[ext] Spam problem

Fr Jun 4 15:13:20 CEST 2021

>> Ja, musste sie entfernen, weil das Archiv als "problematisch" geflaggt
>> wurde.
> 
> https://drive.google.com/file/d/11HuCiP9SC_qP9EIVaVXVlnGEKQ8k1E90/view?usp=sharing
> 
> Jetzt als 7z, password protected. Passwort ist: "my_password" (ohne die "")

Danke für die Samples.

In vielen kamen folgende Strings vor, das sollte relativ sicher sein:

rule shab_pdf1 {
        meta:
                description = "shab pdf spam"
        strings:
                $x1 = "Users/root/Desktop"
                $x2 = "/shab_html"
        condition:
                $x1 and $x2
}

Bei drei der Samples hab ich nur die URL-Action als Gemeinsamkeit gefunden:

001c8c0: 0a2f 4120 3c3c 0a2f 5479 7065 202f 4163  ./A <<./Type /Ac
001c8d0: 7469 6f6e 0a2f 5320 2f55 5249 0a2f 5552  tion./S /URI./UR
001c8e0: 4920 2868 7474 703a 2f2f 7169 7072 7269  I (http://qiprri
001c8f0: 6e2e 6368 6172 6d69 6e67 636f 6e64 6f2e  n.charmingcondo.
001c900: 636f 6d29 0a3e 3e0a 3e3e 0a65 6e64 6f62  com).>>.>>.endob

Die Regel url_action_pdf1 sucht nach folgender Zeichenkette:
./Type /Action./S /URI./URI (http://

Je nachdem ob man http URLs in PDFs erwartet, könnte das zu weit gefasst sein.

rule url_action_pdf1 {
        meta:
                description = "url action pdf"
        strings:
                $x1 = { 0a2f 5479 7065 202f 4163 7469 6f6e 0a2f 5320 2f55 5249 0a2f 5552 4920 2868 7474 703a 2f2f }
        condition:
                $x1
}

Testen mit:
clamscan -d /var/lib/clamav/<datei-mit-regeln>.yara /pfad/datei.pdf

Viele Grüße
Gerald