Hallo Leute, ich habe mir vor ca. einer Woche das neue Suse-Linux 6.4 installiert. Vorher arbeitete ich mit dem 6.3. Da ich mir aber einen neuen PC gekauft habe, habe ich gleich eine Neuinstallation vorgenommen. Gestern abend habe ich dann einmal Antivir durchlaufen lassen und bekam folgende Meldung: VDF-Version: 6.0.0.3 - FUP(0), vom 21.02.2000 Prüfe Laufwerk/Pfad (list): /usr/lib/gcc-lib/i486-suse-linux/2.95.2/ /usr/lib/gcc-lib/i486-suse-linux/2.95.2/ /usr/lib/gcc-lib/i486-suse-linux/2.95.2/crtendS.o /usr/lib/gcc-lib/i486-suse-linux/2.95.2/libgpc.a /usr/lib/gcc-lib/i486-suse-linux/2.95.2/libgpc.a Datum: 24.03.2000 Zeit: 19:23:24 Größe: 196650 VIRUS: Die Datei enthält eine Signatur von 'W95/Hanta' Der Virus ist nicht entfernbar. "Die anderen korrekten Dateien habe ich hier ausgelassen" ----- Suchergebnisse ----- Verzeichnisse: 4 Dateien: 101 Infiziert: 1 Repariert: 0 Gelöscht: 0 Umbenannt: 0 Warnungen: 0 Benötigte Zeit: 00:00:02 -------------------------- Vielen Dank für den Einsatz von AntiVir. Meine Frage nun: Was bedeutet diese Viruswarnung und wie kann ich Abhilfe schaffen? Ich habe mir schon gedacht, das es eigentlich nicht so schlimm sein kann, da ich ja erst vor einer Woche neuinstalliert habe und mir ausser von Suse, nichts runtergeladen habe. Hoffentlich weiss hier jemand Rat. Besten Dank im Voraus fuer eure Hilfe. -- Viel Spass mit Michael __________________________________________________________________ Do You Yahoo!? Gesendet von Yahoo! Mail - http://mail.yahoo.de Yahoo! Auktionen - gleich ausprobieren - http://auktionen.yahoo.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Leute, ich habe mir vor ca. einer Woche das neue Suse-Linux 6.4 installiert. Vorher arbeitete ich mit dem 6.3. Da ich mir aber einen neuen PC gekauft habe, habe ich gleich eine Neuinstallation vorgenommen. Gestern abend habe ich dann einmal Antivir durchlaufen lassen und bekam folgende Meldung: VDF-Version: 6.0.0.3 - FUP(0), vom 21.02.2000 Prüfe Laufwerk/Pfad (list): /usr/lib/gcc-lib/i486-suse-linux/2.95.2/ /usr/lib/gcc-lib/i486-suse-linux/2.95.2/ /usr/lib/gcc-lib/i486-suse-linux/2.95.2/crtendS.o /usr/lib/gcc-lib/i486-suse-linux/2.95.2/libgpc.a /usr/lib/gcc-lib/i486-suse-linux/2.95.2/libgpc.a Datum: 24.03.2000 Zeit: 19:23:24 Größe: 196650 VIRUS: Die Datei enthält eine Signatur von 'W95/Hanta' Der Virus ist nicht entfernbar. "Die anderen korrekten Dateien habe ich hier ausgelassen" ----- Suchergebnisse ----- Verzeichnisse: 4 Dateien: 101 Infiziert: 1 Repariert: 0 Gelöscht: 0 Umbenannt: 0 Warnungen: 0 Benötigte Zeit: 00:00:02 -------------------------- Vielen Dank für den Einsatz von AntiVir. Meine Frage nun: Was bedeutet diese Viruswarnung und wie kann ich Abhilfe schaffen? Ich habe mir schon gedacht, das es eigentlich nicht so schlimm sein kann, da ich ja erst vor einer Woche neuinstalliert habe und mir ausser von Suse, nichts runtergeladen habe. Hoffentlich weiss hier jemand Rat. Besten Dank im Voraus fuer eure Hilfe. Hallo Ich denke mal, dass der W95/Hanta unter Linux keine große Schäden anrichten kann. W95 ist meiner Meinung nach, ich kann mich ja auch täuschen, ein Virus für Windoof Systeme. CU Daniel --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Daniel Seichter wrote:
Hallo Leute,
[...]
