Taisam vīrusu filtrus e-pasta klientā The Bat!

Nu bļā, ZB! Konkrēti pie tam! Pa diennakti man pienāca 220 e-pasta vēstules (200 ar pievienotu inficēto .pif failu un 20 bez), kas bija inficētas un vēl aptuveni 50 no dažādiem e-pasta serveriem ar atbildi par to, ka it kā manis sūtītais meils būtu inficēts un netika nosūtīts adresātam. Un pie visa vainīgs kārtējais Microsoft Outlook Express vīruss. Labi, ka vēl aizvakar uzcepu filtrus, kas visus šos failus nolaiž podā.

Parēķinam cik daudz lieka trafika pa vadiem ir aizpūsts tikai 24h laikā uz vienu e-pasta adresi. Manā gadījumā tas ir 200 x 105KiB = 21 000 KiB! Kā, lai par to nelamājas? Un, ja es sēdētu uz iezvanpieejas vai mDSL taisītu pigorus?

Unfortunately, your message was not delivered.
Mailbox [[email protected]] does not have enough space!

Es te tā padomāju, kas notiek ar visiem bezmaksas e-pastiem kuriem ir ierobežojumi uz diska vietu. Tak viņiem tur jau sen vajadzēja nošauties… Btw, šitais zaķis rīt ielogosies savā kastē un sāks skaļi raudāt, ieraugot to kaudzi ar drazu.

Dienas varoņu saraksts:

195.13.211.130
81.198.22.221
195.244.159.136
80.232.220.33
195.20.126.2
rev-81-94-226-34.deac.net [81.94.226.34]
195.13.211.130
159.148.19.177
195.13.211.130
80.232.221.243
cm136.btv.lv [217.198.224.136]
159.148.1.161
a7.avelat.lv [194.19.226.140]

Te var pārbaudīt https://pods.lv/whois/ vai neesi gadienā kāds no dienas varoņiem.

Tā kā man servera pusē diemžēl nav filtru un The Bat! spama spraudņi vēl tiek pilnveidoti, tad nu jāiztiek ar iebūvētām iespējām. Gan jau, ka paši būsiet kaut ko līdzīgu izveidojuši.

Uzrakstīju nelielu pamācību par to kā izveidot filtru priekš šī konkrētā vīrusa izmantojot e-pasta klientu The Bat!, jo tas ir diezgan pateicīgs ar to, ka visos sūtījumos ir unikāls teksts un gadījumos, kad tas satur pievienoto failu, tas ir noteika lieluma.

Lai gadījumā neizdzēstu kādu sūtījumu, kas nav nedz vīruss, nedz spams, tad tiek izveidota jauna mape. Es to nosaucu “Spam” vai šajā gadījumā “Virus”.
New -> Folder...

Tālāk ejam uz Account -> Sorting Office/Filters jeb uz klavieres spiežam Shift+Ctrl+s

Atvērtajā logā paveram mapi Incoming un taisam jaunu noteikumu New

Iedodam nosaukumu “Virus attached”
Apakšā pie “Filter strings” lauciņā “Strings” iekopējam rindiņu:

see the attached file for details
un
Location: text vai anywhere
Presence: yes

Izvēlamies – “Move mesage to folder” un atrodam iepriekš izveidoto “Virus” mapi.

Zem sadaļas "Actions" liekam ķekšus pie:
Mark the message as read
Delete the message from server

Brienam uz sadaļu "Advanced" liekam ķekšus pie:
Message has attachments
Message is smaller than 105K
(105K var arī nerakstīt, pēc būtības pietiek ar to, ka ir ieķeksēts attachments)

Ar šo arī viens filtrs ir izveidots. Bet tas strādās tikai, ja vīrusam ir pievienots inficētais fails. Otrā gadījumā šis .pif fails kaut kur ir nozudis. Tādā gadījumā nodublējam šo filtra noteikumu – spiežam uz nosaukuma un “Dublicate”. Pārsaucam par “Virus no attach”.
Un vienīgā atšķirība būs sadaļā "Advanced".

