Вопросы Теги

Подпись ClamAV для запрета офисных документов с макросами

Мы используем специальные подписи для базы данных ClamAV, чтобы запретить некоторые типы файлов, когда они прикреплены к одному электронному письму.

Это делается с помощью clamd и clamassassin с procmail.

Мы хотим добавить правило в наши собственные правила для ClamAV, чтобы запретить электронные письма, содержащие документы Excel / Word / PowerPoint с макросами.

0
задан 16 March 2017 в 18:10
1 ответ

Начиная с версии 0.99 ClamAV поддерживает правила Yara.

Таким образом, мы можем использовать правило Yara для обнаружения такого типа файлов.

Создайте файл в библиотеке ClamAv (На Ubuntu это на /var/lib/clamav/), вызванный как пример yara_officemacros.yar

Отредактируйте его и напишите внутри этого кода:

rule office_macro
{
    meta:
        description = "M$ Office document containing a macro"
        thread_level = 1
        in_the_wild = true
    strings:
        $a = {d0 cf 11 e0}
        $b = {00 41 74 74 72 69 62 75 74 00}
    condition:
        $a at 0 and $b
}

Сохраните файл и перезапустите clamd, и все готово ;-)

.
2
ответ дан 4 December 2019 в 13:34

Теги

Похожие вопросы