Hallo Ich denke mal, dass der W95/Hanta unter Linux keine große Schäden anrichten kann. W95 ist meiner Meinung nach, ich kann mich ja auch täuschen, ein Virus für Windoof Systeme. CU Daniel
kein Kommentar ..... Aktuelle Version (HTML): http://www.ndh.net/home/schult/etikette.html Aktuelle Version (Text): http://www.ndh.net/home/schult/etikette.txt BITTE konfigurier dein Microsoft Outlook Express 5.00.2919.6600 mal. c u, adalbert --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Sam, 24 Jun 2000 schrieb Daniel Seichter:
Hallo Ich denke mal, dass der W95/Hanta unter Linux keine große Schäden anrichten kann. W95 ist meiner Meinung nach, ich kann mich ja auch täuschen, ein Virus für Windoof Systeme. CU Daniel
Wieso sagst Du Windoof, wenn Du selber mit MS Outlook schreibst? Denk mal drueber nach. -- Viel Spass mit Michael __________________________________________________________________ Do You Yahoo!? Gesendet von Yahoo! Mail - http://mail.yahoo.de Yahoo! Auktionen - gleich ausprobieren - http://auktionen.yahoo.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, Vollquote zwecks Demo: Daniel Seichter wrote:
Hallo Leute,
ich habe mir vor ca. einer Woche das neue Suse-Linux 6.4 installiert. Vorher arbeitete ich mit dem 6.3. Da ich mir aber einen neuen PC gekauft habe, habe ich gleich eine Neuinstallation vorgenommen. Gestern abend habe ich dann einmal Antivir durchlaufen lassen und bekam folgende Meldung:
VDF-Version: 6.0.0.3 - FUP(0), vom 21.02.2000
Prüfe Laufwerk/Pfad (list): /usr/lib/gcc-lib/i486-suse-linux/2.95.2/ /usr/lib/gcc-lib/i486-suse-linux/2.95.2/ /usr/lib/gcc-lib/i486-suse-linux/2.95.2/crtendS.o /usr/lib/gcc-lib/i486-suse-linux/2.95.2/libgpc.a /usr/lib/gcc-lib/i486-suse-linux/2.95.2/libgpc.a Datum: 24.03.2000 Zeit: 19:23:24 Größe: 196650 VIRUS: Die Datei enthält eine Signatur von 'W95/Hanta' Der Virus ist nicht entfernbar. "Die anderen korrekten Dateien habe ich hier ausgelassen"
----- Suchergebnisse ----- Verzeichnisse: 4 Dateien: 101 Infiziert: 1 Repariert: 0 Gelöscht: 0 Umbenannt: 0 Warnungen: 0 Benötigte Zeit: 00:00:02 -------------------------- Vielen Dank für den Einsatz von AntiVir.
Meine Frage nun: Was bedeutet diese Viruswarnung und wie kann ich Abhilfe schaffen? Ich habe mir schon gedacht, das es eigentlich nicht so schlimm sein kann, da ich ja erst vor einer Woche neuinstalliert habe und mir ausser von Suse, nichts runtergeladen habe. Hoffentlich weiss hier jemand Rat. Besten Dank im Voraus fuer eure Hilfe.
