3654cb10e85fc0f4ab74b1812c5361be716feb4a
[spamassassin_config.git] / common / virus_spam
1 # -*- mode: spamassassin -*-
2 # joy, 2003-08-15
3 rawbody PIC_GIF                 /^Content-ID: <pic\d*\.gif>/i
4 describe PIC_GIF                pic*.gif in attachment, common spam/virus
5 score PIC_GIF                   3
6
7 header POSSIBLEVIRUS    Subject =~ /\{Virus\?\} /
8 describe POSSIBLEVIRUS  possible or cleaned virus tag found in Subject
9 score POSSIBLEVIRUS     2
10
11 # cjwatson, 2003/09/22 2003/10/02
12 header AV_SCAN          Subject =~ /AntiVirus scan results/
13 describe AV_SCAN        virus fallout
14 score AV_SCAN           4
15
16 # cjwatson, 2003/09/24
17 body CORREO_TERRA       /Antivirus de Correo de Terra/
18 describe CORREO_TERRA   virus fallout
19 score CORREO_TERRA      2
20
21 # cjwatson, 2003/09/24
22 body WEBSHIELD          /Network Associates WebShield SMTP.*detected virus/
23 describe WEBSHIELD      virus fallout
24 score WEBSHIELD         3
25
26 # cjwatson, 2003/09/25, joy 2003-10-01
27 header AV_ALERT         Subject =~ /^(Anti)?Virus Alert/
28 describe AV_ALERT       virus fallout
29 score AV_ALERT          4.5
30
31 # cjwatson, 2003/09/29
32 body INFECTED_OBJ       /because contains an infected object/
33 describe INFECTED_OBJ   virus fallout
34 score INFECTED_OBJ      4
35
36 # joy, 2003-10-01
37 header AV_RESULTS       Subject =~ /AntiVirus scan results/i
38 describe AV_ALERT       anti-virus spam
39 score AV_ALERT          4
40
41 # cjwatson, 2004-01-27
42 header IOL_ALERTA       Subject =~ /IOL - ALERTA de Virus/
43 describe IOL_ALERTA     misdirected antivirus
44 score IOL_ALERTA        4
45
46 # blarson 2004-04-10
47 rawbody ZIPCOMPRESSED   /application\/x-zip-compressed/i
48 describe ZIPCOMPRESSED  zip compressed attachment
49 score ZIPCOMPRESSED     2
50
51 # blarson 2005-04-29
52 header MICROVIRUS       subject =~ /(?:Current|Latest|Newest|New) (?:Microsoft|Internet|Net) (?:Security|Critical)? ?(?:Patch|Pack|Update|Upgrade)/i
53 describe MICROVIRUS     microsoft email virus
54 score MICROVIRUS        4
55
56 # blarson 2006-11-21
57 rawbody AVGMAIL         /\b\-\-\=\=\=\=\=\=\=AVGMAIL/
58 describe AVGMAIL        avg virus claim
59 score AVGMAIL           3
60
61 # don 2007-06-25 blarson 2007-06-28
62 # This is %PDF-1.1 base64 encoded
63 full PDFATTACH          /JVBERi0xLjE/
64 describe PDFATTACH      PDF Attachment
65 score PDFATTACH         2               
66
67 # blarson 2007-06-29
68 header PDFNAME          subject =~ /\w\.pdf\b/i
69 describe PDFNAME        pdf spam
70 score PDFNAME           3.5
71
72 # blarson 2007-07-18
73 rawbody APPPDF          /\bContent-Type\:\s+application\/pdf/i
74 describe APPPDF         pdf attachment
75 score APPPDF            2
76
77 # blarson 2007-09-01
78 body NOVIR              /^No virus found in this incoming message\./
79 describe NOVIR          bogus no virus
80 score NOVIR             1
81
82 # blarson 2008-08-09
83 header ANTIGEN          subject=~/Antigen Notification/
84 describe ANTIGEN        Antigen Notification
85 score ANTIGEN           4
86
87 # cord 2010-05-04
88 body AUTOMATIC_MESSAGE  /This is an automat(ic|ed) message/i
89 describe AUTOMATIC_MESSAGE body indicates it is an automated message
90 score AUTOMATIC_MESSAGE 2.0
91
92 # formorer 2012-02-15
93 header XEROX    subject=~/Scan from a Xerox W./i
94 describe XEROX  Scanner malware
95 score XEROX     4
96
97 # don 2016-11-04
98 header FEDEXPACKAGE subject=~/FedEx International|(unable to deliver|problem with).*(item|parcel)|shipment delivery problem|delivery notification/i
99 describe FEDEXPACKAGE Fedex Package Virus spam
100 score FEDEXPACKAGE 4
101
102 #don 2016-11-04
103 header SHIPPING_ID subject =~ /(ID:?|ID|\#)\s*\d{8,}\s*$/
104 describe SHIPPING_ID Contains a long ID number at the end
105 score SHIPPING_ID 3
106
107 meta FEDEX_ZIP (FEDEXPACKAGE || SHIPPING_ID ) && ZIPCOMPRESSED
108 describe FEDEX_ZIP Fedex package with zip file
109 score FEDEX_ZIP 3