Мы используем пользовательские подписи для базы данных ClamAV, чтобы запретить некоторые типы файлов, когда они прикреплены к одному электронному письму.
Это делается с помощью clamd и clamassassin с procmail.
Мы хотим добавить правило в наши собственные правила для ClamAV, чтобы запрещать электронные письма, содержащие документы excel / word / powerpoint с макросами.
Начиная с ClamAV версии 0.99 поддерживает Яра правила.
Таким образом, мы можем использовать правило Yara для обнаружения файлов этого типа.
Создайте файл в своей библиотеке ClamAv (в Ubuntu он включен /var/lib/clamav/
) называется примером yara_officemacros.yar
Отредактируйте его и напишите внутри этого кода:
rule office_macro
{
meta:
description = "M$ Office document containing a macro"
thread_level = 1
in_the_wild = true
strings:
$a = {d0 cf 11 e0}
$b = {00 41 74 74 72 69 62 75 74 00}
condition:
$a at 0 and $b
}
Сохраните файл и перезапустите clamd, и все готово ;-)