

<br><font size=2 face="sans-serif">Hi,</font>

<br>

<br><font size=2 face="sans-serif">Thanks to all who helped me with the

obfuscated spam words - implementing my own rules now</font>

<br><font size=2 face="sans-serif">works like a charm.</font>

<br>

<br><font size=2 face="sans-serif">Kind regards,<br>

<br>

David Jacobson<br>

Network Security Administrator<br>

RHCE<br>

<br>

Imperial Online - The Imperial Connection<br>

<br>

Switchboard (+27) 11 723-8000<br>

Helpdesk (+27) 11 723-8181<br>

Mobile &nbsp;(+27) 83 235-0760<br>

Facsimile (+27) 11 454 1236 <br>

Email &nbsp;davidj@impol.net<br>

<br>

www.imperialonline.co.za / www.imperialtoday.co.za<br>

<br>

Confidentiality Notice:<br>

This communication and the information it contains are intended for the

person(s) or organisation(s) named above and for no other person(s) or

organisation(s). <br>

The content of this communication may be confidential, legally privileged

and protected. Unauthorised use, copying or disclosure of any part of this

communication may be unlawful.</font>

<br>

<br>

<br>

<table width=100%>

<tr valign=top>

<td width=40%><font size=1 face="sans-serif"><b>Martin Hepworth &lt;martinh@SOLID-STATE-LOGIC.COM&gt;</b>

</font>

<br><font size=1 face="sans-serif">Sent by: MailScanner mailing list &lt;MAILSCANNER@JISCMAIL.AC.UK&gt;</font>

<p><font size=1 face="sans-serif">02/20/2004 11:57 AM</font>

<table border>

<tr valign=top>

<td bgcolor=white>

<div align=center><font size=1 face="sans-serif">Please respond to<br>

MailScanner mailing list &lt;MAILSCANNER@JISCMAIL.AC.UK&gt;</font></div></table>

<br>

<td width=59%>

<table width=100%>

<tr>

<td>

<div align=right><font size=1 face="sans-serif">To</font></div>

<td valign=top><font size=1 face="sans-serif">MAILSCANNER@JISCMAIL.AC.UK</font>

<tr>

<td>

<div align=right><font size=1 face="sans-serif">cc</font></div>

<td valign=top>

<tr>

<td>

<div align=right><font size=1 face="sans-serif">Subject</font></div>

<td valign=top><font size=1 face="sans-serif">Re: Wierd words for spam

filter</font></table>

<br>

<table>

<tr valign=top>

<td>

<td></table>

<br></table>

<br>

<br>

<br><font size=2><tt>david<br>

<br>

try the antidrug ruleset at<br>

http://mywebpages.comcast.net/mkettler/sa/antidrug.cf<br>

<br>

having said that I'm running it and it didn't trigger it, but this rule<br>

did...<br>

<br>

# Created using Chris's Mediocre Obfuscation Script Version 0.00.0.0001h<br>

# http://sandgnat.com/cmos/<br>

#<br>

<br>

header LOCAL_OBFU_VGR_SUBJ Subject =~<br>

/(?:\b[vu]|\B(?:\\\/|\xCE\xBD))[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[il1:\|\*\xCC-\xCF\xEC-\xEF\xA6]|\xC4[\xA8-\xB0]|\xC4\xBA|\xC4\xBC|\xC4\xBE|\xC5\x80|\xC5\x82|\xC7[\x8F-\x90]|\xD0[\x86-\x87]|\xD1[\x96-\x97]|\xCE\x8A|\xCE\x90|\xCE\x99|\xCE\xAA|\xCE\xAF|\xCE\xB9|\xCF\x8A)[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[a4\*\@\xC0-\xC5\xAA\xE0-\xE5]|\/\\|\xC4[\x80-\x85]|\xC7[\x8D-\x8E]|\xC7[\xBA-\xBB]|\xCE\x86|\xCE\x91|\xCE\x94|\xCE\x9B|\xCE\xAC|\xCE\xB1|\xD0\x90|\xD0\xB0)[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[g6]|\xC4[\x9C-\xA3]])[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[r\xAE]|\xC5[\x94-\x99]|\xD1\x93)[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[a4]\b|(?:[\*\@\xC0-\xC5\xAA\xE0-\xE5]|\/\\|\xC4[\x80-\x85]|\xC7[\x8D-\x8E]|\xC7[\xBA-\xBB]|\xCE\x86|\xCE\x91|\xCE\x94|\xCE\x9B|\xCE\xAC|\xCE\!

