add rules for trailing ID in spam
authorDon Armstrong <don@donarmstrong.com>
Sat, 5 Nov 2016 23:58:45 +0000 (16:58 -0700)
committerDon Armstrong <don@donarmstrong.com>
Sat, 5 Nov 2016 23:58:45 +0000 (16:58 -0700)
common/virus_spam

index 151b21d..3654cb1 100644 (file)
@@ -95,10 +95,15 @@ describe XEROX  Scanner malware
 score XEROX     4
 
 # don 2016-11-04
-header FEDEXPACKAGE subject=~/FedEx International|unable to deliver.*(item|parcel)/i
+header FEDEXPACKAGE subject=~/FedEx International|(unable to deliver|problem with).*(item|parcel)|shipment delivery problem|delivery notification/i
 describe FEDEXPACKAGE Fedex Package Virus spam
 score FEDEXPACKAGE 4
 
-meta FEDEX_ZIP FEDEXPACKAGE && ZIPCOMPRESSED
+#don 2016-11-04
+header SHIPPING_ID subject =~ /(ID:?|ID|\#)\s*\d{8,}\s*$/
+describe SHIPPING_ID Contains a long ID number at the end
+score SHIPPING_ID 3
+
+meta FEDEX_ZIP (FEDEXPACKAGE || SHIPPING_ID ) && ZIPCOMPRESSED
 describe FEDEX_ZIP Fedex package with zip file
 score FEDEX_ZIP 3