[linux-l] RFCs und Vorschlaege...
Oliver Bandel
oliver at first.in-berlin.de
Sa Okt 4 20:50:04 CEST 2003
On Sat, Oct 04, 2003 at 05:55:54PM +0200, Steffen Dettmer wrote:
> * Oliver Bandel wrote on Thu, Oct 02, 2003 at 16:52 +0200:
> > On Wed, Oct 01, 2003 at 10:31:06AM +0200, Steffen Dettmer wrote:
> > > * Oliver Bandel wrote on Tue, Sep 30, 2003 at 14:29 +0200:
> > > > Aber eine Liste einschlägiger Body-md5sum's vorzuhalten dürfte
> > > > trivial und gut handlebar sein. (Evtl. auch md5sum nur auf
> > > > möglicherweise mitgeschickte Attachements).
> > >
> > > Oft steht ja ein "Dear <recipient>" am Anfang, damit ist die
> > > Prüfsumme stets anders. Ein Zufallswort reicht ja schon aus, das
> > > zu umgehen.
> >
> > Naja, ok, dann müsste man die md5sum's auf das "eigentliche" Attachement
> > anwenden, also z.B. nur das MIME-zeugs etc., das letztlich in Binaries
> > umgewandelt wird.
[...]
> > S.o.: Eindeutige Identifizierung vom Wurm-/Viren-Krempel bei
> > destruktiven Ansinnen,
>
> Na gut, gerade die kriegt man so nicht.
Aaaalso.
Zur Zeit geht da gerade so ein blöder Wurm umher, seit ca.
2 Wochen bekomme ich dauernd Wurmmails, mehrere hundert am Tag
waren es anfangs, jeweils ca. 150 kB groß. Mittlerweile wohl
etwas weniger, aber immernoch nervig.
Alle hatten unterschiedliche Boundary-Namen im Attachement,
da war jede Mail unterschiedlich.
Aber das, was ZWISCHEN den BOundaries steht, also das _EIGENTLICHE_,
das _NETTO_ Attachement, also die reinen Daten, die nach uudecode
bzw. mimedecode in Binäre Daten umgewandelt werden würden, die waren
sehr leicht zu identifizieren.
Folgende Subjects sind in diesen Mails (22 Mails)
SUBJECT: undelivered mail: user unknown
SUBJECT: Failure Advice
SUBJECT: Error Notice
SUBJECT: new net pack
SUBJECT: undeliverable message user unknown
SUBJECT: New Internet Critical Upgrade
SUBJECT: Bug Letter
SUBJECT: Undelivered Mail: User unknown
SUBJECT: undeliverable message: returned to mailer
SUBJECT: Returned Message: Returned To Mailer
SUBJECT: new critical update
SUBJECT: Error Announcement
SUBJECT: Last Network Critical Patch
SUBJECT: bug announcement
SUBJECT: Critical Pack
SUBJECT: Last Network Critical Pack
SUBJECT: Newest Net Security Upgrade
SUBJECT:
SUBJECT: Latest Microsoft Critical Upgrade
SUBJECT: Last Security Upgrade
SUBJECT: Abort Message
SUBJECT: Undeliverable Message: Returned To Mailer
Ich habe die puren Attachement-Daten aus den Mails
heraus gepult (Danke, Perl ;-)).
Folgendes hatte ich dann in meinem Arbeits-Verzeichnis:
total 3368
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0000
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0001
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0002
-rw-r--r-- 1 oliver oliver 4851 28. Sep 02:09 attachement.0003
-rw-r--r-- 1 oliver oliver 462 28. Sep 02:09 attachement.0004
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0005
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0006
-rw-r--r-- 1 oliver oliver 4851 28. Sep 02:09 attachement.0007
-rw-r--r-- 1 oliver oliver 462 28. Sep 02:09 attachement.0008
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0009
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0010
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0011
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0012
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0013
-rw-r--r-- 1 oliver oliver 4851 28. Sep 02:09 attachement.0014
-rw-r--r-- 1 oliver oliver 462 28. Sep 02:09 attachement.0015
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0016
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0017
-rw-r--r-- 1 oliver oliver 4851 28. Sep 02:09 attachement.0018
-rw-r--r-- 1 oliver oliver 462 28. Sep 02:09 attachement.0019
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0020
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0021
-rw-r--r-- 1 oliver oliver 4851 28. Sep 02:09 attachement.0022
-rw-r--r-- 1 oliver oliver 462 28. Sep 02:09 attachement.0023
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0024
-rw-r--r-- 1 oliver oliver 4851 28. Sep 02:09 attachement.0025
-rw-r--r-- 1 oliver oliver 462 28. Sep 02:09 attachement.0026
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0027
-rw-r--r-- 1 oliver oliver 4851 28. Sep 02:09 attachement.0028
-rw-r--r-- 1 oliver oliver 462 28. Sep 02:09 attachement.0029
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0030
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0031
-rw-r--r-- 1 oliver oliver 4851 28. Sep 02:09 attachement.0032
-rw-r--r-- 1 oliver oliver 462 28. Sep 02:09 attachement.0033
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0034
-rw-r--r-- 1 oliver oliver 4851 28. Sep 02:09 attachement.0035
-rw-r--r-- 1 oliver oliver 462 28. Sep 02:09 attachement.0036
