澳门威尼斯人赌场官网

科技新闻

如何在邮件服务器过滤Sircam

(//www.tvsmo.com)

【大澳门威尼斯人赌场官网8月9日讯】 一种名为Sircam的病毒正悄悄在肆虐、感染电脑,并传送出可能具有高敏感度的档案。该报道,美国联邦调查局(FBI)全国基础设施保护中心的一台电脑上月底感染此种病毒,并以电子邮件方式传送出FBI部分的私人文件。

多数防毒软件商都把Sircam列为高度危险病毒。据防毒软件公司Central Command称,此病毒7月份名列前茅,当月电脑病毒感染案例中有超过38%由它引起。公众对Sircam的注意不多,与“代号红色”不同,但Sircam病毒的危害却可能更为严重。Sircam病毒主要的危害在于重要信息甚至机密文件的泄漏,且它所传播的邮件地址和主题具有极大的随机性,使用户很难判断所收邮件是否带有病毒。此外,Sircam能够删除C盘所有文件及其目录;同时,每次机器启动时,病毒还将自动在硬盘中写入垃圾文件,直至吞噬硬盘所有可用空间。Sircam病毒比专家预期的更难以对付且存活时间更长,部分原因是该病毒在传播过程中会不断改变。

现在,各个防病毒软件公司已经推出的各种防护和杀除Sircam的病毒升级包,而且,网络上也列出了手工查杀Sircam的有效方法,可以有效地防止个人用户的机器受Sircam病毒的危害。但是由于Sircam病毒本身具有很强的隐藏性,许多个人用户在感染的Sircam病毒以后还是浑然不觉,而由于Sircam传播的广泛性,还是有相当大量的个人用户受到了Sircam病毒的危害,不断地向外部发出带有本机硬盘文件的邮件,而在整个发送过程中,用户是毫不知情的。因此,为了有效地防止Sircam病毒发作所带来的巨大危害,除了在个人用户中发布各种查杀手段和软件外,还需要掐断Sircam的传播途径,Sircam的危害和传播主要是通过电子邮件来实现的,因此,在邮件服务器上过滤Sircam病毒,便成了掐断传播途径的最有效的方法。

Sircam病毒所发出的电子邮件具有很典型的表现形式,邮件正文是如下的一段英文或西班牙文,中间内容有可能出入,但首尾两句不变。

  英文:Hi! How are you?

  I send you this file insgroupsto have your advice(中间一句有可能不是这样的)

  See you later. Thanks

  西班牙文:Hola como estas ?

  (中间内容有可能是多种情况,首尾不变)

  最后一行:Nos vemos pronto, gracias.

Sircam发出的电子邮件具有如此明显的表现特征,客观上也为邮件服务器进行有效的过滤提供了解决思路。只要我们在邮件服务器上把含有这些内容特征的邮件过滤掉,Sircam病毒就会失去传播的媒体介质。

如何在邮件服务器上过滤掉这些含有内容特征的邮件呢?

下面,我们以运行在Linux下的Qmail邮件服务器为例,来具体说明如何在邮件服务器上对Sircam所发出的电子邮件进行过滤。

一、要把邮件过滤程序qmfilt的各个文件取回来,具体地址如下:

cvs.sourceforge.net/cgi-bin/viewcvs.cgi/qmfilt/qmfilt/qmfilt.py(这是邮件过滤主程序)

cvs.sourceforge.net/cgi-bin/viewcvs.cgi/qmfilt/qmfilt/qmfilt?rev=1.3&content-type=text/vnd.viewcvs-markup(这是邮件过滤程序的配置文件)

二、在安装qmfilt之前,需要先对Qmail的Qmail-queue打个补丁,具体的补丁源程序在地址//www.qmail.org/qmailqueue-patch下载

三、补丁打好后,就可以开始安装Qmfilt,先把主程序qmfilt.py拷贝到系统的/var/qmail/bin里,同时把配置文件qmfilt拷贝到/var/qmail/control里,建立一个文件/var/log/qmfilt,来记录邮件过滤的日志,把这个文件改成是属于qmaild的,让qmaild可以有写入数据的权限。一切准备好以后,可以以测试模式运行一下Qmfilt,“./qmfilt.qy–test”,如果一切正常,就可以开始做配置文件的设置。

