邮件病毒过滤

安恒公司用的邮件服务器是在自己的linux服务器上面安装的qmail和vpopmail。从去年以来一直使用一套python编写的qmfilt过滤程序,今天对它的过滤规则修改了一下，qmfilt的过滤规则是用正则表达式来书写的，可以完成一般的病毒的过滤。

这条规则可以过滤掉所有带.scr,.pif,.bat扩展名附件的邮件

^Content-Type: application/octet-stream;\s+name=".*?\.(scr|p if|bat)

这条规则可以过滤掉所有的冲击波病毒，因为它们用接收者的域名做hello

^Received: from unknown .HELO (anheng\.com\.cn|watertest\. com\.cn|anheng\.com)

病毒附件都是exe格式或者zip格式的。在邮件中进行base64编码

对于exe格式，直接选取一段编码后的信息做特征就行了，

ZIP的比较复杂，不太容易对付，因为它压缩后的文件是变化的，压缩之前的文件名

会变化，时间会变化，这样压缩后的文件很难找到一个固定的特征码。

今天对病毒的zip附件格式研究了一下，找到一点规律

zip文件会对压缩的内容进行crc32校验，这个校验码就在zip文件的偏移0e-12处。

我就提取了这个zip的校验码作为特征，完成了对病毒的判别。

首先判断是文件开始是PK,然后中间是任意12个字符，再取4个字符，完整的base64编码后的正则表达式是

^UEsD...............(fsOn8|FWhee)

这个是现在流行的I-Worm-lovGate-w病毒的特征码

^UEsD...............jiB3e //netspy-q

2004.06.18 今天学习了一下python语言，对qmfilt做了如下改进:

过滤规则设置增加了2个字段：MinMail，MaxMail 就是限定过滤规则适用的邮件大小，可以大大减轻服务器的负载，

因为改进前的qmfilt是对邮件执行所有的过滤规则，正则表达式执行起来本来就慢吗。而且python是脚本语言

现在可以只针对特定的邮件大小执行特定的规则。大大减少了过滤操作

python语言居然是用缩进来划分程序段的结构的。有创意。

2004.07.20 增加几个病毒特征码

2004.07.21 增加bagle.z 的zip带密码版本病毒特征码,新情况:病毒用密码压缩跳过病毒监测。

2004.07.24 bagle.n.zip

2004.07.25 新的bagle.z病毒

2004.07.27 lovGateAh

2004.07.28 Bagle-ai

附最新的qmfilt过滤脚本(2004-07-28):

#^名称::动作::关键词::体积下限::体积上限::

Bagle-aiZIP::drop::^UEsD...............jsUfr::43000::47000::

lovgateAHzip::drop::^UEsD...............ilfOs::206000::216000::

Bagle-nZIP::drop::^UEsD...............u02uH::31000::35000::

NetspyqZip::drop::^UEsD...............jiB3e::39000::43000::

NetspyqExe::drop::AAAAAAAAYAAAAA4fug4AtAnNIbgBTM0hV2luZG93cyBQcm9ncmFtDQokUEUAAEwBAwAAAAAA::39000::43000::

dumaruaExe::drop::kJBUaGlzIHByb2dyYW0gbXVzdCBiZSBydW4gdW5kZXIgV2luMzIN::23000::26000::

NetspybZip::drop::^UEsD...............dbrAi::30000::35000::

NetspycZip::drop::^UEsD...............udsW6::32000::36000::

NetspyaZip::drop::^UEsD...............NS0.3::29000::35000::

LovgatwZip::drop::^UEsD...............(fsOn8|FWhee|KQUf7|CLmRX|dYwmI)::168000::180000::

LovgatwADZip::drop::^UEsD...............dYwmI::190000::205000::

LovgatwADExe::drop::AAAA4AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v::195000::205000::

NetspybExe::drop::AAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4g::28000::33000::

NetspycZip::drop::^UEsD...............iZMYW::32000::37000::

NetspyrZip::drop::^UEsD................cADh::39000::43000::

NetspycExe::drop::^AAAAAAAAuAAAAGsiX1YvQzEFL0MxBS9DMQWsXz8FI0MxBcdcOwU0QzEFL0MwBXBDMQWsS2wF::33000::37000::

LovgatwExe::drop::SIQaDu7u7hsabHdNhB3DY7u7u8Hd1g7u8Hd3cIBB3cIBV7U7Yz1hPVOVOVOVP6nanbW::160000::180000::

LovgatWExe::drop::AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v::160000::180000::

Bagle-zExe::drop::6hAAAAAAAAAZAENsb3NlSGFuZGxlADIAQ3JlYXRlRmlsZUEAZAFHZXRXaW5kb3dzRGlyZWN0::33000::35000::

CloseMouseExe::drop::AAAA2AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v::38000::42000::

Bagle-zVBS::drop::ZGltIGZpbGVzeXMsIGZpbGV0eHQsIGdldG5hbWUsIHBhdGgsIHRleHRmaWxlLCBpDQp0ZXh0::99000:105000::

Bagle-zExe::drop::AAAAAAAkAAAAKkm3RPtR7NA7UezQO1Hs0DtR7NA7kezQGNYoEBtR7NAEWehQOxHs0AqQbVA::34000::38000::

Bagle-zZIP::drop::^UEsD...............(gfxM6|JBhhq)::30000::36000::

Bagle-zZIP::drop::^UEsD...............C8sAw::43000::46000::

Bagle-zHta::drop::UExJQ0FUSU9OIElEPSJRIiBBUFBMSUNBVElPTk5BTUU9IlEiIEJPUkRFUj0ibm9uZSIgQk9S::95000::105000::

new1::drop::^NEBQAjHN5ikmFxgFWALrKuu9URtowfUiNOTfIZuAgalVe0ITyxMiDqwkXln4gXX7SYP5NGlapNVh::17000::20000::

hello::drop::^Received: from unknown .HELO (126\.com|anheng\.com\.cn|watertest\.com\.cn|di-an\.com\.cn|anheng\.com|wczyxy\.com)::5000::500000::

scr_pif_bat::drop::^Content-Type: (application/octet-stream|audio/x-wav|audio/x-midi);\s+name=".*?\.(scr|pif|bat|sh.|com|cpl)"::::300000::