.: blog cscholz.io :.

Debian: clamav Signatur Datei selbst erstellen

Auf Sanesecurity.com dürfte der ein oder andere ja bereits aufmerksam geworden sein. Wie in meinem Artikel „ClamAV zur Spambekämpung? Ja…“ beschrieben, werden seit längerem auf sanesecurity.com Clamav Signatur Dateien angeboten, mithilfe derer man Spam eMails identifizieren kann. Das Prinzip ist identisch mit der Erkennung von Viren.

Beim erstellen wird aus einer Spam eMail ein Teil herausgesucht, der diese eMail möglichst eindeutig identifiziert. Für diese Phrase wird dann eine Checksumme errechnet die dann in einer Virendatei abgespeichert wird. Findet clamav nun eine Datei, die genau die gleiche Checksumme beinhaltet gilt dies als Treffer und die Datei – in unserem Falle die eMail wird als Virus/Spam identifiziert.

Unter dem Link http://www.sanesecurity.com/method.pdf ist bereits eine Anleitung zu finden, wie man sich eine eigene Signaturdatei erstellt, jedoch hatte ich damit irgendwie meine Probleme, dies mag unter anderem daran liegen, dass in dem PDF Dokument nicht beschrieben ist, dass von der errechnete Checksumme (siehe unten) die letzten beiden Nullen entfernt werden müssen. Nun aber weiter nach Plan…

Wir haben nun also eMail die wir eindeutig als Spam identifiziert haben und nun durch clamav filtern lassen wollen. Dies kann bei einer Massiven Spam Welle mit mehrere eMails des gleichen Inhaltes sinnvoll sein, wenn die eMail vom Spamfilter nicht erkannt wird… Wir suchen uns nun also einen Teil innerhalb der eMail der eindeutig für diese eMail ist.

In unserem Fall enthält die eMail den Text

Spezialangebot: ViAA 10 Tab + Ci 10 Tab – 56.15 Euro

Achten Sie beim aussuchen der Textstelle darauf, dass beim HTML Format evtl. noch Formatierungstags diese Stelle umschließen bzw. unterbrechen können. In diesem Fall sollten sie den Quelltext der eMail verwenden um die Passage inkl. Formatierungstags zu verwenden. Auf der Seite http://nickciske.com/tools/hex.php können Sie sich nun einen Hex-Wert für diese Textstelle erstellen lassen. Achten Sie darauf, dass sie die beiden letzten 00 anschließend entfernen müssen.

clamscan_create_sigfile_1

Nun haben Sie den Hex-Wert und schreiben diesen in folgendem Format in *.ndb Datei im Clamav Verzeichnis (/var/lib/clamav/).

blog.cscholz.io.090124001:3:*:5370657A69616C616E6765626F743A....

Nach einem reload der Clamav-DB sollten nun eMails mit der verwendeten Textpassage erkannt werden.

Wer nun den Betreff eine eMail verwenden möchte um diese zu identifizieren, kann dies auch tun.

blog.cscholz.io.090124002:4:*:5375626a6563743a{-30}54776F20676F….

Die mobile Version verlassen