On Monday 04 April 2005 11:54, mihai wrote: > Si acum inapoi la virusi > Intradevar primul "virus" era un newsletter de la securityfocus, dar in > el era descrisa o vulnerabilitate si era un sample de cod (presupus > vulnerabil). Si acum partea ciudata: > Initial mi-ai trimis un raspuns similar cu acesta pe adresa personala, > iar eu ca sa te conving ca poate nu e chiar o alarma falsa am dat un > split la pe fisierul care continea mailul de la securityfocus, tocmai > ca sa vad unde anume gaseste clamav virusul: Pana la urma bucata > respectiva arata cam asa: > [...] > > Convins ca bdc il considera alarma falsa (doar am primit confirmarea de > la bitdefender" nu am mai arhivat cu parola bucatica de text obituta cu > split din mailul original de la securityfocus. Insa daca rulez bdc > --mail -all _doar_ pe bucatica respectiva rezulatul bdc e urmatorul: > > infected: Exploit.Html.MhtRedir.Gen > > E posibil ca de asta sa nu fi ajuns nici mesajul meu la tine, l-a oprit > bitdefender pe serverul de mail (eu mi-am dat seama mai tarziu ca pe > split obtin "pozitive"). > > Deci bitdefender nu gaseseste virus in tot mailul, dar daca ii > dau un split din el il gaseste. Probabil evalueaza daca codul este > exploatabil, sau poate e doar un bug? Banuiala mea e ca se dupa un > anumit nr de bytes, mesajul nu mai e "periat", iar newsletterul de la > security focus era destul de maricel.
BitDefender-ul nu gaseste virusul pentru ca nu prezinta un pericol real, codul respectiv nu se executa... etc. La fel daca ai un virus pe care il intercalezi intre informatii inutile putini antivirusi o sa-l prinda. Situatia de mai jos e interpretabila: 1 GB garbage virus 1 GB garbage Virusul ar trebui detectat sau nu ? Codul viral exista, dar e inofensiv atata timp cat "gunoaiele" de la inceputul fisierului nu contin un loader sau cine stie ce cod care sa execute codul viral. Clam-ul am impresia ca e printre putinii antivirusi care scaneaza "muncitoreste" tot fisierul si de aceea prinde virusul. Asta s-a intamplat cu mail-ul de la SecurityFocus. De la regula de mai sus bineinteles ca sunt si exceptii, dar in principiu nu cred ca ar fi OK sa fie scanate fisierele in intregime. > Al doilea mail intradevar avea si un gif, dar vulnerabilitatea se afla > in html-ul care mai era pe acolo. Asa mi-a raportat clamscan si asa imi > raporteaza si bdc acum Dupa cum a zis si mache, a fost adaugata semnatura pentru el. Analistii de virusi nu pot sa aiba tot timpul toate variantele existente, de asta colaborarea utilizatorilor e esentiala. Mihai -- This message was scanned for spam and viruses by BitDefender. For more information please visit http://linux.bitdefender.com/ --- Detalii despre listele noastre de mail: http://www.lug.ro/
