[linux-l] RFCs und Vorschlaege...

Oliver Bandel oliver at first.in-berlin.de
So Okt 5 00:39:06 CEST 2003


On Sat, Oct 04, 2003 at 10:33:47PM +0200, Steffen Dettmer wrote:
> * Oliver Bandel wrote on Sat, Oct 04, 2003 at 20:50 +0200:
> > On Sat, Oct 04, 2003 at 05:55:54PM +0200, Steffen Dettmer wrote:
> > > * Oliver Bandel wrote on Thu, Oct 02, 2003 at 16:52 +0200:
> 
> > > > S.o.: Eindeutige Identifizierung vom Wurm-/Viren-Krempel bei
> > > > destruktiven Ansinnen, 
> > > 
> > > Na gut, gerade die kriegt man so nicht.
> > Zur Zeit geht da gerade so ein blöder Wurm umher, 
>  [...] 
> > Alle hatten unterschiedliche Boundary-Namen im Attachement,
> > da war jede Mail unterschiedlich.
> 
> ... weil es eben keine MD5 Datenbanken gibt, reicht das aus, ja.
> 
> > Aber das, was ZWISCHEN den BOundaries steht, also das _EIGENTLICHE_,
> > das _NETTO_ Attachement, also die reinen Daten, die nach uudecode
> > bzw. mimedecode in Binäre Daten umgewandelt werden würden, die waren
> > sehr leicht zu identifizieren.
> 
> Dann müßte aber auch jeder Billig-Pattern-Scanner von
> Antivirus-Software das Teil erkennen und überhaupt nicht weiter
> verwenden. Erkennt man ja ganz ohne MD5 Summe :-)
> 
> > Diese Daten können eben _NICHT_ zufällig verändert werden, denn
> > dann funktioniert das Würmchen ja nicht mehr, weil's ihm selbst
> > an die Substanz geht.
> 
> Natürlich kann man da einfach 8 Byte Zufallszahl ranhängen (oder
> reinbauen). Ranhängen geht vermutlich sogar, ohne den Wurmcode zu
> ändern, jedenfalls sollte das bei .exe und ELF kein Problem sein:
> 
> 
> steffen at diva:/misc/home/steffen> ( cat /bin/date ; echo "1234567" ) > ./date2
> steffen at diva:/misc/home/steffen> md5sum /bin/date ./date2 
> c9aeda3392431cc34911fb5e03bec67e  /bin/date
> 69becf5900922300377658f5e7dc1d54  ./date2
> 
> ... und es funktioniert trotzdem:
> 
> steffen at diva:/misc/home/steffen> chmod +x ./date2  
> steffen at diva:/misc/home/steffen> ./date2 
> Sam Okt  4 22:29:04 CEST 2003



Du mogelst. ;-)


Denn anders rum klappt es eben nicht:

( echo "1234567" ; cat /bin/date ) > ./date2


chmod usw.

dann :/date2 ausführen...


...das bringt bullshit auf den Schirm, denn dann ist der ELF-Header
verkorkst!

Und bei Windows-Programmen wird auch der Header vorne sein.
Dann testet man den Anfang der Datei. ist also durchaus sinnvoll,
nicht die gesamten Attachements abzugrasen, sonder die ersten paar
Zeilen.



> 
> > Wenn man also seinen Kopf zum Denken benutzt, dann kann man sehr wohl
> > Erkennen, was da kommt.
> 
> :-) Darf ich das jetzt zurückgeben?

Nehme ich nicht an, danke.

SPAM BLOCKED ! :)




Ciao,
   Oliver




Mehr Informationen über die Mailingliste linux-l