Hallo Ich denke mal, dass der W95/Hanta unter Linux keine große Schäden anrichten kann. W95 ist meiner Meinung nach, ich kann mich ja auch täuschen, ein Virus für Windoof Systeme. CU Daniel
So, und wer hat jetzt was geschrieben? Achtet doch bitte ein bißchen mehr auf euer Quoting. Danke! cu flo -- There are two ways to write error-free programs. Only the third one works. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi,
ich habe mir vor ca. einer Woche das neue Suse-Linux 6.4 installiert. Vorher arbeitete ich mit dem 6.3. Da ich mir aber einen neuen PC gekauft habe, habe ich gleich eine Neuinstallation vorgenommen. Gestern abend habe ich dann einmal Antivir durchlaufen lassen und bekam folgende Meldung:
[...] Kann es nicht sein, daß die Virusdefinition exakt auf eine Bytefolge der libgpc.a passt, obwohl es kein Virus ist? Ich habe AntiVir nicht im Einsatz und kann es daher nichtv prüfen. Martin --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Wagner Michael (walfinger@yahoo.de) [20000624 14:32]:
/usr/lib/gcc-lib/i486-suse-linux/2.95.2/libgpc.a Datum: 24.03.2000 Zeit: 19:23:24 Größe: 196650 VIRUS: Die Datei enthält eine Signatur von 'W95/Hanta' Der Virus ist nicht entfernbar. "Die anderen korrekten Dateien habe ich hier ausgelassen"
Ignorier einfach die Meldung eines Virencheckers, der ein wenig zu dumm ist.
Eine Prüfung des Binärformats der Datei würde Antivir zeigen, dass es sich
um i386 ELF Code handelt, welcher unter DOS/Win nicht ausführbar ist (ist
Librarycode sowieso nicht, ganz abgesehen davon, dass kein DOS/Win Linker
mit ELF umgehen kann). Zum Anderen verrate mir bitte einmal, wie ein DOS/Win
Virus sich in ein ihm völlig fremdes Binärformat einschmuggeln soll.
Antivir prüft hier stur auf Signaturen, sprich signifikante Bytefolgen.
Diese Signaturen gelten aber nur für DOS/Win Binaries, nicht jedoch für die
unter Linux verwendeten Binärformate.
In solchen Fällen musst du halt die dem Virenchecker fehlende Intelligenz
ersetzen. Nur wenn Antivir bei Dateien anschlägt, die sich unter DOS/Win
ausführen lassen solltest du Massnahmen ergreifen, alles Andere kannst du
geflissentlich ignorieren.
Philipp
--
Philipp Thomas
At Sun, Jun 25, 2000 at 02:33:19 +0200, Philipp Thomas wrote:
* Wagner Michael (walfinger@yahoo.de) [20000624 14:32]:
/usr/lib/gcc-lib/i486-suse-linux/2.95.2/libgpc.a Datum: 24.03.2000 Zeit: 19:23:24 Größe: 196650 VIRUS: Die Datei enthält eine Signatur von 'W95/Hanta' Der Virus ist nicht entfernbar. "Die anderen korrekten Dateien habe ich hier ausgelassen"
Das war eine Falschmeldung und die ist schon länger behoben.
Ignorier einfach die Meldung eines Virencheckers, der ein wenig zu dumm ist.
...grummelgrummel...
Eine Prüfung des Binärformats der Datei würde Antivir zeigen, dass es sich um i386 ELF Code handelt, welcher unter DOS/Win nicht ausführbar ist (ist Librarycode sowieso nicht, ganz abgesehen davon, dass kein DOS/Win Linker mit ELF umgehen kann). Zum Anderen verrate mir bitte einmal, wie ein DOS/Win Virus sich in ein ihm völlig fremdes Binärformat einschmuggeln soll.
Hatten wir schon. Es gibt hunderte, die sich einfach an den Anfang einer Datei hinkopieren und sich für das Dateiformat nicht im Geringsten interessieren. Solche Dateien sind dann (wenn es keine COM oder EXE Programme waren) natürlich hinüber. Ausserdem: wer kann behaupten, daß es keinen Dropper geben kann, der als ELF-Binary daherkommt und DOS/Win-Viren auf ein Samba-Share wegschreibt?
Antivir prüft hier stur auf Signaturen, sprich signifikante Bytefolgen.
Stimmt. Sind eigentlich schon eher reguläre Ausdrücke, aber das führt hier zu weit.
Diese Signaturen gelten aber nur für DOS/Win Binaries, nicht jedoch für die unter Linux verwendeten Binärformate.