Message has no attachments
Message is smaller than 1K

Filtrs nav perfekts, bet vienā dienā atbrīvoja no vismaz 220 x N (kur N ir darbību skaits, lai izdzēstu sūtījumu) nevajadzīgām kustībām 😛

Un vēl, pavisam piemirsu vienu svarīgu lietu. Lai filtrs darbotos un atsijātu lieko drazu pirms visu normālo sūtījumu filtrēšanas, tam ir jābūt filtru saraksta pašā augšā Move up. Un tagad laikam viss.

38 komentāri par “Taisam vīrusu filtrus e-pasta klientā The Bat!

  1. K|NG

    es tur nav tai sarakstā, bet man ar nāca kaudzēm un šitas arī Unfortunately, your message was not delivered. Mailbox [kautkādazaķ[email protected]] does not have enough space! plus visādi skrinseiverfaili un citi sū. Labi ka i The Bat. Es pat vienu brīdi nenoticēju sev un pārskanēju sist ar RAV AntiVirus 8… bet nu pagaidām nõrm 🙂

    Atbildēt
  2. Darkz

    uff coolynx, iezvanpieeja, mDSL vai kautkas tamliidziigi leens veel nav nekas – tu iedomaajies kas notiek ja tu dienas viduu iesignojies ieksh lmt gprs, un aizej sapiipot …

    Atbildēt
  3. Djuke

    ja vien nekljuudos, lai inficeetos ar sho viirusu ir jaapalaiz ar rocinju tas pif fails… liidzarto pie viirusa izplatiibas ir vistieshaak vainiigi lietotaaji. nu un ja lietotaajs ir stulbs, tad nu nekaadas softiskas aizsardziibas nepaliidzees. kaut vai Ctrl+A un enter uz desktopa ar daudzi daudzi ikonaam (…igaunju viiruss)… nu naivaakam lietotaajam to mieriigi var iestaastiit aatri izpildiit – un priecaaties par sekaam 🙂

    Atbildēt
  4. Andris

    Jā, jā, tas jau labais, tāpat kā manuālais vīruss mailā – Izdzēsiet visus failus no datora cietā diska un izsūtiet šo vēstuli visiem savām paziņām.
    Tiesa gan, shim vīrusam vēlāk parādījās patchs – vispirms izsūtiet vēstuli un tad izdzēsiet failus. 🙂

    Atbildēt
  5. Devil_Inside

    220 maili diennaktī vēl ir štrunts. Man no vakardienas 18:00 līdz šodienas 8:30 bija 1200 saskrējuši! 🙁 Šodien viss turpinās ar pretīgu regularitāti (2 maili/minūtē). Pats vīruss protams neatnāk jo uz Exchange stāv antivīruss, bet maili bez attacha vienalga besī.

    Atbildēt
  6. Ozzy

    Tak Outlookam ir taada ljoti laba lieta kaa Outlook security patch. Tas 98. outlook neljauj taisiit potenciaali biistamos pielikums, tai skaitaa *.pif. A 2000 outlookaa un xp ja uzliek peedeejos service packs tad arii ir taada pati aizsardziiba, vieniigais naakas saskarties ar to, ka viirusainie meili piedrazo e-pastu. vismaz ja ir shi patch tad tie nav biistami.

    Atbildēt
  7. anonīmi

    internetā dzīvojos 2 gadus, e-pastu lietoju četrarpus gadus. p0rnogrāfiskas lapas neapmeklēju un uz žurnāļiem neparakstos, forumos e-pastu nenorādu, vislaik lietoju kaut_kas at kaut_kur.lv, ja vajag parādīt. un kas? man spama nekad nav bijis. manai māsai, manam tētim – visiem ir spams. kāpēc? tāpēc ka nodod savu e-pastu kaut kādām trešajām personām, kas to izķidā. E-pasts ir kā mājas adrese. Un ja jūs ar savu mājas adresi izlīmēsiet visas rīgas izkārtnes, tad nebrīnieties, ja sāks piestaigāt Shuras un Vovas. Tas vēl nekas nebūs. Vot kad Boriss nāks, tad būs oki doki.

