O site http://www.bgrm.net/images/img.php?id=img_16248.jpg (ainda ativo na postagem deste texto) tem link que não tem nada de malicioso, mas quando clicado ele envia um .scr, legal né usuário de janela se estrupiava se continuasse.
O Lao (da mesma lista) foi atrás e descobriu que ele envia o .scr através do PHP, então como bloquear se é permitido o acesso a esta extensão pelo Squid, no caso .jpg.
Neste site no quinto comentário é explicado como fazer para barrar esta situação, mas lendo mais abaixo não são todas as versões que permitem, na versão 2.5stable10 funcionou perfeito.
Abaixo segue todos os detalhes desta postagem. Sucesso a todos!
Mensagem do Welkson
Senhores,
Tenho a seguinte regra no squid.conf:
# bloqueio de extensoes (pif, scr, bat, cmd, lnk, vbs, com)
# excessao para o site do hotmail e extensao .com, ja que eh utilizada
# pelo script de verificacao de antivirus... o que gerava falso alerta
acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$ \.com$
acl worm_excessoes_ext url_regex -i \.com$
acl worm_excessoes dstdom_regex "/etc/squid_worm_excessoes.txt"
deny_info http://192.168.0.254/intranet/worm.htm blockext
http_access allow worm_excessoes worm_excessoes_ext
http_access deny blockext
Resumindo, qualquer tentativa de download de extensões scr, bat, etc serão
bloqueadas, exceto sites no squid_worm_excessoes.txt. Isso funciona
perfeitamente,
qualquer tentativa de download de scr é bloqueada... mas hoje recebi um
email que enganou essa proteção e é feito o download do artefato com
extensão .scr.
Veja a url:
http://www.bgrm.net/images/img.php?id=img_16248.jpg
Observei que na verdade esse parâmetro id com o jpg é só para desviar a
atenção, na verdade é executado o img.php, que não sei como gera um arquivo
.scr (que não aparece no log do squid, ou seja, não é um redirect) e é
baixado sem nenhum bloqueio...
Alguma sugestão de como bloqueio isso pelo squid?
De qualquer forma já enviei o link para o projeto malware, meu antivirus não
detectou o worm (kaspersky), já enviei também para eles analisarem junto com
o relatório do site virustotal.com (alguns antivirus detectam esse worm).
Mensagem do Lao
acertei na mosca com o content-disposition:
$ telnet www.bgrm.net 80
Trying 200.162.196.233...
Connected to www.bgrm.net.
Escape character is '^]'.
HEAD /images/img.php?id=img_16248.jpg HTTP/1.0
host: www.bgrm.net
HTTP/1.1 200 OK
Date: Wed, 20 Jun 2007 18:50:43 GMT
Server: Apache
X-Powered-By: PHP/4.4.6
Pragma: public
Expires: 0
Cache-Control: must-revalidate, post-check=0, pre-check=0
Cache-Control: private
Content-Transfer-Encoding: binary
Content-Disposition: attachment; filename="img_16248.scr";
Connection: close
Content-Type: application/octet-stream
e a mensagem do Federico
nem tudo que reluz é ouro!
January 4th, 2006 at 12:52 am
acl blocked_contdisp rep_header Content-Disposition -i \.wmf
http_reply_access deny blocked_contdisp
http_reply_access allow all