Назад | Перейти на главную страницу

Подпись ClamAV для запрета офисных документов с макросами

Мы используем пользовательские подписи для базы данных ClamAV, чтобы запретить некоторые типы файлов, когда они прикреплены к одному электронному письму.

Это делается с помощью clamd и clamassassin с procmail.

Мы хотим добавить правило в наши собственные правила для ClamAV, чтобы запрещать электронные письма, содержащие документы excel / word / powerpoint с макросами.

Начиная с ClamAV версии 0.99 поддерживает Яра правила.

Таким образом, мы можем использовать правило Yara для обнаружения файлов этого типа.

Создайте файл в своей библиотеке ClamAv (в Ubuntu он включен /var/lib/clamav/) называется примером yara_officemacros.yar

Отредактируйте его и напишите внутри этого кода:

rule office_macro
{
    meta:
        description = "M$ Office document containing a macro"
        thread_level = 1
        in_the_wild = true
    strings:
        $a = {d0 cf 11 e0}
        $b = {00 41 74 74 72 69 62 75 74 00}
    condition:
        $a at 0 and $b
}

Сохраните файл и перезапустите clamd, и все готово ;-)