Сбейте ассоциации JS/BAT/VBS и т.д. файлов, кста. Может понадежнее будет.
Как настроить антивирус на удаление всех почтовых архивов со скриптами
#22
Отправлено 31 Октябрь 2014 - 14:29
Низзя, скрипты автоматизации никто не отменял, а для scr так и сделано.
But a thing of beauty, I know, will never fade away...
#23
Отправлено 31 Октябрь 2014 - 14:30
Пока заблокировал запуск программ из темпов и сделал юзерам спец папки для открывания почтовых архивов, тоже с блокировкой исполняемых файлов.
#24
Отправлено 31 Октябрь 2014 - 14:42
спец папки для открывания почтовых архивовНе панацея, к сожалению.
But a thing of beauty, I know, will never fade away...
#25
Отправлено 31 Октябрь 2014 - 14:48
Не панацея, жду когда очередная дурилка позабудет в очередной раз все инструкции.
#26
Отправлено 31 Октябрь 2014 - 14:52
Не панацея, жду когда очередная дурилка позабудет в очередной раз все инструкции.
Может транзитный сервер поднимите на дебиане, а там и мои инструкции подойдут?
But a thing of beauty, I know, will never fade away...
#27
Отправлено 31 Октябрь 2014 - 15:06
Если бы я мог, я бы здесь глупые вопросы не задавал. Не на чем мне его поднять и не умею я.
#28
Отправлено 31 Октябрь 2014 - 15:58
Вопросы вовсе не глупые, сам с аналогичным борюсь. Старые компы в конторе с двумя сетевухами найдутся? Или сервер с запущенной средой виртуализации типа Xen/VMWare/Hyper-V?
But a thing of beauty, I know, will never fade away...
#29
Отправлено 06 Ноябрь 2014 - 16:41
v.martyanov, я учёл Ваши совершенно справедливые замечания относительно зашифрованных архивов (теперь их тоже блокирую) и, так как сегодня прислали свежий (0/53 по VirusTotal-у, послал в вирус лаб, пока ждёмс) вредоносный файл, выкладываю свежий скрипт для проверки и соответствующие настройки для почтового сервиса Exim. Может кому пригодится.
exim4.conf :
acl_check_mime: # deny message = Potentially executable content (in .zip). - blocked! warn message = X-SS-Suspicious-Flag: YES condition = ${if match{$mime_filename}{\N(?i)\.zip$\N}} decode = default condition = ${if match{${run{/usr/local/bin/checkx \ $mime_decoded_filename zip}}}\ {\N(?i)stop\n\N}} # deny message = Potentially executable content (in .7z). - blocked! warn message = X-SS-Suspicious-Flag: YES condition = ${if match{$mime_filename}{\N(?i)\.7z$\N}} decode = default condition = ${if match{${run{/usr/local/bin/checkx \ $mime_decoded_filename 7z}}}\ {\N(?i)stop\n\N}} # deny message = Potentially executable content (in .rar). - blocked! warn message = X-SS-Suspicious-Flag: YES condition = ${if match{$mime_filename}{\N(?i)\.rar$\N}} decode = default condition = ${if match{${run{/usr/local/bin/checkx \ $mime_decoded_filename rar}}}\ {\N(?i)stop\n\N}} # deny message = Potentially executable content (in .docx). - blocked! warn message = X-SS-Suspicious-Flag: YES condition = ${if match{$mime_filename}{\N(?i)\.docx$\N}} decode = default condition = ${if match{${run{/usr/local/bin/checkx \ $mime_decoded_filename docx}}}\ {\N(?i)stop\n\N}} # deny message = Potentially executable content (in .doc). - blocked! warn message = X-SS-Suspicious-Flag: YES condition = ${if match{$mime_filename}{\N(?i)\.doc$\N}} decode = default condition = ${if match{${run{/usr/local/bin/checkx \ $mime_decoded_filename doc}}}\ {\N(?i)stop\n\N}} warn message = X-SS-Suspicious-Flag: YES mime_regex = [Bb][Ii][Tt]\.[Ll][Yy]\\/ warn message = X-SS-Suspicious-Flag: YES mime_regex = [Gg][Oo][Oo]\.[Gg][Ll]\\/ accept
exim.filter :
if $h_X-SS-Suspicious-Flag: contains "YES" then deliver suspicious@localhost endif
Прикрепленные файлы:
But a thing of beauty, I know, will never fade away...