    Atbildēt
  8. Andris

    Jāapsver, vai nevajadzēs no mailservera novākt Notification messages par vīrusiem vai Restricted attachments… citādi uz katru šādu drazu vēl aiziet brīdinājums sūtītājam, saņēmējam un Postmaster, tas gan jau var saakt apnikt 🙂

    Atbildēt
  9. eermaniitis

    ee – nu ko teikt, MS mazdai! Man tikai pa nakti 170 veestules – shodien/vakar gan mailserveru tureetaaji uzlikushi filtrus tam suuda failam – paldies dievam, bet tomeer nepatiikami ka deelj autlook juzeriem jaaciesh visai komuunai! ;(

    Atbildēt
  10. K-teevs

    Shodien bija 111 Sobiga gjenereeti meili, plus parastie 15 gabali no vecaas draudzenes Marjamas Abachas, Ezes kunga un citiem Aafrikas seerdienjiem, kam nez kaadeelj aizkjeerushies lieki $ 20 miljoni kaadaa Sjera Leones bancinjaa. Varbuut kaadi pieci meili tieshi vai netieshi attiecas uz DB darbu (CNET kopsavilkums u.tml.)Taatad, viss turpina iet valjaa ar sho zveerinju. Interesanti, ka manaa Yahoo meilaa nav nekaa neparasta.

    Atbildēt
  11. jaanisf

    Par laimi, man vēl neviens pats inficēts meils nav atnācis. Bet, es gribēju jautāt. Vai Pegasus ir iespējams atslēgt meilu preview HTML formātā? Gribētos, lai rāda plain text. Un vispār, tāds preview varētu arī nemaz nebūt.

    Atbildēt
  12. Maarcis

    Offt: pods saakuma lapaa jaskrollee pa horizontaali (800 x 600), kad ieiet zinjaa, tas nav. Skatos ar IE5, labs paarluuks, eerts, nav galva jalauza…
    Veestules man nevienas nav, kaut esmu uzraadiijis mailu vairaakos forumos visur kur (tikai ne p0..).

    Atbildēt
  13. kriptohitons

    HA, me tiko pienaaca kaut kaads jamais viirus, ar attachment *.scr , bet veestules saturs ir tas pac jaukaakais: Texts ko e-mail iipashnieks ir kaadam suutiijis. Buus bisku no shitaa jaauzmanaas, savaadaak juusu miilestiibas veestuli vai nozieguma plaanu ;D viirus var izsuutiit tautai pa visu pasauli, un tad buus gruuti pieraadiit, ka tas nebijaat juus , he.

    Atbildēt
  14. coolynx

    Maarcis: probleema ir iislaiciiga. IE pie fontu palielinaashanas palielinaaja arii pre taga saturu un newrapo to. Taada probleema ir arii citiem paarluukiem. Paarliecinaties par to var lapaa ar m$ office cenaam. neko netaisos labot.
    par e-pastiem runaajot. nav nepiecieshams staigaat pa pr0n lapaam, lai juusu adrese tiktu izvazaata pa visu pasauli. pietiek aizsuutiit atbildi kaadam lamerim, lai taa nonaaktu vinja adreshu graamatinjaa, lai vinjsh apmeklee tavu lapu un IE iekasho adresi no html dokumenta kaa arii citaa veidaa un palaizhot viirusu tas liktu shiis adreses lietaa.

    Atbildēt
  15. coolynx

    veel piemirsu uzrakstiit, ka 95% no shiem inficeetiem suutiijumiem naak no .lv zonas IP ar .lv e-pasta atpakaljadreseem, kas paarsvaraa nav inbox.lv vai one.lv, vai veel kaada *bezmaksas* servisa adrese, bet gan dazhaadu domeenu adreses.

