[linux-l] RFCs und Vorschlaege...

Oliver Bandel oliver at first.in-berlin.de
So Okt 5 17:17:42 CEST 2003


On Sun, Oct 05, 2003 at 04:29:19PM +0200, Thomas Knop wrote:
> * Steffen Dettmer <steffen at dett.de> [05.10.03 16:01]:
> > * Oliver Bandel wrote on Sat, Oct 04, 2003 at 20:50 +0200:
> > > On Sat, Oct 04, 2003 at 05:55:54PM +0200, Steffen Dettmer wrote:
> > > > * Oliver Bandel wrote on Thu, Oct 02, 2003 at 16:52 +0200:
> > 
> > > > > S.o.: Eindeutige Identifizierung vom Wurm-/Viren-Krempel bei
> > > > > destruktiven Ansinnen, 
> > > > 
> > > > Na gut, gerade die kriegt man so nicht.
> > > Zur Zeit geht da gerade so ein blöder Wurm umher, 
> >  [...] 
> > > Alle hatten unterschiedliche Boundary-Namen im Attachement,
> > > da war jede Mail unterschiedlich.
> > 
> > ... weil es eben keine MD5 Datenbanken gibt, reicht das aus, ja.
> > 
> > > Aber das, was ZWISCHEN den BOundaries steht, also das _EIGENTLICHE_,
> > > das _NETTO_ Attachement, also die reinen Daten, die nach uudecode
> > > bzw. mimedecode in Binäre Daten umgewandelt werden würden, die waren
> > > sehr leicht zu identifizieren.
> > 
> > Dann müßte aber auch jeder Billig-Pattern-Scanner von
> > Antivirus-Software das Teil erkennen und überhaupt nicht weiter
> > verwenden. Erkennt man ja ganz ohne MD5 Summe :-)
> Im Falle von Würmern ist ein "billiger" Patternscanner die einzige
> effektive Methode (im Gegensatz zu MD5). Die einzige Schwierigkeit
> besteht darin, die richtige Pattern - also eine Teil des Schädligs,
> der nicht verädert werden kann - zu identifizieren.
> Das genau lassen sich die Anit-Virenhersteller bezahlen.


Nur treten diese unliebsamen Tierchen aber (noch) nicht selbstverändernd
auf, sondern verbreiten sich halt einfach recht flott.
Alle SWEN-Würmer, die ich mir angeschaut hatte, hatten immer wieder
die selben Daten attached.

Zumindest im Nachhinein kann man solche Viecher halt daran erkennen.
Auch Virenscanner müssen immer nachgerüstet/aktuialisiert werden.
Also kann man auch direkt die bekannten Viechereien aussortieren.

Um einen kompletten Scan nach bsetimmten Kriterien oder Mustern
zu haben, muß man die Daten erst mal downgeloadet haben.
Die checksum kann man den  Server errechnen lassen und spart dabei
Übertragungs-Bandbreite.

Und wenn man die md5sum's optional anfordert, frisst es auch nicht
viel Rechenzeit. Davon abgesehen ist md5sum auch nicht so sehr
zeit fressend. bestimmt weniger Ressourcen verbrauchend, als
das Übertragen der Daten, um sie hinterher, nach der Übertragung
in die Tonne zu hauen.

Ausserdem kann man, wenn man die md5sum beiläufig gleich mit berechnet,
und zu dem Schluß kommt, daß man doch so einige crosspostings
auf dem Server hält, die Überflüssigen Postings weg werfen
(nutzbar für die nntpd's).

Da kann man - je nach Umfang der Crosspostings (gibt's da eigentlich
eine Statisitk drüber?) also Plattenplatz sparen.


Ciao,
   Oliver




Mehr Informationen über die Mailingliste linux-l