웹마스터 팁
procmail로 마이둠 웜(MyDoom Worm) 필터링
2004.02.04 12:46
http://coffeenix.net/board_print.php?bd_code=177제 목 : procmail을 이용해서 마이둠 웜(MyDoom Worm) 필터링
작성자 : 좋은진호(truefeel)
작성일 : 2004.01.31
마이둠 웜(MyDoom Worm)이 기승을 부리고 있습니다. MyDoom.A, MyDoom.B에 이은 또다른
변종까지 현재 4종류의 MyDoom 웜이 발견되었습니다.
1. 필터링
procmail을 통해 간단히 막는 방법을 알아봅시다.
/etc/procmailrc 에 다음을 추가해서 별도 파일로 저장하거나 삭제할 수 있습니다. (빈줄 포함 9줄)
------------------------------------------------------------------------
WARM_LOG = "/var/log/warm.log"
:0HB
* > 25000
* < 45000
* ^Subject: ($|error|status|server report|mail (transaction failed|delivery subsystem)|hello|hi|test)
* charset=.?Windows-1252.?
* (file)?name=.*.(bat|cmd|com|exe|pif|scr|zip)
$WARM_LOG
------------------------------------------------------------------------
메일 내용은 $WARM_LOG 로 모두 저장. 필요없으면 /dev/null 로 하세요.
- 메일 크기는 25K~45K까지
- 제목이 없는 것부터 대소문자 구별없이 Hi, Hello, Test, ... 등 까지
- 본문중에 charset="Windows-1252" 을 포함하고
- 첨부파일이 .bat, .cmd, .com, .exe, .pif, .scr, .zip인 것을
마이둠 웜으로 판단하여 필터링합니다.
2. 참고글
* Procmail로 Wrom/MyDoom.A 필터링
http://groups.google.co.kr/groups?selm=bv6920%24gdh%241%40FreeBSD.csie.NCTU.edu.tw&oe=UTF-8&output=gplain
* [C급] Worm_MIMAIL.R(Worm_Mydoom.A) 예보
http://www.certcc.or.kr/cvirc/Alert/warning/2004/Worm_mimail_r.html
* Win32/MyDoom.worm.22528 (MyDoom.A)
http://info.ahnlab.com/smart2u/virus_detail_1298.html
* Win32/MyDoom.worm.29184 (MyDoom.B, 변종)
http://info.ahnlab.com/smart2u/virus_detail_1299.html
* Win32/MyDoom.worm.32768 (변종)
http://info.ahnlab.com/smart2u/virus_detail_1302.html
* Win32/MyDoom.worm.40448 (변종)
http://info.ahnlab.com/smart2u/virus_detail_1303.html
작성자 : 좋은진호(truefeel)
작성일 : 2004.01.31
마이둠 웜(MyDoom Worm)이 기승을 부리고 있습니다. MyDoom.A, MyDoom.B에 이은 또다른
변종까지 현재 4종류의 MyDoom 웜이 발견되었습니다.
1. 필터링
procmail을 통해 간단히 막는 방법을 알아봅시다.
/etc/procmailrc 에 다음을 추가해서 별도 파일로 저장하거나 삭제할 수 있습니다. (빈줄 포함 9줄)
------------------------------------------------------------------------
WARM_LOG = "/var/log/warm.log"
:0HB
* > 25000
* < 45000
* ^Subject: ($|error|status|server report|mail (transaction failed|delivery subsystem)|hello|hi|test)
* charset=.?Windows-1252.?
* (file)?name=.*.(bat|cmd|com|exe|pif|scr|zip)
$WARM_LOG
------------------------------------------------------------------------
메일 내용은 $WARM_LOG 로 모두 저장. 필요없으면 /dev/null 로 하세요.
- 메일 크기는 25K~45K까지
- 제목이 없는 것부터 대소문자 구별없이 Hi, Hello, Test, ... 등 까지
- 본문중에 charset="Windows-1252" 을 포함하고
- 첨부파일이 .bat, .cmd, .com, .exe, .pif, .scr, .zip인 것을
마이둠 웜으로 판단하여 필터링합니다.
2. 참고글
* Procmail로 Wrom/MyDoom.A 필터링
http://groups.google.co.kr/groups?selm=bv6920%24gdh%241%40FreeBSD.csie.NCTU.edu.tw&oe=UTF-8&output=gplain
* [C급] Worm_MIMAIL.R(Worm_Mydoom.A) 예보
http://www.certcc.or.kr/cvirc/Alert/warning/2004/Worm_mimail_r.html
* Win32/MyDoom.worm.22528 (MyDoom.A)
http://info.ahnlab.com/smart2u/virus_detail_1298.html
* Win32/MyDoom.worm.29184 (MyDoom.B, 변종)
http://info.ahnlab.com/smart2u/virus_detail_1299.html
* Win32/MyDoom.worm.32768 (변종)
http://info.ahnlab.com/smart2u/virus_detail_1302.html
* Win32/MyDoom.worm.40448 (변종)
http://info.ahnlab.com/smart2u/virus_detail_1303.html
