[Postfixbuch-users] Virusversand zip in zip

Fr Jul 20 09:29:08 CEST 2012

Im Auftrag von Ringen, Dieter (ZPD Dez.> 42.5 - Zentrale Systeme)

Hallo Dieter 

> Bin mir nicht ganz sicher, aber ich meine das ist diese Passage:
> 
> ### BLOCK THE FOLLOWING, EXCEPT WITHIN UNIX ARHIVES:
> # [ qr'^\.(gz|bz2)$'             => 0 ],                # allow any in
> gzip or bzip2
>   [ qr'^\.(rpm|cpio|tar)$'       => 0 ],                # allow any in
> Unix-type archives
> 
>   qr'.\.(pif|scr)$'i,                                   # banned
> extensions - rudimentary
> # qr'^\.zip$',                                          # block zip type
> 
> ### BLOCK THE FOLLOWING, EXCEPT WITHIN ARHIVES:
> # [ qr'^\.(zip|rar|arc|arj|zoo)$'=> 0 ],                # allow any
> within these archives
> 
> Also die allow any auskommentieren. Bei mir werden ausführbare Dateien
> in Zip-Archiven jedenfalls geblockt.
> 

Das ist es nicht alleine den Block habe ich drinne 

$banned_filename_re = new_RE(
  qr'\.[^./]*\.(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)\.?$'i,
  qr'\{[0-9a-z]{4,}(-[0-9a-z]{4,}){0,7}\}?'i, # Windows Class ID ext. -
CLSID)
  qr'^application/x-msdownload$'i,            # block these MIME types
  qr'^application/x-msdos-program$'i,
  qr'^application/hta$'i,
  [ qr'^\.(Z|gz|bz2)$'           => 0 ],      # allow any in Unix-compressed
  [ qr'^\.(rpm|cpio|tar)$'       => 0 ],      # allow any in Unix-type
archives
  [ qr'^\.(zip|rar|arc|arj|zoo)$'=> 0 ],      # allow any within such
archives
  qr'.\.(ade|adp|app|bas|bat|chm|cmd|com|cpl|emf|exe|fxp|grp|hlp|hta|
         inf|ins|isp|js|jse|lnk|mda|mdb|mde|mdw|mdt|mdz|msc|msi|msp|mst|
         ops|pcd|pif|prg|reg|scr|sct|shb|shs|vb|vbe|vbs|
         wmf|wsc|wsf|wsh)$'ix,                # banned ext - long
  qr'^\.(exe-ms)$',                           # banned file(1) types
); 

Es geht um die Mails z.B. 
 mit Betreff:   Begleichen Sie Ihre Bestellung. Mahnung

und mal als Beispiel einer der Texte 

-----------
Sehr geehrter Nutzer Uwe Driessen,

unsere Inkasso Büro hat Ihre Bestellung überprüft und uns gewarnt, dass die
offene Bestellung von 826,89 Euro leider nicht bezahlt wurde. Mit dieser
E-Mail fordern wir Sie Ihrer Verpflichtung nachzukommen.

Weil dies die zweite Mahnung ist, sind wir verplichtet Ihnen leider die
Gebühren von 14,00 Euro ebenfalls zu der noch offenen Forderung als
Mahngebühr in Rechnung stellen.

Wir fordern Sie, die nicht bezahlten Kosten bis zum 23.07.2012 auf das
angegebene Bankkonto zu übersenden.
Andernfalls sind wir gezwungen, unsere Rechnung Inkassounternehmen geltend
zu machen.

Ihren Zahlschein und bestellte Produkte finden Sie in dem angefügten
Schreiben.
Erledigen Sie jetzt unserer Bitte und sparen Sie sich weitere Kosten.

Mit verbindlichen Grüßen

PfeifferOnlineEinkaufen AG

Firmensitz in Ahlen
Steuer-Nummer DE905675976
Leiter Ben Simon

------

Und der Anhang heist dann in dieser Mail 

"Uwe Driessen Mahnung 13.06.2012.zip"  (ca. 57 KB groß)

Am Anfang habe ich die mit Header und Bodychecks rausgeholt.
Aber die Jungs passen sich schneller an wie mir lieb ist da muß es was geben
das gewünschtes durchlässt und den scheiß blockt.

Diese Mails kommen durchaus auch von "offiziellen" und auch von deutschen
Mailservern.

Ich vermute mal stark das da Ersatz, für irgendwas das das FBI in den
letzten Wochen hochgenommen hat, geschaffen werden soll.

Ich hab die Datei nicht geöffnet *gg

Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045