經常收到my new photo ;) 這種標題的病毒信件

licheer · 一級 註冊時間: 2013-12-16 文章: 38 來自: TAIWAN

你好

最近好幾個帳號都會收到my new photo

內含執行檔...應該是病毒信件
除了在maild裡設置標題文字過濾外, 還有其他方法能攔阻嗎?

還有,因為很多帳號都收的到,這是因為被猜中帳號名稱嗎? 或是其他原因
謝謝

Arnor · 發表於: 星期一十一月 24, 2014 10:36 am 文章標題:

設標題就能過濾了, 尋求其它方法是因為?

建議google my new photo 以了解更多,
電子郵件病毒擴散方式應該是依靠outlook 的通訊錄,
所以只能猜想是互相有往來的對方有人中標了
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

taimin · 發表於: 星期一十一月 24, 2014 2:26 pm 文章標題:

我也有發現在未驗證目錄有這些信件,手動掃毒,有發現病毒,但在事件的掃瞄中怎麼會沒過濾掉呢?

Arnor · 發表於: 星期二十一月 25, 2014 10:35 am 文章標題:

建議您把那個信件檔案名拿去你的 clamscan.log 來搜尋看看
或者server 的記錄檔來搜尋看看以了解更多.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

taimin · 發表於: 星期二十一月 25, 2014 2:58 pm 文章標題:

素大您好
我有用版上教的ClamWin和NOD32兩個,
它們的log都沒看到有掃到該信件檔案,手動把那封信的附檔拉出來掃,NOD32有掃到.clamwin沒有..

然後,我把我自己電腦的防毒先關了.夾那個病毒附件,寄給自己..
發現NOD32有抓到,clamwin沒有,然後我把事件分開.
發現只開clamwin有抓到,但信件沒隔離成功,但要再加設d:\clamwin\temp,
到伺服的防毒的例外.才會隔離成功

然後只開nod32事件,也會成功

然後再試兩個都開,事件1是clamwin,事件2是nod32,
但是NOD32 搶先抓到...也隔離成功

ClamWin和NOD32差異:clamav 會刪除.使用者不會收到信件,
nod32使用者會收到信,但附檔被換成一個空的記事本檔案

奇怪的是為什麼之前會沒抓到毒,雖然我沒設d:\clamwin\temp要例外清單.
但至少應該會有一個NOD32要成功..
而且之前也並不是完全失敗,2個事件都各有一些成功抓到毒的記錄..

Arnor · 發表於: 星期二十一月 25, 2014 4:29 pm 文章標題:

taimin · 發表於: 星期三十一月 26, 2014 9:11 am 文章標題:

素大您好
昨天我就只用一個事件Clamwin,早上看還是很多photo病毒信件..
在LOG並沒有掃到,但昨天我用它的壓縮檔自己寄都有掃到毒並刪掉..
為什麼別人寄進來,伺服器反而沒掃到毒

Arnor · 發表於: 星期三十一月 26, 2014 11:02 am 文章標題:

那我就懷疑你的clamscan 執行列恐怕是有錯誤的.
把某一串指令copy +paste 貼到dos prompt 來執行確認看看或檢查你的clamwin.log
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

taimin · 發表於: 星期三十一月 26, 2014 1:52 pm 文章標題:

素大您好
我仍然用附檔自己寄給自己測試,雖然兩隻都是photo
一隻 iphone_photo.zip,clamwin,node32都抓得到
一隻 my_iphone_photo.zip ,clamwin抓不到, nod32抓得到
我現在兩個事件都啟甪,並把病毒樣本提供給clamwin,
再觀察看看.