足条件的Sircam邮件都已经被邮件服务器过滤掉了:
Thu Aug 9 00:28:53 2001 - Matched [SirCam2 ]
Thu Aug 9 00:28:53 2001 - storeInTrap Skiped.
Thu Aug 9 00:28:59 2001 - Matched [SirCam2 ]
Thu Aug 9 00:28:59 2001 - storeInTrap Skiped.
Thu Aug 9 00:29:02 2001 - Matched [SirCam2 ]
Thu Aug 9 00:29:02 2001 - storeInTrap Skiped.
Thu Aug 9 00:29:07 2001 - Matched [SirCam2 ]
Thu Aug 9 00:29:07 2001 - storeInTrap Skiped.
Thu Aug 9 00:29:42 2001 - Matched [SirCam2 ]
Thu Aug 9 00:29:42 2001 - storeInTrap Skiped.
在其他的邮件服务器,也可以采用相类似的办法,对Sircam邮件进行过滤,只要能有效的把Sircam邮件的传播途径消灭掉,再结合对个人电脑进行有效的查杀,很容易就能把Sircam带来的危害减到最低程度,并可以逐渐消灭掉Sircam病毒。
不光对于Sircam邮件病毒,对所有和Sircam邮件病毒相似的,通过邮件传递并且邮件正文带有明显字符特征的其它邮件病毒,都可以采取类似方法加以阻止。