x<br>

B1|\xD0\x90|\xD0\xB0)\B)/i<br>

score LOCAL_OBFU_VGR_SUBJ 2.6<br>

describe LOCAL_OBFU_VGR_SUBJ Obfuscated 'viagra' in subject<br>

<br>

body LOCAL_OBFU_VGR<br>

/(?:\b[vu]|\B(?:\\\/|\xCE\xBD))[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[il1:\|\*\xCC-\xCF\xEC-\xEF\xA6]|\xC4[\xA8-\xB0]|\xC4\xBA|\xC4\xBC|\xC4\xBE|\xC5\x80|\xC5\x82|\xC7[\x8F-\x90]|\xD0[\x86-\x87]|\xD1[\x96-\x97]|\xCE\x8A|\xCE\x90|\xCE\x99|\xCE\xAA|\xCE\xAF|\xCE\xB9|\xCF\x8A)[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[a4\*\@\xC0-\xC5\xAA\xE0-\xE5]|\/\\|\xC4[\x80-\x85]|\xC7[\x8D-\x8E]|\xC7[\xBA-\xBB]|\xCE\x86|\xCE\x91|\xCE\x94|\xCE\x9B|\xCE\xAC|\xCE\xB1|\xD0\x90|\xD0\xB0)[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[g6]|\xC4[\x9C-\xA3]])[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[r\xAE]|\xC5[\x94-\x99]|\xD1\x93)[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[a4]\b|(?:[\*\@\xC0-\xC5\xAA\xE0-\xE5]|\/\\|\xC4[\x80-\x85]|\xC7[\x8D-\x8E]|\xC7[\xBA-\xBB]|\xCE\x86|\xCE\x91|\xCE\x94|\xCE\x9B|\xCE\xAC|\xCE\!

x<br>

B1|\xD0\x90|\xD0\xB0)\B)/i<br>

score LOCAL_OBFU_VGR 1.8<br>

describe LOCAL_OBFU_VGR Obfuscated 'viagra' in body<br>

xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[r\xAE]|\xC5[\x94-\x99]|\xD1\x93)[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[a4]\b|(?:[\*\@\xC0-\xC5\xAA\xE0-\xE5]|\/\\|\xC4[\x80-\x85]|\xC7[\x8D-\x8E]|\xC7[\xBA-\xBB]|\xCE\x86|\xCE\x91|\xCE\x94|\xCE\x9B|\xCE\xAC|\xCE\xB1|\xD0\x90|\xD0\xB0)\B)/i<br>

score LOCAL_OBFU_VGR_SUBJ 2.6<br>

describe LOCAL_OBFU_VGR_SUBJ Obfuscated 'viagra' in subject<br>

<br>

<br>

body LOCAL_OBFU_VGR<br>

/(?:\b[vu]|\B(?:\\\/|\xCE\xBD))[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[il1:\|\*\xCC-\xCF\xEC-\xEF\xA6]|\xC4[\xA8-\xB0]|\xC4\xBA|\xC4\xBC|\xC4\xBE|\xC5\x80|\xC5\x82|\xC7[\x8F-\x90]|\xD0[\x86-\x87]|\xD1[\x96-\x97]|\xCE\x8A|\xCE\x90|\xCE\x99|\xCE\xAA|\xCE\xAF|\xCE\xB9|\xCF\x8A)[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[a4\*\@\xC0-\xC5\xAA\xE0-\xE5]|\/\\|\xC4[\x80-\x85]|\xC7[\x8D-\x8E]|\xC7[\xBA-\xBB]|\xCE\x86|\xCE\x91|\xCE\x94|\xCE\x9B|\xCE\xAC|\xCE\xB1|\xD0\x90|\xD0\xB0)[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[g6]|\xC4[\x9C-\xA3]])[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[r\xAE]|\xC5[\x94-\x99]|\xD1\x93)[\x01-\x2F\\\^_`\|\x7F-\xA1\xA4-\xA8\xAB-\xAD\xAF-\xB1\xB4\xB7-\xBB\xBF\xF7]?(?:[a4]\b|(?:[\*\@\xC0-\xC5\xAA\xE0-\xE5]|\/\\|\xC4[\x80-\x85]|\xC7[\x8D-\x8E]|\xC7[\xBA-\xBB]|\xCE\x86|\xCE\x91|\xCE\x94|\xCE\x9B|\xCE\xAC|\xCE\!