Stimmt nicht. Es gibt schliesslich auch eine Handvoll reinrassige Linux-ELF-Viren (und Perl-Viren und Shell-Viren,...).
In solchen Fällen musst du halt die dem Virenchecker fehlende Intelligenz ersetzen. Nur wenn Antivir bei Dateien anschlägt, die sich unter DOS/Win ausführen lassen solltest du Massnahmen ergreifen, alles Andere kannst du geflissentlich ignorieren.
Widerspruch! In *ALLEN* Fällen ist Vorsicht geboten. Bitte schickt solche Dateien an virus@antivir.de zur genaueren Prüfung. Wenn's kein Virus ist, dann haben wir so die Möglichkeit den Fehlalarm zu beseitigen. Im Fall des W95/Hanta war es schnell ersichtlich, da die Virenmeldungen mehrfach in Kompilaten des Linuxkernels auftauchten und deshalb auch kein Dropper o.ä. in Frage kam. Grüsse, Martin --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Martin Ritter schrieb in 2,6K (63 Zeilen):
At Sun, Jun 25, 2000 at 02:33:19 +0200, Philipp Thomas wrote:
* Wagner Michael (walfinger@yahoo.de) [20000624 14:32]:
/usr/lib/gcc-lib/i486-suse-linux/2.95.2/libgpc.a VIRUS: Die Datei enthält eine Signatur von 'W95/Hanta'
Ignorier einfach die Meldung eines Virencheckers, der ein wenig zu dumm ist.
...grummelgrummel...
Du meinst, der Anwender hat den Fehler gemacht, in Linux-Dateien auf Win-Viren zu checken? Kann man so sehen, ja ...
Eine Prüfung des Binärformats der Datei würde Antivir zeigen, dass es sich um i386 ELF Code handelt, welcher unter DOS/Win nicht ausführbar ist (ist
Hatten wir schon. Es gibt hunderte, die sich einfach an den Anfang einer Datei hinkopieren und sich für das Dateiformat nicht im Geringsten interessieren. Solche Dateien sind dann (wenn es keine COM oder EXE Programme waren) natürlich hinüber.
Und damit vollkommen ungefaehrlich (bis auf MBR&co-Viren, die sich ja nicht in eine Datei schreiben, sondern eben in den HD-Bootsektor)
Ausserdem: wer kann behaupten, daß es keinen Dropper geben kann, der als ELF-Binary daherkommt und DOS/Win-Viren auf ein Samba-Share wegschreibt?
Wer sagt, dass der Dropper dann den Virus nicht ein wenig verschluesselt, damit er nicht sofort auffaellt? Sicher, wenn der Anwender nach Signaturen in seinen Daten suchen will, dann soll er das duerfen ... aber dann muss er auch wissen, was er da gerade tut! :-)
Diese Signaturen gelten aber nur für DOS/Win Binaries, nicht jedoch für die unter Linux verwendeten Binärformate.
Stimmt nicht. Es gibt schliesslich auch eine Handvoll reinrassige Linux-ELF-Viren (und Perl-Viren und Shell-Viren,...).
Wieviele davon erkennt der Checker? Wieviele davon sind In The Wild (also nicht nur in Sammlungen von Virus-Schreibern und Anti-Virus-Experten zu finden, sondern im realen Leben)?
Im Fall des W95/Hanta war es schnell ersichtlich, da die Virenmeldungen mehrfach in Kompilaten des Linuxkernels auftauchten und deshalb auch kein Dropper o.ä. in Frage kam.
Die Frage, ob der Linuxkernel denn nun einen Virus traegt (oder einer ist :-), kann man dennoch nicht mit mathematischer Sicherheit ausschliessen. :-) -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (8)
-
a.michelic.suse@aon.at -
florian.gross@gmx.net -
mailing@silenceofdeath.de -
martin.ortlepp@hannoversche-leben.de -
mritter@antivir.de -
pthomas@suse.de -
walfinger@yahoo.de -
weissel@netcologne.de