On Mon, 4 Apr 2005 12:13:48 +0300 Mihai Maties <[EMAIL PROTECTED]> wrote:
> > BitDefender-ul nu gaseste virusul pentru ca nu prezinta un pericol > real, codul respectiv nu se executa... etc. La fel daca ai un virus > pe care il intercalezi intre informatii inutile putini antivirusi o > sa-l prinda. > > Situatia de mai jos e interpretabila: > > 1 GB garbage > virus > 1 GB garbage > > Virusul ar trebui detectat sau nu ? Codul viral exista, dar e > inofensiv atata timp cat "gunoaiele" de la inceputul fisierului nu > contin un loader sau cine stie ce cod care sa execute codul viral. > Clam-ul am impresia ca e printre putinii antivirusi care scaneaza > "muncitoreste" tot fisierul si de aceea prinde virusul. Asta s-a > intamplat cu mail-ul de la SecurityFocus. Mda, imi aduc aminte ca a mai fost o discutie pe lug cu cineva caruia clamav ii descopera un virus intr-un iso de vreo 500MB si era intrigat ca bdc nu-l gaseste. Sunt perfect de acord ca un antivirus nu ar trebui sa scaneze "muncitoreste" ca ar devini ineficient. Totusi ramane un pic de confuzie cu privire la bitdefender pe care te rog sa o lamuresti: Cum analizeaza bdc ? E destul de inteligent sa isi dea seama daca pt un virus exista posibilitatea de a fi executat sau pur si simplu analizeaza un nr de bytes de la inceputul fisierului si apoi renunta? Mailul de la securityfocus avea in el un link cat se poate de valid care daca era rau intentionat putea face pagube. Mai mult, din ce zic cei de la securityfocus era posibil ca linkul respectiv sa lanseze virusul fara interventia userului (probabil pe outlook, sau alt mua care interpreteaza html cu engine de iexplore). Faptul ca _exact_ aceasi bucatica de text este interpretata ca virus cand e standalone si nu e virus cand se afla mai la coada nu face decat sa confirme ca metoda de detectie este cea de-a doua (renuntare dupa un anume nr de bytes si nu analiza contextului). Cred ca un individ rau intentionat poate pacali cu usurinta metoda asta de optimizare a unui antivirus. Macar pt html si text chior ar trebui ca antivirusul sa scaneze integral mesajul, iar pt rar, zip , alte minuni sa renunte dupa un anume nr de bytes. > > De la regula de mai sus bineinteles ca sunt si exceptii, dar in > principiu nu cred ca ar fi OK sa fie scanate fisierele in intregime. > De acord -- Mihai Voica --- Detalii despre listele noastre de mail: http://www.lug.ro/
