Le Dimanche 21 Septembre 2003 01:51, Jacques L'helgoualc'h a �crit : > R�gis Grison a �crit, dimanche 21 septembre 2003, � 00:35 : > > D'apr�s le site : > > http://www.f-secure.com/v-descs/swen.shtml > > > > la ligne suivante dans header_checks devrait stopper le virus (je l'ai > > mis en place mais je n'ai pas le recul pour savoir si c'est efficace) : > > > > /^From: > > (MS|Microsoft|Corporation|Program|internet|Network|Security|Division|\ > > Section|Departement|Center|Technical|Public|Customer|Bulletin|Services|\ > > Assistance|Support|)*<.*@(news|bulletin|confidence|advisor|updates|techne > >t|\ support|newsletters).(ms|msn|msdn|microsoft)\.(com|net)>$/ REJECT > > Il manque les doubles quotes autour de la premi�re partie, et l'espace > entre les mots : > > /^From: "(<---alternative1--->| )*" \ > <[a-z_-]*@((<--alternative2 ??? -->)[_.])*(net|com)> *$/ ? > > La droite du @ semble �tre [a-z]+([_.][a-z])?, mais le domaine de > l'adresse est plus vari� que �a :-/ > > Toujours \.(com|net), on dirait ... => c'est li� � Verisign ? Il y a un > peu de < ?>, @aol\.com, @america\.(com|net), etc. > > Dans le sous-domaine, on trouve _ au lieu de \. : newsletters_ms.com, et > il peut n'y avoir que deux mots : news.com, bulletin.net, etc. > > Ah, zut, il y a aussi un peu de sous-domaines al�atoires : @qpsbynu.com> > ... encore du Verisign (je n'ai pas fait le whois ;) ? > > Il y a aussi ^(FROM|TO|SUBJECT): qui en attrape beaucoup.
Dans le corps de message, il y a "Thank you for using Micro$oft products" qui en attrape un peu moins de la moiti� et "iframe $rc" qui attrape l'autre moiti� (remplacez $ par s). Ca me semble beaucoup plus efficace que des tests sur les headers g�n�r�s "al�atoirement" par le virus. -- ultimateclem Debian user

