Filtar Swen con el Mailwasher

If the Body contains "TVqQ"

Je, son los tres primeros bytes de un fichero ejecutable normalito de Windows, con el miniprograma que muestra el mensaje "This program cannot be run in DOS mode." o "This program must be run under Win32" cuando se intenta ejecutar en modo DOS: MZÉ (É = ASCII 144, hex 90)
Ese carácter É es el byte bajo de una palabra de la cabecera EXE: longitud de la imagen EXE módulo 512 bytes. Parece que es el Microsoft Linker el que lo pone así...

Quiero decir que esa regla filtrará todos los mensajes que contengan un fichero .EXE, no todos, y tal vez otros ficheros que tengan casualmente esa tripleta de caracteres en una posición divisible por 3.
Un saludo...

Ramón Sola @ Málaga.España

Haz zapping si quieres escribirme. ;-)))
Estuve viendo un documental sobre los tigres y los leotardos de África.
(leopardos)


Pablo Roca escribió...

Hola,

Solo un consejo mas para filtrar el virus Swen que llegan por correo.

con MailWasher (gratuito en http://www.mailwasher.net) añadir un filtro que
haga:

If the Body contains "TVqQ" then add the sender to the blacklist and mark
the message as mail to be deleted.

Tiene el inconveniente que se lee todo el mensaje, pero dicen que funciona,
no lo hé probado ya que no recibí ningun correo con el Swen (y no .. no se
aceptan ofertas de enviarmelo .. :))))

Saludos,

Pablo Roca - Microsoft Visual Foxpro MVP
Sysop de PortalFox (http://www.portalfox.com)
La Coruña, España
"Apoya a FoxPro, utiliza software legal"

mmm ... pues no sé.

Lo que veo yo en los tres primeros bytes de los ejecutables es 4D 5A 90.

Ni idea, esto lo posteo David McRitchie (que se me pasó darle los creditos)
en un grupo de noticias de seguridad en ingles.

Saludos,

Pablo Roca - Microsoft Visual Foxpro MVP
Sysop de PortalFox (http://www.portalfox.com)
La Coruña, España
"Apoya a FoxPro, utiliza software legal"


"Ramón Sola" escribió en el mensaje
news:%

If the Body contains "TVqQ"

Je, son los tres primeros bytes de un fichero ejecutable normalito de
Windows, con el miniprograma que muestra el mensaje "This program cannot be
run in DOS mode." o "This program must be run under Win32" cuando se intenta
ejecutar en modo DOS: MZÉ (É = ASCII 144, hex 90)
Ese carácter É es el byte bajo de una palabra de la cabecera EXE: longitud
de la imagen EXE módulo 512 bytes. Parece que es el Microsoft Linker el que
lo pone así...

Quiero decir que esa regla filtrará todos los mensajes que contengan un
fichero .EXE, no todos, y tal vez otros ficheros que tengan casualmente esa
tripleta de caracteres en una posición divisible por 3.
Un saludo...

Ramón Sola @ Málaga.España

Haz zapping si quieres escribirme. ;-)))
Estuve viendo un documental sobre los tigres y los leotardos de África.
(leopardos)


Pablo Roca escribió...

Hola,

Solo un consejo mas para filtrar el virus Swen que llegan por correo.

con MailWasher (gratuito en http://www.mailwasher.net) añadir un filtro

que

haga:

If the Body contains "TVqQ" then add the sender to the blacklist and mark
the message as mail to be deleted.

Tiene el inconveniente que se lee todo el mensaje, pero dicen que

funciona,

no lo hé probado ya que no recibí ningun correo con el Swen (y no .. no se
aceptan ofertas de enviarmelo .. :))))

Saludos,

Pablo Roca - Microsoft Visual Foxpro MVP
Sysop de PortalFox (http://www.portalfox.com)
La Coruña, España
"Apoya a FoxPro, utiliza software legal"