análisis de tipo de archivo EML

Navega tus respuestas
0

Estoy trabajando para encontrar puntos de infección en el formato de archivo EML. ¿Quiere saber por qué motivos un escáner declara que un correo electrónico es spam o un archivo adjunto como malicioso?

Quiero decir, ¿escanea por contenido MIME o cualquier otro puntero? ¿Es detectable el contenido malicioso solo por el tipo de archivo / contenido MIME? ¿Cómo se escanea el archivo adjunto?

Había puesto la cadena de prueba EICAR en un cheque contra el escaneo de ESET para detectar que era malicioso, pero el archivo salió limpio, mientras que todos los antivirus estándar declaran que el EICAR es una prueba antivirus o algo así.

    
pregunta rhym1n 14.08.2017 - 13:33
fuente

1 respuesta

2

La detección de spam y malware en los archivos de correo se realiza con una variedad de técnicas. Para darle una idea de las técnicas y heurísticas involucradas aquí hay algunos ejemplos. Tenga en cuenta que estos ejemplos están lejos de ser una lista completa:

  • Información sobre la ruta de entrega en el encabezado del correo, es decir, encabezado Received . Se pueden usar para extraer la dirección IP del remitente y verificar las listas negras. También encabezados DKIM-Signature y Received-SPF , temas típicos de spam o similares.
  • El tipo y la estructura de los archivos adjuntos, es decir, un archivo ZIP con un archivo * .js en su interior suele ser malware. Un archivo HTML con Javascript es a menudo phishing. Office documentado incrustado en PDF suele ser malware también, etc.
  • El contenido de los archivos adjuntos controlados por un antivirus, es decir, verifica las macros en documentos de Word o similares.
  • Enlaces incluidos en el correo que se refieren a sitios de phishing.
  • Comparación con correos previamente clasificados, es decir, similitud con el spam, phishing o malware conocido.
  • ...

Tenga en cuenta que la mayoría de estos son solo heurísticas. Esto significa que incluso si algunas funciones son muy típicas del spam o el phishing, a veces también pueden aparecer en correos electrónicos inocentes. Por lo tanto, siempre existe la posibilidad de que una detección sea en realidad un falso positivo, es decir, algo inocente detectado como malo. De manera similar, siempre existe la posibilidad de que algo malo no se detecte y se considere inocente (falso negativo).

    
respondido por el Steffen Ullrich 14.08.2017 - 15:33
fuente

Lea otras preguntas en las etiquetas

La mejor y más segura forma de hacer un protocolo de autenticación entre el servicio web Restfull y el cliente Android Autenticación basada en notificaciones para iniciar sesión en un dispositivo