[ tOwk @ 20.09.2003. 14:23 ] @
Evo malog programa u Pitonu koji proverava zaglavlja poruka na serveru i može da ih obriše ukoliko koriste „SUBJECT:“ (sve velikim slovima) za imenovanje teme, ili uopšte ne sadrže temu (ovakvi su oni aktuelni virusi od ~150kb).

Prvo proverite koje poruke će obrisati:
Code:
./ocisti-spam localhost korisnik loza

Pa ako vam to odgovara:
Code:
BRISI_VIRUSE=1 ./ocisti-spam localhost korisnik loza


Ovo je sigurno veoma lako preneti i na Windows, jedino vam je potreban Piton.
[ Gojko Vujovic @ 21.09.2003. 15:43 ] @
Koliko je sigurno brisati sve sa velikim "SUBJECT:" u headeru? Da li si siguran da neki običan mail softver ne stavlja sve to velikim slovima, ili neki MTA to možda promeni? Odakle uopšte velika slova po pravilu kod ovih novih 150k virusa?
[ tOwk @ 21.09.2003. 17:41 ] @
Pa nemam dovoljno dobar uzorak da bih rekao sa sigurnošću.

Od oko 300–400 poruka koje sam primio od kada mi se pokreće ovaj program pre fetchmail-a, dobio sam 30–40 poruka sa velikim SUBJECT poljem, i svaka je predstavljala virus.

U drugom testu, u bekapu koji mi pravi fetchmail a koji je velicine oko 16MB (sigurno nekoliko hiljada poruka), ima ukupno 10-tak poruka sa velikim SUBJECT poljem, i sve predstavljaju neke "MS Internet Update".

Na osnovu ovoga, rekao bih da je to prilično pouzdano (znači nijedan od popularnih mail klijenata ne šalje takvo zaglavlje).

Citat:
Odakle uopšte velika slova po pravilu kod ovih novih 150k virusa?

Nazirem jednostavan odgovor: svi potiču iz istog izvora :-)

To mi jedino izgleda logično, ali možda i grešim.
[ B o j a n @ 21.09.2003. 18:34 ] @
rOwk, pogledaj "inteligentni endzin" spamassasin programa ... i kako on izvodi zakljucke da li je nesto spam ili ne, samo na osnovu tela poruke.

tacan je u proseku izmedju 95% i 99%... sto je poprilicno dobro za jedan kvazi AI.
[ tOwk @ 21.09.2003. 18:48 ] @
Vojane, meni je cilj da ne treba uopšte da skidam poštu preko dial-up-a („samo na osnovu tela poruke“), pošto to ide veoma sporo, pa pomenuti program koristi TOP, i pregleda samo zaglavlja.

Ako bih skinuo tih 5MB poruka, nije mi ni problem da ih procmail-om isfiltiram po istom kriterijumu, ili već nekom drugom. :-)
[ B o j a n @ 22.09.2003. 12:54 ] @
Pa upravo na to sam hteo da ti ukazem ... na jos nekoliko parametara koje odlikuju spam, a bez ucitavanja tela poruke ... evo npr:

Code:

SUBJ_HAS_SPACES Subject contains lots of white space
FROM_HAS_MIXED_NUMS From: contains numbers mixed in with letters
NO_REAL_NAME From: does not include a real name
FROM_ENDS_IN_NUMS From: ends in numbers
MIME_MISSING_BOUNDARY RAW: MIME section missing boundary
SUBJ_HAS_UNIQ_ID Subject contains a unique ID number
DATE_IN_PAST_03_06 Date: is 3 to 6 hours before Received: date

Sve ovo vise ili manje utice na to da se poruka tretira kao spam ... mozda ti to pomogne da poboljsas svoj program.