いいじまです。

小金丸さんのフィルタ、厳しすぎるような…spam がなくなるなら false alarm
もおかまいなし、記事の欠落も気にしない、という態度がありありと見えます。

それはさておき、建設的な話をしましょう。

> それで、SpamCheck に W32.Swen.A@mm ワームのチェックを追加しました。
> 
> 判断方法はファイルサイズが 140000 バイト以上で、本体に
> /"Month YYYY, Cumulative Patch" update/ か
> /"Month YYYY, Cumulative Patch" update/ か
> /"Month YYYY, Cumulative Patch" update/ が含まれいることです。
> 条件に一致すれば、日本語シーケンスが含まれている、いないに関わらず
> 全て spam として処理されます。

Month YYYY の部分は小金丸さん自身に届かないと困るのでいじりました。
実際、この部分の年月はコロコロ変わります。
SWEN の先祖が流行ったときは April 2003 と書いてあったような。

私の場合は、本文中に正規表現で

^this is the latest version of security update, the
^"[a-z]+ [0-9]+, Cumulative Patch" update which
^(all )?known security vulnerabilities affecting

の3つの文字列(フィルタ対策のため一部全角にしていますが実際は全部半角;
大文字小文字不問指定)を順不同で含むものを SWEN としています。
#「この順で含む」と書きたいのですが、Procmail にその機能がないのです。

もうひとつ、SWEN には、MS からのパッチを装うものとは別に、メールサーバー
からの返信を装い、かつ、OE の古いセキュリティホール(当然、最新版では既に
つぶされています)をついて、メールを開いただけで感染するタイプのものも
あります。

こちらは、
http://www.ht.sakura.ne.jp/~delmonta/anmerkungen/.procmailrc
の fake-audio のところを参照してください。

これは、私は回りくどい書き方をしてますけど、
^Content-Type: audio/.*filename=.*(com|exe|pif|scr|bat)"
の一発で大半が落とせるかも知れません。

========================================================================
飯嶋 浩光 / でるもんた・いいじま   http://www.ht.sakura.ne.jp/~delmonta/
IIJIMA Hiromitsu, aka Delmonta           mailto:delmonta@ht.sakura.ne.jp