At Sun, Jun 25, 2000 at 02:33:19 +0200, Philipp Thomas wrote:
* Wagner Michael (walfinger@yahoo.de) [20000624 14:32]:
/usr/lib/gcc-lib/i486-suse-linux/2.95.2/libgpc.a Datum: 24.03.2000 Zeit: 19:23:24 Größe: 196650 VIRUS: Die Datei enthält eine Signatur von 'W95/Hanta' Der Virus ist nicht entfernbar. "Die anderen korrekten Dateien habe ich hier ausgelassen"
Das war eine Falschmeldung und die ist schon länger behoben.
Ignorier einfach die Meldung eines Virencheckers, der ein wenig zu dumm ist.
...grummelgrummel...
Eine Prüfung des Binärformats der Datei würde Antivir zeigen, dass es sich um i386 ELF Code handelt, welcher unter DOS/Win nicht ausführbar ist (ist Librarycode sowieso nicht, ganz abgesehen davon, dass kein DOS/Win Linker mit ELF umgehen kann). Zum Anderen verrate mir bitte einmal, wie ein DOS/Win Virus sich in ein ihm völlig fremdes Binärformat einschmuggeln soll.
Hatten wir schon. Es gibt hunderte, die sich einfach an den Anfang einer Datei hinkopieren und sich für das Dateiformat nicht im Geringsten interessieren. Solche Dateien sind dann (wenn es keine COM oder EXE Programme waren) natürlich hinüber. Ausserdem: wer kann behaupten, daß es keinen Dropper geben kann, der als ELF-Binary daherkommt und DOS/Win-Viren auf ein Samba-Share wegschreibt?
Antivir prüft hier stur auf Signaturen, sprich signifikante Bytefolgen.
Stimmt. Sind eigentlich schon eher reguläre Ausdrücke, aber das führt hier zu weit.
Diese Signaturen gelten aber nur für DOS/Win Binaries, nicht jedoch für die unter Linux verwendeten Binärformate.
Stimmt nicht. Es gibt schliesslich auch eine Handvoll reinrassige Linux-ELF-Viren (und Perl-Viren und Shell-Viren,...).
In solchen Fällen musst du halt die dem Virenchecker fehlende Intelligenz ersetzen. Nur wenn Antivir bei Dateien anschlägt, die sich unter DOS/Win ausführen lassen solltest du Massnahmen ergreifen, alles Andere kannst du geflissentlich ignorieren.
Widerspruch! In *ALLEN* Fällen ist Vorsicht geboten. Bitte schickt solche Dateien an virus@antivir.de zur genaueren Prüfung. Wenn's kein Virus ist, dann haben wir so die Möglichkeit den Fehlalarm zu beseitigen. Im Fall des W95/Hanta war es schnell ersichtlich, da die Virenmeldungen mehrfach in Kompilaten des Linuxkernels auftauchten und deshalb auch kein Dropper o.ä. in Frage kam. Grüsse, Martin --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com