글쓴이 : 좋은진호 ( http://coffeenix.net/ )

조회수 : 8859

	[ 이전화면 / 수정 ]   비밀번호 :
	제  목 : procmail을 이용해서 마이둠 웜(MyDoom Worm) 필터링 작성자 : 좋은진호(truefeel, http://coffeenix.net/ ) 작성일 : 2004.01.31 마이둠 웜(MyDoom Worm)이 기승을 부리고 있습니다. MyDoom.A, MyDoom.B에 이은 또다른 변종까지 현재 4종류의 MyDoom 웜이 발견되었습니다. 1. 필터링 procmail을 통해 간단히 막는 방법을 알아봅시다. /etc/procmailrc 에 다음을 추가해서 별도 파일로 저장하거나 삭제할 수 있습니다. (빈줄 포함 9줄)   WORM_LOG = "/var/log/worm.log" :0HB * > 25000 * < 45000 * ^Subject: ($|error|status|server report|mail (transaction failed|delivery subsystem)|hello|hi|test) * charset=.?Windows-1252.? * (file)?name=.*\.(bat|cmd|com|exe|pif|scr|zip) $WORM_LOG   메일 내용은 $WORM_LOG 로 모두 저장. 필요없으면 /dev/null 로 하세요. - 메일 크기는 25K~45K까지 - 제목이 없는 것부터 대소문자 구별없이 Hi, Hello, Test, ... 등 까지 - 본문중에 charset="Windows-1252" 을 포함하고 - 첨부파일이 .bat, .cmd, .com, .exe, .pif, .scr, .zip인 것을 마이둠 웜으로 판단하여 필터링합니다. 2. 참고글 * Procmail로 Worm/MyDoom.A 필터링   http://groups.google.co.kr/groups?selm=bv6920%24gdh%241%40FreeBSD.csie.NCTU.edu.tw&oe=UTF-8&output=gplain * [C급] Worm_MIMAIL.R(Worm_Mydoom.A) 예보   http://www.certcc.or.kr/cvirc/Alert/warning/2004/Worm_mimail_r.html * Win32/MyDoom.worm.22528 (MyDoom.A)   http://info.ahnlab.com/smart2u/virus_detail_1298.html * Win32/MyDoom.worm.29184 (MyDoom.B, 변종)   http://info.ahnlab.com/smart2u/virus_detail_1299.html * Win32/MyDoom.worm.32768 (변종)   http://info.ahnlab.com/smart2u/virus_detail_1302.html * Win32/MyDoom.worm.40448 (변종)   http://info.ahnlab.com/smart2u/virus_detail_1303.html