Analisi del tipo di file EML

Naviga le tue risposte
0

Sto lavorando alla ricerca di punti di infezione nel formato di file EML. Vuoi sapere per quali motivi uno scanner dichiara un'e-mail come spam o allegato come dannoso?

Significa che esegue la scansione tramite contenuto MIME o qualsiasi altro puntatore. Il contenuto malevolo è rilevabile in base al tipo di file / contenuto MIME? Come viene scansionato l'allegato?

Ho messo la stringa di test EICAR su un controllo contro ESET scan per rilevarlo come dannoso, ma il file è risultato pulito, mentre tutti gli antivirus standard dichiarano l'EICAR come test antivirus o qualcosa del genere.

    
posta rhym1n 14.08.2017 - 13:33
fonte

1 risposta

2

Il rilevamento di spam e malware sui file di posta viene eseguito con una varietà di tecniche. Per darvi un'idea delle tecniche e delle euristiche coinvolte, ecco alcuni esempi. Nota che questi esempi sono lontani da un elenco completo:

  • Informazioni sul percorso di consegna nell'intestazione della posta, vale a dire Received intestazione. Questi potrebbero essere utilizzati per estrarre l'indirizzo IP del mittente e controllare le blacklist. Anche DKIM-Signature e Received-SPF intestazioni, tipici oggetti spam o simili.
  • Tipo e struttura degli allegati, ovvero un file ZIP con un file * .js all'interno è tipicamente malware. Un allegato HTML con Javascript è spesso phishing. Office documentato incorporato in PDF è solitamente malware, ecc.
  • Il contenuto degli allegati controllati da un antivirus, ovvero la ricerca di macro nei documenti word o simili.
  • Collegamenti inclusi nella posta che si riferiscono a siti di phishing.
  • Confronto con i messaggi precedentemente classificati, ovvero la somiglianza con spam, phishing o malware noti.
  • ...

Si noti che la maggior parte di queste sono solo euristiche. Ciò significa che anche se alcune funzionalità sono tipiche dello spam o del phishing, a volte potrebbero verificarsi anche in e-mail innocenti. Quindi c'è sempre una possibilità che un rilevamento sia in realtà un falso positivo, cioè qualcosa di innocente rilevato come cattivo. Simile c'è sempre la possibilità che qualcosa di brutto non venga rilevato e considerato innocente (falso negativo).

    
risposta data 14.08.2017 - 15:33
fonte

Leggi altre domande sui tag

Identificazione di una funzione di hash [duplicato] Strumento desktop remoto di Windows