sslug-teknik team mailing list archive

Thread
Date

Re: VIRUS?

To: sslug-teknik@xxxxxxxx
From: Mogens Kjaer <mk@xxxxxx>
Date: Tue, 28 May 2002 08:07:25 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Carlsberg Laboratory
User-agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.9) Gecko/20020513

Henrik Størner wrote:

Det gør der med sikkerhed ikke, da Klez spredes som attachment i
en mail, og SSLUG's mailserver fjerner alle attachments fra mails,
der bliver sendt til listerne.


En ting, jeg har oplevet med mit amavis-forløber-script er,
at det netop ikke genkender klez viruset som attachment,
da der er brugt nogle forkerte mime headers, netop for
at lokke outlook til at åbne attachmenten før man har
klikket på det.

Det betød, at scriptet (som kalder metamail til udpakningen)
slet ikke pakkede attachmentet ud,
og det blev derfor ikke virusscannet.

Jeg måtte lave et specielt filter, som trickede på
en af base64 linierne i viruset i stedet for.

Så hvis attachmentfjerneren på sslugs postliste overholder
specifikationerne kunne man rent faktisk godt
opleve at viruset røg direkte igennem.

Mogens

--
Mogens Kjaer, Carlsberg Laboratory, Dept. of Chemistry
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@xxxxxx Homepage: http://www.crc.dk

References

VIRUS?
From: Johnny Jensen, 2002-05-27
Re: VIRUS?
From: Henrik St�, 2002-05-27