[linux-l] RFCs und Vorschlaege...

[Thomas Knop]

* Steffen Dettmer <steffen at dett.de> [05.10.03 16:01]:
> * Oliver Bandel wrote on Sat, Oct 04, 2003 at 20:50 +0200:
> > On Sat, Oct 04, 2003 at 05:55:54PM +0200, Steffen Dettmer wrote:
> > > * Oliver Bandel wrote on Thu, Oct 02, 2003 at 16:52 +0200:
> 
> > > > S.o.: Eindeutige Identifizierung vom Wurm-/Viren-Krempel bei
> > > > destruktiven Ansinnen, 
> > > 
> > > Na gut, gerade die kriegt man so nicht.
> > Zur Zeit geht da gerade so ein blöder Wurm umher, 
>  [...] 
> > Alle hatten unterschiedliche Boundary-Namen im Attachement,
> > da war jede Mail unterschiedlich.
> 
> ... weil es eben keine MD5 Datenbanken gibt, reicht das aus, ja.
> 
> > Aber das, was ZWISCHEN den BOundaries steht, also das _EIGENTLICHE_,
> > das _NETTO_ Attachement, also die reinen Daten, die nach uudecode
> > bzw. mimedecode in Binäre Daten umgewandelt werden würden, die waren
> > sehr leicht zu identifizieren.
> 
> Dann müßte aber auch jeder Billig-Pattern-Scanner von
> Antivirus-Software das Teil erkennen und überhaupt nicht weiter
> verwenden. Erkennt man ja ganz ohne MD5 Summe :-)
Im Falle von Würmern ist ein "billiger" Patternscanner die einzige
effektive Methode (im Gegensatz zu MD5). Die einzige Schwierigkeit
besteht darin, die richtige Pattern - also eine Teil des Schädligs,
der nicht verädert werden kann - zu identifizieren.
Das genau lassen sich die Anit-Virenhersteller bezahlen.

Gruß Thomas Knop