四、接下来我们需要设置邮件服务器的过滤程序,我们通过修改/etc/tcp.stmp使邮件服务器启动mfilt.py来对邮件进行检查及过滤,具体步骤如下:

修改/etc/tcp.stmp成一下的样子:127.:allow,RELAYCLIENT=””,QMAILQUEUE=”bin/qmfilt.py”:allow,QMAILQUEUE=”bin/qmfilt.py”然后重成cdb库:/usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp 五、这里我们开始要设置qmfilt过滤程序,需要把要过滤的字符串加入到qmfilt的过滤配置文件中。根据Sircam病毒的特点,我们必须配置好配置文件qmfilt,根据Sircam邮件的表现形式,可以把qmfilt配置成以下形式:

SirCam %%^Hi!How are you%%

SirCam2 %%^I send you this file in order%%

六、重新启动邮件服务器使刚才我们所进行的过滤设置生效,重启后查看Qmail的服务进程,如果可以看到以下信息,就表明Qmfilt过滤程度已经正常运作了:`-tcpserver-+-4*[qmail-smtpd]

  -3*[qmail-smtpd—qmfilt.py]

七、你可以通过查看log文件/var/log/qmfilt,可以看到,满足条件的Sircam邮件都已经被邮件服务器过滤掉了:Thu Aug 9 00:28:53 2001 – Matched [SirCam2 ]

  Thu Aug 9 00:28:53 2001 – storeInTrap Skiped.

  Thu Aug 9 00:28:59 2001 – Matched [SirCam2 ]

  Thu Aug 9 00:28:59 2001 – storeInTrap Skiped.

  Thu Aug 9 00:29:02 2001 – Matched [SirCam2 ]

  Thu Aug 9 00:29:02 2001 – storeInTrap Skiped.

  Thu Aug 9 00:29:07 2001 – Matched [SirCam2 ]

  Thu Aug 9 00:29:07 2001 – storeInTrap Skiped.

  Thu Aug 9 00:29:42 2001 – Matched [SirCam2 ]

  Thu Aug 9 00:29:42 2001 – storeInTrap Skiped.

在其他的邮件服务器,也可以采用相类似的办法,对Sircam邮件进行过滤,只要能有效的把Sircam邮件的传播途径消灭掉,再结合对个人电脑进行有效的查杀,很容易就能把Sircam带来的危害减到最低程度,并可以逐渐消灭掉Sircam病毒。

不光对于Sircam邮件病毒,对所有和Sircam邮件病毒相似的,通过邮件传递并且邮件正文带有明显字符特征的其它邮件病毒,都可以采取类似方法加以阻止。

(天网安全实验室)(//www.dajiyuan.com)


    澳门威尼斯人赌场官网相关的文章

    

  • 病毒横行 杀毒软件公司得利 (8/8/2001)    
  • Sircam电脑病毒作怪 总统活动日程泄露 (8/3/2001)    
  • 病毒带来大危害,曝光员工薪资泄露海关机密 (8/3/2001)    
  • Sircam病毒侵袭FBI 部分文件被泄露 (8/3/2001)    
  • “红色代号”病毒肆虐 全球比比谁更毒? (8/1/2001)    
  • 杀毒软件对Sircam无能为力 (8/1/2001)    
  • “Sircam”蠕虫病毒简介 (7/30/2001)    
  • SirCam在台湾 逾十万台电脑中毒 (7/27/2001)    
  • Sircam病毒持续蔓延 昨日全球No.1 (7/24/2001)    
  • 中国成为新型恶性网络蠕虫病毒泛滥灾区 (7/24/2001)    
  • I-WORM/Sircam病毒借网上名人“老榕”名义传播 (7/24/2001)    
  • Sircam蠕虫病毒肆虐全球 如何彻底删除病毒 (7/23/2001)    
  • 电脑病毒Sircam逐渐蔓延成灾 10/16将发病 (7/22/2001)    
  • 电脑邮件病毒SirCam可致硬碟资料全毁 (7/20/2001)    
  • “变身”电脑病毒没有固定档名 (7/19/2001)