Re: Postfix / SA ----Spam-Welle / Rechnungen/ Virus-Mails

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
2 messages Options
Reply | Threaded
Open this post in threaded view
|

Re: Postfix / SA ----Spam-Welle / Rechnungen/ Virus-Mails

Ralf Hildebrandt
* Postmaster <[hidden email]>:

> Hallo liebe Liste,
>
> Wir haben in Duisburg/Essen seit ca. 2 Wochen massiv Probleme mit gefakten
> Rechnungs-Mails von scheinbar validen oder
>
> auch eigenen User-Adressen, hinter denen sich immer eine andere "Return to"
> Adresse verbirgt.
>
> Diese scheinbar "guten" Mails beinhalten dann einen Download-Link zu einer
> Virus Datei.
>
>
> Wir setzen Postfix / Amavis ein und haben schon mit Custom-Rule Set´s
> versucht den Mist einzufangen...

Aktuell blocke ich das auf dem Proxy (!) mit einer YARA Regel:
https://github.com/Yara-Rules/rules/blob/master/Malicious_Documents/Maldoc_VBA_macro_code.yar

Ergebnis:

You tried to upload/download a file that contains the virus:
YARA.Contains_VBA_macro_code.UNOFFICIAL
The Http location is: http://pointbdance.com/OIIDJ148-4542631626/
Reply | Threaded
Open this post in threaded view
|

Re: Postfix / SA ----Spam-Welle / Rechnungen/ Virus-Mails

Ralf Hildebrandt
* Ralf Hildebrandt <[hidden email]>:

> Aktuell blocke ich das auf dem Proxy (!) mit einer YARA Regel:
> https://github.com/Yara-Rules/rules/blob/master/Malicious_Documents/Maldoc_VBA_macro_code.yar
>
> Ergebnis:
>
> You tried to upload/download a file that contains the virus:
> YARA.Contains_VBA_macro_code.UNOFFICIAL
> The Http location is: http://pointbdance.com/OIIDJ148-4542631626/

Problem ist, daß ja nur URLs versandt werden, und es kann nicht direkt
getestet werden, was sich dahinter verbirgt.