ClamAV 签名禁止使用宏的办公文档

ClamAV 签名禁止使用宏的办公文档

我们正在使用 ClamAV 数据库的自定义签名来禁止将某些类型的文件附加到一封电子邮件中。

这是使用 clamd 和 clamassassin 与 procmail 完成的。

我们希望在 ClamAV 的自定义规则中添加一条规则,以禁止包含带有宏的 excel/word/powerpoint 文档的电子邮件。

答案1

从 ClamAV 0.99 版开始,它支持雅拉規則。

因此我们可以使用 Yara 规则来检测这种类型的文件。

在您的 ClamAv 库中创建一个名为的文件(在 Ubuntu 上/var/lib/clamav/),示例如下yara_officemacros.yar

编辑它并在其中写入以下代码:

rule office_macro
{
    meta:
        description = "M$ Office document containing a macro"
        thread_level = 1
        in_the_wild = true
    strings:
        $a = {d0 cf 11 e0}
        $b = {00 41 74 74 72 69 62 75 74 00}
    condition:
        $a at 0 and $b
}

保存文件并重新启动 clamd,您就完成了 ;-)

相关内容