#30
Отправлено 26 Ноябрь 2014 - 16:11
Мда, а вопрос по-прежнему актуален - сегодня пришла новая "квитанция об оплате" - 1/56 (Qihoo) на вирустотале. Самописный фильтр отсеял, тикет я оформил.
But a thing of beauty, I know, will never fade away...
#31
Отправлено 26 Ноябрь 2014 - 16:19
Мда, а вопрос по-прежнему актуален - сегодня пришла новая "квитанция об оплате" - 1/56 (Qihoo) на вирустотале. Самописный фильтр отсеял, тикет я оформил.
Можно тушку в личку?
#32
Отправлено 26 Ноябрь 2014 - 16:19
Мда, а вопрос по-прежнему актуален - сегодня пришла новая "квитанция об оплате" - 1/56 (Qihoo) на вирустотале. Самописный фильтр отсеял, тикет я оформил.
Можно тушку в личку?
Ну и номер тикета тогда уж ;-)
Личный сайт по Энкодерам - http://vmartyanov.ru/
#33
Отправлено 26 Ноябрь 2014 - 16:25
Ну и номер тикета тогда уж ;-)#5157820
But a thing of beauty, I know, will never fade away...
#34
Отправлено 26 Ноябрь 2014 - 16:27
Ну и номер тикета тогда уж ;-)#5157820
Не энкодер на 99%, детект уже есть.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#35
Отправлено 26 Ноябрь 2014 - 16:30
И то хорошо, метода распространения та же. А апдейт с детектом до меня пока не дошёл видать.
Сообщение было изменено usverg: 26 Ноябрь 2014 - 16:31
But a thing of beauty, I know, will never fade away...
#36
Отправлено 13 Ноябрь 2015 - 14:30
Низзя, скрипты автоматизации никто не отменял, а для scr так и сделано.
.JS в основном лезет.
не думаю что Вы именно это используете в целях автоматизации.
Я просто как еще один фронт, поменял реестр чтобы JS открывался в блокноте.
#37
Отправлено 07 Декабрь 2015 - 18:32
.JS в основном лезет.
не думаю что Вы именно это используете в целях автоматизации.
Я просто как еще один фронт, поменял реестр чтобы JS открывался в блокноте.
Я - нет, но вот есть некоторые несознательные товарищи, привязанные по долгу службы к некоторым буржуйским платформам.... там не только js, там и vbs... ассоциации сбивать нельзя. Фильтры на транзите регулярно срабатывают (теперь отдельное развлечение: файл с расширением gz/bz2, а по факту rar, ну а далее как обычно), отдельно пришлось на корпоративном прокси заблокировать яндекс диск (хотя суппорт там довольно оперативно работает) и маил.ру файлы.
P.S. До сих пор периодически приходят PE в виде OLE внутри доков.
But a thing of beauty, I know, will never fade away...
#38
Отправлено 07 Декабрь 2015 - 18:43
#39
Отправлено 07 Декабрь 2015 - 19:08
Так ить "коллеги" оставляют адреса где попало... а потом сыпется, типичная текстовка вроде: "Приветствую. Проводим сверочку - см ниже во влож.." или "Приветствую! У руководства нашей фирмы имеется ряд претензий к работе вашего подразделения. В интересах вашего руководства разобраться с этим до наступления новогодних праздников. Все подробности в файле, прикрепленном к данному письму! "
But a thing of beauty, I know, will never fade away...
#40
Отправлено 07 Декабрь 2015 - 19:20
В приложении акт переплаты полная оплата E-NUM прайс Документы и Акт сверки Неоплаченный счет ПРЕТЕНЗИЯ Счета на подписьА сейчас поутихли совсем.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых