[linux-l] RFCs und Vorschlaege...

Steffen Dettmer steffen at dett.de
Sa Okt 4 22:33:47 CEST 2003 

* Oliver Bandel wrote on Sat, Oct 04, 2003 at 20:50 +0200:
> On Sat, Oct 04, 2003 at 05:55:54PM +0200, Steffen Dettmer wrote:
> > * Oliver Bandel wrote on Thu, Oct 02, 2003 at 16:52 +0200:

> > > S.o.: Eindeutige Identifizierung vom Wurm-/Viren-Krempel bei
> > > destruktiven Ansinnen, 
> > 
> > Na gut, gerade die kriegt man so nicht.
> Zur Zeit geht da gerade so ein blöder Wurm umher, 
 [...] 
> Alle hatten unterschiedliche Boundary-Namen im Attachement,
> da war jede Mail unterschiedlich.

... weil es eben keine MD5 Datenbanken gibt, reicht das aus, ja.

> Aber das, was ZWISCHEN den BOundaries steht, also das _EIGENTLICHE_,
> das _NETTO_ Attachement, also die reinen Daten, die nach uudecode
> bzw. mimedecode in Binäre Daten umgewandelt werden würden, die waren
> sehr leicht zu identifizieren.

Dann müßte aber auch jeder Billig-Pattern-Scanner von
Antivirus-Software das Teil erkennen und überhaupt nicht weiter
verwenden. Erkennt man ja ganz ohne MD5 Summe :-)

> Diese Daten können eben _NICHT_ zufällig verändert werden, denn
> dann funktioniert das Würmchen ja nicht mehr, weil's ihm selbst
> an die Substanz geht.

Natürlich kann man da einfach 8 Byte Zufallszahl ranhängen (oder
reinbauen). Ranhängen geht vermutlich sogar, ohne den Wurmcode zu
ändern, jedenfalls sollte das bei .exe und ELF kein Problem sein:


steffen at diva:/misc/home/steffen> ( cat /bin/date ; echo "1234567" ) > ./date2
steffen at diva:/misc/home/steffen> md5sum /bin/date ./date2 
c9aeda3392431cc34911fb5e03bec67e  /bin/date
69becf5900922300377658f5e7dc1d54  ./date2

... und es funktioniert trotzdem:

steffen at diva:/misc/home/steffen> chmod +x ./date2  
steffen at diva:/misc/home/steffen> ./date2 
Sam Okt  4 22:29:04 CEST 2003

> Wenn man also seinen Kopf zum Denken benutzt, dann kann man sehr wohl
> Erkennen, was da kommt.

:-) Darf ich das jetzt zurückgeben?

Jetzt kommst Du vermutlich damit, daß man ja nur die ersten 2 KB
prüfen muß - sollte ja schon recht eindeutig sein. Vielleicht
auch alles Blockweise, außer Anfang und Ende. Dabei guckt man
sich noch die Redundanz des jeweiligen Blockes an und sucht
zusätzlich bestimmte Sperrmuster. Ja? Prima, ich schätz mal, so
ungefähr arbeiten dann die Heuristiken der Virenscanner. 

Also einfach so ein Virenscanner in den NNTP installieren und
auch auf die Clients! Prima, gelöst! Nee, Moment - macht man ja
schon...  :-)

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.

Mehr Informationen über die Mailingliste linux-l