x<br>

B1|\xD0\x90|\xD0\xB0)\B)/i<br>

score LOCAL_OBFU_VGR 1.8<br>

describe LOCAL_OBFU_VGR Obfuscated 'viagra' in body<br>

<br>

If you also add in the xanax and others as well (generated using Chris's<br>

 &nbsp;CGI scripts on his home page above) you should be able to trigger

a<br>

spam action.<br>

<br>

--<br>

Martin Hepworth<br>

Snr Systems Administrator<br>

Solid State Logic<br>

Tel: +44 (0)1865 842300<br>

<br>

<br>

David Jacobson wrote:<br>

&gt;<br>

&gt; Hi Again,<br>

&gt;<br>

&gt; I've got customers complaining that spam is coming through and when<br>

&gt; analyzing the e-mails<br>

&gt; I notice they're using words as follows:<br>

&gt;<br>

&gt; &nbsp;&lt;&lt;FWD: Need Meds Valiu+m+ $ v|agr@ % Xan_a_x _ At`|v@n

' Pnte.r.min - =<br>

&gt; Som+a+ &nbsp;gJe3w&gt;&gt; &nbsp;&lt;&lt;FWD: On sale V1Agr@ ; xan@x

' V.a.lium &amp; At|v:@n * =<br>

&gt; +Soma+ &lt; Pn.t.ermin fmRdI&gt;&gt; &nbsp;&lt;&lt;FWD: Everything

4 U /Xanax/ ' :V:alium # =<br>

&gt; v|@gRa ) A:t|v@n + .S.oma _ Pnter:m:in Q6bgh&gt;&gt; &nbsp;&lt;&lt;Re:

flanders&gt;&gt; &nbsp;=<br>

&gt; &lt;&lt;Re:&gt;&gt;=20<br>

&gt;<br>

&gt; which are not getting tagged, now everytime I try add special words

like<br>

&gt; that with pipes colons pluses etc<br>

&gt; it seems to break stuff and tag everything as spam, can someone give

me<br>

&gt; an example of how to add such<br>

&gt; words?<br>

&gt;<br>

&gt; Thanks<br>

&gt;<br>

&gt; Kind regards,<br>

&gt;<br>

&gt; David Jacobson<br>

&gt; Network Security Administrator<br>

&gt; RHCE<br>

&gt;<br>

&gt; Imperial Online - The Imperial Connection<br>

&gt;<br>

&gt; Switchboard (+27) 11 723-8000<br>

&gt; Helpdesk (+27) 11 723-8181<br>

&gt; Mobile &nbsp;(+27) 83 235-0760<br>

&gt; Facsimile (+27) 11 454 1236<br>

&gt; Email &nbsp;davidj@impol.net<br>

&gt;<br>

&gt; www.imperialonline.co.za / www.imperialtoday.co.za<br>

&gt;<br>

&gt; Confidentiality Notice:<br>

&gt; This communication and the information it contains are intended for

the<br>

&gt; person(s) or organisation(s) named above and for no other person(s)

or<br>

&gt; organisation(s).<br>

&gt; The content of this communication may be confidential, legally<br>

&gt; privileged and protected. Unauthorised use, copying or disclosure

of any<br>

&gt; part of this communication may be unlawful.<br>

<br>

**********************************************************************<br>

<br>

This email and any files transmitted with it are confidential and<br>

intended solely for the use of the individual or entity to whom they<br>

are addressed. If you have received this email in error please notify<br>

the system manager.<br>

<br>

This footnote confirms that this email message has been swept<br>

for the presence of computer viruses and is believed to be clean.<br>

<br>

**********************************************************************<br>

</tt></font>

<br>