Давайте попытаемся найти общие черты у всех экземпляров этой инфекции. Заголовки формируются вирусом, а это самое главное. Вполне возможно, что все нижеприведенные отличия автор внедрил нарочно, дабы фильтровать свое же детище и не получить его однажды по почте. :)

Это дамп небольшого участка из тела вируса:

00011F8A: FF FF 32 00 00 00 58 2D 4D 61 69 6C 65 72 3A 20 Ѓ__2...X-Mailer:
00011F9A: 4D 69 63 72 6F 73 6F 66 74 20 4F 75 74 6C 6F 6F ЃMicrosoft Outloo
00011FAA: 6B 20 45 78 70 72 65 73 73 20 35 2E 35 30 2E 34 ЃkExpress 5.50.4
00011FBA: 31 33 33 2E 32 34 30 30 00 00 FF FF FF FF 38 00 Ѓ133.2400..____8.
00011FCA: 00 00 58 2D 4D 49 4D 45 4F 4C 45 3A 20 50 72 6F Ѓ..X-MIMEOLE: Pro
00011FDA: 64 75 63 65 64 20 42 79 20 4D 69 63 72 6F 73 6F Ѓduced By Microso
00011FEA: 66 74 20 4D 69 6D 65 4F 4C 45 20 56 35 2E 35 30 ЃftMimeOLE V5.50
00011FFA: 2E 34 31 33 33 2E 32 34 30 30 00 00 00 00 FF FF Ѓ.4133.2400....__
0001200A: FF FF 11 00 00 00 4D 49 4D 45 2D 56 65 72 73 69 Ѓ__....MIME-Versi
0001201A: 6F 6E 3A 20 31 2E 30 00 00 00 FF FF FF FF 06 00 Ѓon:1.0...____..

Обратите внимание на строки справа.

А это пример заголовков инфицированного письма (лишнее отбросим):

From: "Frolov"<Frolov@pavbank.donpac.ru>
To: question@delphikingdom.com
Subject: physct
date: Mon, 23 Jul 2001 08:41:51 +0400
MIME-Version: 1.0
X-MIMEOLE: Produced By Microsoft MimeOLE V5.50.4133.2400
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
Content-Type: multipart/mixed;
boundary="----49192664_Outlook_Express_message_boundary"
Content-Disposition: Multipart message

Остальные заголовки устроены аналогично, не будем на них отвлекаться :). Итак, что же в этом письме уникального?

1. Поле с именем отправителя (нет пробела между именем отправителя и его адресом.
2. Поле date, так как оно написано с маленькой буквы.
3. Поле X-MIMEOLE, так как регистр в нем тоже своеобразный (Аутлук ставит X-MimeOLE). Разница очевидна.
4. Все копии инфицированных сообщений отправлены программой Microsoft Outlook Express 5.50.4133.2400. Это важно, так как отправителей могут быть любые версии почтовых клиентов, а вирус принудительно ставит в заголовки именно эту программу и именно эту версию.
   Ее номер ставится дважды - в полях X-MIMEOLE и X-Mailer.
5. Поле Content-Type. Оно содержит multipart/mixed, в то время как обычный Аутлук той же версии ставит multipart/alternative.
6. Сепаратор нескольких частей письма. Сравните варианты его написания, сделанные вирусом и все той же версией Аутлука.
   
   Вирус:  ----49192664_Outlook_Express_message_boundary
   Аутлук: ----=_NextPart_000_0041_01C0AB17.5CC5FA90
7. Поле Content-Disposition: Multipart message. У Аутлука той же версии такого в заголовках нет.
8. Сам принцип написания Content-Type. Аутлук начинает слово boundary с новой строки, а вирус пишет все в одну строчку.

Все это проверено на 50-ти Аутлуковских письмах этой версии. Больше у меня нету, не бейте. :).

Теперь самое главное... Как мы все это сможем использовать? Пройдемся заново по всем пунктам.

1 - несущественно. Отбросим.

2 и 3 - без соблюдения регистра символов эти особенности абсолютно бесполезны, а соблюдать его в сигнальных строках Selective Download у меня не получилось.

Такое ощущение, что Мышка в любом случае не обращает внимание на регистр символов. Кто знает, как заставить ее сменить точку зрения, просьба опровергнуть.

При загрузке заголовков, в процессе обработки правил Selective Download Мышь не показывает это поле как часть заголовка. Следовательно, можем спокойно начхать и на этот пункт.

8 - бррр... Забудем об этом.

Что имеем в итоге? Внимание.

1. Создаем новое правило в Selective Download
2. Ставим вот эти сигнальные строки:
   
   X-MIMEOLE: Produced By Microsoft MimeOLE V5.50.4133.2400
   X-Mailer: Microsoft Outlook Express 5.50.4133.2400
   Content-Type: multipart/mixed
   Outlook_Express_message_boundary
   
   Я все-таки решил добавить X-MIMEOLE. Чем больше вероятных условий, тем меньше вероятность того, что мы угробим что-нибудь ценное. :)
3. Отмечаем эти опции:
   
   Rule - Detect by - Entire header
   Правила - Определять по - Заголовкам
   
   Advanced - Detection method - All strings must match
   Дополнительно - Метод определения - Все строки должны быть найдены
4. Всё.

С учетом того, что Аутлук той же версии формирует заголовки иначе, можно смело утверждать, что в 99.9% эта методика сработает.

A.P.$lasH