[linux-l] RFCs und Vorschlaege...
Oliver Bandel
oliver at first.in-berlin.de
So Okt 5 00:39:06 CEST 2003
On Sat, Oct 04, 2003 at 10:33:47PM +0200, Steffen Dettmer wrote:
> * Oliver Bandel wrote on Sat, Oct 04, 2003 at 20:50 +0200:
> > On Sat, Oct 04, 2003 at 05:55:54PM +0200, Steffen Dettmer wrote:
> > > * Oliver Bandel wrote on Thu, Oct 02, 2003 at 16:52 +0200:
>
> > > > S.o.: Eindeutige Identifizierung vom Wurm-/Viren-Krempel bei
> > > > destruktiven Ansinnen,
> > >
> > > Na gut, gerade die kriegt man so nicht.
> > Zur Zeit geht da gerade so ein blöder Wurm umher,
> [...]
> > Alle hatten unterschiedliche Boundary-Namen im Attachement,
> > da war jede Mail unterschiedlich.
>
> ... weil es eben keine MD5 Datenbanken gibt, reicht das aus, ja.
>
> > Aber das, was ZWISCHEN den BOundaries steht, also das _EIGENTLICHE_,
> > das _NETTO_ Attachement, also die reinen Daten, die nach uudecode
> > bzw. mimedecode in Binäre Daten umgewandelt werden würden, die waren
> > sehr leicht zu identifizieren.
>
> Dann müßte aber auch jeder Billig-Pattern-Scanner von
> Antivirus-Software das Teil erkennen und überhaupt nicht weiter
> verwenden. Erkennt man ja ganz ohne MD5 Summe :-)
>
> > Diese Daten können eben _NICHT_ zufällig verändert werden, denn
> > dann funktioniert das Würmchen ja nicht mehr, weil's ihm selbst
> > an die Substanz geht.
>
> Natürlich kann man da einfach 8 Byte Zufallszahl ranhängen (oder
> reinbauen). Ranhängen geht vermutlich sogar, ohne den Wurmcode zu
> ändern, jedenfalls sollte das bei .exe und ELF kein Problem sein:
>
>
> steffen at diva:/misc/home/steffen> ( cat /bin/date ; echo "1234567" ) > ./date2
> steffen at diva:/misc/home/steffen> md5sum /bin/date ./date2
> c9aeda3392431cc34911fb5e03bec67e /bin/date
> 69becf5900922300377658f5e7dc1d54 ./date2
>
> ... und es funktioniert trotzdem:
>
> steffen at diva:/misc/home/steffen> chmod +x ./date2
> steffen at diva:/misc/home/steffen> ./date2
> Sam Okt 4 22:29:04 CEST 2003
Du mogelst. ;-)
Denn anders rum klappt es eben nicht:
( echo "1234567" ; cat /bin/date ) > ./date2
chmod usw.
dann :/date2 ausführen...
...das bringt bullshit auf den Schirm, denn dann ist der ELF-Header
verkorkst!
Und bei Windows-Programmen wird auch der Header vorne sein.
Dann testet man den Anfang der Datei. ist also durchaus sinnvoll,
nicht die gesamten Attachements abzugrasen, sonder die ersten paar
Zeilen.
>
> > Wenn man also seinen Kopf zum Denken benutzt, dann kann man sehr wohl
> > Erkennen, was da kommt.
>
> :-) Darf ich das jetzt zurückgeben?
Nehme ich nicht an, danke.
SPAM BLOCKED ! :)
Ciao,
Oliver
Mehr Informationen über die Mailingliste linux-l