Welcome to oscc.kr

이 바이러스는 보통, 'Hi! How are you?' 라는 문구를 포함하고 있으며,

일반적인 파일을 첨부하고 있는 정상적인 메일처럼 보여, 속아넘어가기 쉬운 형태이면서,
시스템에 피해를 입히므로, 주의를 요하고 있습니다.



아래 내용은 김경욱님께서 작성한 sendmail 8.9  이상 버전에서 이 바이러스를
차단하는 방법에 대한 팁입니다.





--------------------------------------------------------------------------------




   
이 룰셋은 quanta-spam_killer에서 Sircam worm 차단 룰셋만을 분리한
    것입니다.
   
Sircam worm에 대한 정보는 아래 URL에서 확인할 수 있습니다.
   
http://home.ahnlab.com/search/virus_detail.jsp?SEQ_NO=843
   

    w32.sircam.worm@mm.html"
     target="_blank">w32.sircam.worm@mm.html" TARGET=_blank>w32.sircam.worm@mm.html" TARGET=_blank>http://www.symantec.com/avcenter/venc/data/pf/w32.sircam.worm@mm.html
   

         target="_blank">시만텍, 서캠 웜 바이러스 위험도 상향 조정 (디지탈 타임스,
    2001/07/23)

         target="_blank">[컴퓨터]"How are you" 바이러스 기승 (동아일보,
    2001/07/20)


   
 
   

본 차단법은 Sircam worm 제작자의 잘못된 Content-Disposition: 사용에
    바탕을 둔 것으로, Content-Disposition: 의 올바른 사용예는 RFC 2183을 참조하시기
    바랍니다.
   
즉, 본 룰셋은 메일 헤더에 아래와 같은 header field가 발견될 경우 sircam
    worm 으로 간주하여 reject 합니다. RHS의 올바른 사용예는, 'inline' 또는 'attachment'
    입니다.
   
Content-Disposition: Multipart message
   

sendmail.cf에 다음 룰셋만을 추가하여 Sircam worm을 차단할 수 있습니다.

    또한, 내부 네트워크에 이미 감염된 PC가 있을 경우 worm의 확산을 차단함과

    동시에, maillog(또는 syslog)를 검색하여 감염된 PC를 발견할 수 있을 것입니다.
   




   
이 룰셋의 사용은 sendmail 8.9 이상에서만 사용할 수 있습니다.

    파란색으로 된 부분이 추가될 부분입니다.
   
# check IP address
R$*                     $: $&{client_addr}
R$@                     $@ OK                   originated locally
R0                      $@ OK                   originated locally
R$=R $*                 $@ OK                   relayable IP address
R$*                     $: $>LookUpAddress <$1>  <$1>
R$*                     $@ RELAY                relayable IP address
R<$*> <$*>              $: $2
R$*                     $: [ $1 ]               put brackets around it...
R$=w                    $@ OK                   ... and see if it is local
 
 
# anything else is bogus
R$*                     $#error $@ 5.7.1 $: "550 Relaying denied"
 
 
### Sircam worm filter
 
HContent-Disposition: $>check_sircam
D{SIRCAM}"Your message may contain the Sircam.worm !!! (아래줄과 연결해서 쓰세요.)
See w32.sircam.worm@mm.html" TARGET=_blank>w32.sircam.worm@mm.html" TARGET=_blank>http://www.symantec.com/avcenter/venc/data/pf/w32.sircam.worm@mm.html"
 
Scheck_sircam
RMultipart message $#error $: 550 ${SIRCAM}
 
 
 
#### 주의: Multimapt message와 $#error 사이는 [TAB]입니다.
 
 
 
######################################################################
######################################################################
#####
#####                   MAILER DEFINITIONS
#####
######################################################################
######################################################################
   

       
Sendmail.cf의 수정이 다 끝났으면, sendmail을
        restart 하기 전에 ruleset 모드에서 테스트를 해 봅니다.
   

$ /usr/lib/sendmail -bt
ADDRESS TEST MODE (ruleset 3 NOT automatically invoked)
Enter
               
> check_sircam Multipart message check_sircam input:
                Multipart message check_sircam returns: $# error $: 550 553
                Your message may contain the Sircam . worm ! ! ! See http :
                / / www . symantec . com / avcenter / venc / data / pf / w32
                . sircam . worm @ mm . html > ctrl-D (빠져나오기)
 

   
위와 같이 잘 되었다면, sendmail을 restart
합니다.