    Atbildēt
  16. Anonīmais

    jaanisf: var pegazam html atslegt. no galvas nepateikshu, jo darbaa pegaza nav, bet ja pareizi atceros kaut kur zem tools|options|message reader

    Atbildēt
  17. Tāpat vien

    Dēļ šitā prieka vakar naktī pāris mailserveri [latnet noteikti] bija down. Laikam cītīgi centās apstrādāt šos jaukos mailus.
    Ceru, ka neesmu inficējies ne ar Blast, ne Sofig, ne Welchai [removo Blast vīrusu, taču taisa citus jokus:)], lai arī lietoju Outlook. Ja nu pēkšņi esmu tajā varoņu sarakstā, coolynx, ziņo.
    Vispār jau jauki skatīties firewall logus par to kā cītīgi tiek sūtīts visāda draza uz 80&135 portiem un visādās mistiskās ICMP echo request packetes. Un tā jau labu laiku. Domājams, ka daļa tautas vispār neapzinās, ka ir inficēta, ja vien vīruss nesāk veikt manāmas darbības. Populārie portāli jau varēja vienkāršo tautu painformēt – vismaz kā nokonstatēt vai esi inficēts … vismaz, lai izslēdz datoru vai atvieno no tīkla.
    Un vispār es domāju, ka tas ir labs antivīruss ražotāju mārketinga triks 🙂

    Atbildēt
  18. N0iSeX

    Outpost firewall: kursh blokjee taa jau nevelamos paplashinajumus+McAffe 7.x, kursh updeitojas katru dienu un sanjem jaunako infu par virusiem (ja tadi ir) 🙂 +Microsoft Outllok rules defineshana un perminentlaa delitoshana…shitadus mailus praktiski vispar neredzu 🙂

    Atbildēt
  19. ui

    firmas kas izmanto apollo pasta servera pakalpojumus ari ir labi “nodroshinatas” pret virusu piegadi, jo sledzoties uz apollo (un citu domenu) MaileXchangera (80.232.169.44) 25 portu, sanemam sveicienu no kautkada “220 ESMTP MX BACKUP (Apollo)”, kursh atsakas pienjemt mailu tiem domeniem, kam noradits ka MX…

    Atbildēt
  20. nekas nekas

    shoriit vispaar bija AARPRAATS – sanjeemu ~ 1300 random virusainos meilus uz savu kasti @delfi.lv!! No random adreseem, ruturned mail, dalja mimeDefang un SpamAssassin apstraadaati.. Pamataa ar vienaadiem Subj. Laikam Tam Sobig ir aktivizaacijas diena, vai kas? Normaalaa spam/virii deva visu laiku bija 5…30 dienaa.

    Atbildēt
  21. BMWPower

    Kā ar šiteim email cīnīties, ja ie outlook. Bļin sāka gļukot viņš. Email it kā aisūta, bet adresāts nesaņem, man ar atsūta bet nesaņemu. Jobans rots, ko darīt??

    Atbildēt
  22. Guigo

    Latnetam jau no pirmdienas problēmas. vakar vēl saņēmu kaut kādus meilus, bet šodien viņu pop3 vispār neiet! zb, halturšiki!

    Atbildēt
  23. Storms

    Mja. Tomeer cilveeki meedz buut stulbi kaa eezelji. Saka vinjiem ka jamais viiruss ir uz cilveeka idiotisma – palaidiisi filjezu, buus viiruss NEATKARIIGI no e-pasta programmas. Un tik un taa burkshkj ka “MS sux” un Outlook Express sux”. Da piestarteejiet to .pif uz saviem The Bat! un dapofig kaadiem citiem e-pasta klientiem un rezultaats buus identisks kaa ar Outlook Express!
    P.S. – coolynx shai jomaa ar peedeejaa laikaa biezhi saak greekot…

    Atbildēt
  24. coolynx

    Storms: tikai nevajag shito lja lja! pameegjini saakumaa pats uz The Bat! palaid kaadu failu un tad runaasim taalaak. pagaidaam norakstu uz tavu nezinaashanu.

    Atbildēt
  25. Karlis

    Man pietiek. Es to vairs nevaru iztureet, dienaa sanjemu ap 400 trash mailus. Riebjas, ka jaaciesh no luuzerjuuzeriem, kas inficeejushi savus kompjus, domaajot ar aizmugureejo pusi.
    Daljeejai ciinjai ar shito nelietiibu, esmu uzraxtiijis nelielu aplikaaciju, kas iebrien uz servera un no turienes izdzeesh inficeetaas veestules. Diemzheel pergzai ir savi truukumi, neieshu jau paarpuuleeties, bet man pasham noder anyway, gan jau veel kaadam noder. Links Ir Te

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta.