マクロを使用してOfficeドキュメントを禁止するClamAV署名
ClamAVデータベースのカスタム署名を使用して、1つの電子メールに添付されたときに一部の種類のファイルを禁止しています。
これは、procmailでclamdとclamassassinを使用して行われます。
ClamAVのカスタムルールにルールを追加して、マクロを含むExcel/Word/PowerPointドキュメントを含む電子メールを禁止することを検討しています。
ClamAVバージョン0.99以降、 Yara ルールをサポートしています。
したがって、Yaraルールを使用してこのタイプのファイルを検出できます。
例/var/lib/clamav/と呼ばれるファイルをClamAvライブラリ(Ubuntuではyara_officemacros.yarにあります)に作成します。
それを編集して、このコード内に記述します。
rule office_macro
{
meta:
description = "M$ Office document containing a macro"
thread_level = 1
in_the_wild = true
strings:
$a = {d0 cf 11 e0}
$b = {00 41 74 74 72 69 62 75 74 00}
condition:
$a at 0 and $b
}
ファイルを保存してclamdを再起動すると、完了です;-)