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0037
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0038
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0039
-rw-r--r-- 1 oliver oliver 2040 28. Sep 02:10 LISTE
-rw-r--r-- 1 oliver oliver 0 28. Sep 02:11 LS-L
md5sum|sort auf die Files:
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0000
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0001
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0002
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0005
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0006
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0009
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0010
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0011
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0012
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0013
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0016
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0017
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0020
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0021
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0024
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0027
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0030
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0031
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0034
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0037
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0038
a9356d1cd0c9ed43d5b86b152f3dfe87 attachement.0039
daacd465b27ba4442180a295201b0288 attachement.0003
daacd465b27ba4442180a295201b0288 attachement.0007
daacd465b27ba4442180a295201b0288 attachement.0014
daacd465b27ba4442180a295201b0288 attachement.0018
daacd465b27ba4442180a295201b0288 attachement.0022
daacd465b27ba4442180a295201b0288 attachement.0025
daacd465b27ba4442180a295201b0288 attachement.0028
daacd465b27ba4442180a295201b0288 attachement.0032
daacd465b27ba4442180a295201b0288 attachement.0035
f7107938afda95959ebeac3afe75c64f attachement.0004
f7107938afda95959ebeac3afe75c64f attachement.0008
f7107938afda95959ebeac3afe75c64f attachement.0015
f7107938afda95959ebeac3afe75c64f attachement.0019
f7107938afda95959ebeac3afe75c64f attachement.0023
f7107938afda95959ebeac3afe75c64f attachement.0026
f7107938afda95959ebeac3afe75c64f attachement.0029
f7107938afda95959ebeac3afe75c64f attachement.0033
f7107938afda95959ebeac3afe75c64f attachement.0036
Man sieht schon recht schnell, daß es da nur drei Typen gibt.
Nach dem entfernen der überflüssigen Dateien, also nach Entfernen
von Dateien gleichen Inhalts bis auf ein Exemplar blieb über:
total 168
-rw-r--r-- 1 oliver oliver 143836 28. Sep 02:09 attachement.0000
-rw-r--r-- 1 oliver oliver 4851 28. Sep 02:09 attachement.0003
-rw-r--r-- 1 oliver oliver 462 28. Sep 02:09 attachement.0004
-rw-r--r-- 1 oliver oliver 2040 28. Sep 02:10 LISTE
-rw-r--r-- 1 oliver oliver 3096 28. Sep 02:11 LS-L
-rw-r--r-- 1 oliver oliver 0 28. Sep 02:11 LS-L.Unique
Es sind also immer die selben Netto-Attachements trotz dauernd
wechselnder Boundary-Bezeichner.
Und die ersten fünf zeilen dieser Viecher sehen so aus:
==> attachement.0000 <==
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAA2AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v
ZGUuDQ0KJAAAAAAAAAB+i6hSOurGATrqxgE66sYBQfbKATvqxgG59sgBLerGAdL1zAEA6sYBWPXV
ASvqxgE66scBnurGAdL1zQEx6sYBguzAATvqxgFSaWNoOurGAQAAAAAAAAAAUEUAAEwBBABwy2E/
AAAAAAAAAADgAA8BCwEGAADQAAAAQAEAAAAAAIWuAAAAEAAAAOAAAAAAQAAAEAAAABAAAAQAAAAA
==> attachement.0003 <==
R0lGODlhaAA7APcAAP///+rp6puSp6GZrDUjUUc6Zn53mFJMdbGvvVtXh2xre8bF1x8cU4yLprOy
zIGArlZWu25ux319xWpqnnNzppaWy46OvKKizZqavLa2176+283N5sfH34uLmpKSoNvb7c7O3L29
yqOjrtTU4crK1Nvb5erq9O/v+O7u99PT2sbGzePj6vLy99jY3Pv7/vb2+fn5++/v8Kqr0oWHuNbX
55SVoszN28vM2pGUr7S1vqqtv52frOPl8CQvaquz2Ojp7pmn3Ozu83OPzmmT6F1/xo6Voh9p2C5z
3EWC31mS40Zxr4uw6LXN8iZkuXmn55q97PH2/Yir1rbL5iVTh3Oj2cvX5Pv9/+/w8QF8606h62Wk
==> attachement.0004 <==
R0lGODlhDAAMANUAAP////f3//f39+/v9+/v797m987W787W5sXW5rXF76295qW975y175St75St
3pSlzoyl1oSl5oylzoycxXOU3nOMxWOM5mOM3mOE1lqE3mOEvVKE1lp7xVJ71lJ7zlJ7xVJ7vUp7
zkpzzkpzxVJzrUprvUJrxUJrvUJjtTpjtTpjrTparTpapQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACwAAAAADAAMAAAIjAABAAhwwMGFCxAQ
CACwkICDDBYSLGjQwQEBhg8zDBAIYIEIBwIQdLjAoOOFgSFMIICwIUMEAxQwCBxhAgKHDh5C6DQA
Diese Daten können eben _NICHT_ zufällig verändert werden, denn
dann funktioniert das Würmchen ja nicht mehr, weil's ihm selbst
an die Substanz geht.
Hat man eine md5sum auf die NETTO-Attachments, also die eigentlichen
Daten, die verschickt werden, dann hat man sehr wohl einen
Anhaltspunkt.
Wenn man also seinen Kopf zum Denken benutzt, dann kann man sehr wohl
Erkennen, was da kommt.
Ciao,
Oliver
Mehr Informationen über die Mailingliste linux-l