Martin Ritter schrieb in 2,6K (63 Zeilen):
At Sun, Jun 25, 2000 at 02:33:19 +0200, Philipp Thomas wrote:
* Wagner Michael (walfinger@yahoo.de) [20000624 14:32]:
/usr/lib/gcc-lib/i486-suse-linux/2.95.2/libgpc.a VIRUS: Die Datei enthält eine Signatur von 'W95/Hanta'
Ignorier einfach die Meldung eines Virencheckers, der ein wenig zu dumm ist.
...grummelgrummel...
Du meinst, der Anwender hat den Fehler gemacht, in Linux-Dateien auf Win-Viren zu checken? Kann man so sehen, ja ...
Eine Prüfung des Binärformats der Datei würde Antivir zeigen, dass es sich um i386 ELF Code handelt, welcher unter DOS/Win nicht ausführbar ist (ist
Hatten wir schon. Es gibt hunderte, die sich einfach an den Anfang einer Datei hinkopieren und sich für das Dateiformat nicht im Geringsten interessieren. Solche Dateien sind dann (wenn es keine COM oder EXE Programme waren) natürlich hinüber.
Und damit vollkommen ungefaehrlich (bis auf MBR&co-Viren, die sich ja nicht in eine Datei schreiben, sondern eben in den HD-Bootsektor)
Ausserdem: wer kann behaupten, daß es keinen Dropper geben kann, der als ELF-Binary daherkommt und DOS/Win-Viren auf ein Samba-Share wegschreibt?
Wer sagt, dass der Dropper dann den Virus nicht ein wenig verschluesselt, damit er nicht sofort auffaellt? Sicher, wenn der Anwender nach Signaturen in seinen Daten suchen will, dann soll er das duerfen ... aber dann muss er auch wissen, was er da gerade tut! :-)
Diese Signaturen gelten aber nur für DOS/Win Binaries, nicht jedoch für die unter Linux verwendeten Binärformate.
Stimmt nicht. Es gibt schliesslich auch eine Handvoll reinrassige Linux-ELF-Viren (und Perl-Viren und Shell-Viren,...).
Wieviele davon erkennt der Checker? Wieviele davon sind In The Wild (also nicht nur in Sammlungen von Virus-Schreibern und Anti-Virus-Experten zu finden, sondern im realen Leben)?
Im Fall des W95/Hanta war es schnell ersichtlich, da die Virenmeldungen mehrfach in Kompilaten des Linuxkernels auftauchten und deshalb auch kein Dropper o.ä. in Frage kam.
Die Frage, ob der Linuxkernel denn nun einen Virus traegt (oder einer ist :-), kann man dennoch nicht mit mathematischer Sicherheit ausschliessen. :-) -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com