[fug_sp_br] Como acabar com o Branca de Neve Porno

Qua Maio 9 08:49:24 BRT 2001

> Ai galera
> Alguem aqui da lista anda recebendo algum email com o titulo de
>
> Branca de Neve Porno
>
> que contem um arquivo anexado que na realidade e' um Worm, o W95.Hybris
> Entao aqui a gente anda recebendo esse email e sera que alguem sabe como
acabar com isso, fazer uma regra, ou coisa parecida!!!!

Se você usa Sendmail, achei isto aqui na Dicas-L

[ ]´s

Ronan Lucio
Melim Internet Provider

======================================

Bloqueando o W95.Hybris no sendmail
---------------------------------------------------------------------
Colaboração: Eduardo Marcel Macan <macan em colband.com.br>

Como parece que as pessoas não percebem que o e-mail
que chega com o subject "Branca de Neve Pornô" também conhecido como
"Snow white and the seven dwarfes" ou "Enanito si, pero con que pedazo!"
(tinha uma versão em francês, mas eu não lembro) é um e-mail que carrega
um worm anexado.

Não importando a variação linguística desta manifestação do
W95.Hybris ele sempre vem com o campo From: do e-mail da seguinte forma:

From: Hahaha <hahaha em sexyfun.net>

Podemos criar um Ruleset local no sendmail pra bloquear e devolver
um erro caso a mensagem recebida possua tal header.

Para isso editemos nosso sendmail.mc e adicionemos o seguinte
conjunto de regras logo antes do MAILER_DEFINITION:

----------------------------------------------------------------------------
------adicionar ao sendmail.mc-------------------------
LOCAL_RULESETS
HFrom: $> CheckFrom
SCheckFrom
RHahaha$+               $#error $: 550 This message may contain the Hybris
worm
----------------------------------------------------------------------------
---------------sendmail.mc-----------------------------

Isso cria uma regra para checar o conteúdo do campo From:
outras checagens do campo from podem ser adicionadas facilmente,
adicionando-se
regras (linhas R) ao ruleset acima, ou mesmo de outros headers, como
Subject por exemplo criando seu próprio ruleset segundo o modelo.

Após esta adição ao sendmail.mc basta gerar o sendmail.cf novamente e
instruir o sendmail a reler sua configuração com kill -HUP <sendmail_pid>

Agora toda mensagem que contiver em seu campo From:  uma string começando
por
Hahaha será bloqueada e o erro 550 com a mensagem "This message may contain
the Hybris worm" será devolvido ao remetente do vírus.

Por ser uma regra embutida no servidor SMTP tanto mensagens saindo de
seu domínio, como mensagens chegando a ele são verificadas, sem praticamente
nenhum impacto perceptível em performance.

Como sempre, a melhor fonte de referência para informação adicional que eu
poderia citar é o incontestável "Livro do Morcego" da O'Reilly & Associates

Para sair da lista envie um e-mail para:
fug_sp_br-unsubscribe em yahoogroups.com

Seu uso do Yahoo! Grupos é sujeito às regras descritas em: http://docs.yahoo.com/info/terms/ 