パターンアップしました-877
Trendmicroのパターンがアップしました。
パターン番号:877
イエローアラート:WORM_BAGLE.Z
Terminal
①以下のコマンドで、抽出する。
zcat log.2004.04.29.gz log.2004.04.28.gz > smtp-log
② grep -i "¥.COM" smtp-log |grep "contains no virus" > WORM_BAGLE.Z
grep -i "¥.CPL" smtp-log |grep "contains no virus" >> WORM_BAGLE.Z
grep -i "¥.EXE" smtp-log |grep "contains no virus" >> WORM_BAGLE.Z
grep -i "¥.HTA" smtp-log |grep "contains no virus" >> WORM_BAGLE.Z
grep -i "¥.SCR" smtp-log |grep "contains no virus" >> WORM_BAGLE.Z
grep -i "¥.VBS" smtp-log |grep "contains no virus" >> WORM_BAGLE.Z
grep -i "¥.ZIP" smtp-log |grep "contains no virus" >> WORM_BAGLE.ZExcel
①区切り文字スペースで、区切る。
②以下の関数で、検索分を作成する。
="grep -F """&C1&" "&D1& """ smtp-log >> WORM_BAGLE.Z_INFECTED"
結果例)grep -F "smtp¥[4814¥]: smtp¥[172¥]:" smtp-log >> WORM_BAGLE.Z_INFECTED
Terminal
①vi WORM_BAGLE.Z.shを作成する。
内容は、上記Excelにて作成した文字列
②実行する。
③以下のコマンドでFROMとTOを抽出する
cat WORM_BAGLE.Z_INFECTED | grep "mail delivered"