Crear un patron de Phishing para ClamAV

- tomar algunas cadenas del BODY del mail. En el caso del Phishing del Banco Estado, tomar algunas cadenitas al azar. Como por ejemplo, las primeras : "informan nuestros registros"... y convertir la cadena en minusculas a hexa:

696E666F726D616E206E75657374726F73207
26567697374726F7320696E666F726D

- tomar una segunda cadena, ojala a no menos de 50 o 100 caracteres de la cadena original y hacer el mismo enjuague:

"han sido efectuados"...

61636365736F732061207375206375656E7461

y asi sucesivamente.

- crear un archivo en el directorio de clamav (algunas distros /var/lib/clamav) llamado phishing.ndb donde tenga lo siguiente

idPhishing:3:*:cadenas en hexa separadas con {-50}

en mi caso

Html.Phishing.Pay.Bancoestado.06013000:3:*:696E666F726D616E206E75657374726F73207
26567697374726F7320696E666F726D{-50}
61636365736F732061207375206375656E7461{-50}
6469666572656E74657320646972656363696F6E65732069

Y prueben algun mail de phishing con

clamscan archivo.html

Y listoco. Clamav lo pilla de una!

-bash-3.1$ clamscan tests/test2.html
tests/test2.html: Html.Phishing.Pay.Bancoestado.06013000 FOUND