[linux] Antivir

Peter Surda shurdeek na routehat.org
Středa Únor 18 17:07:15 CET 2004


On Wed, Feb 18, 2004 at 03:28:20PM +0100, Ing. Jan ONDREJ wrote:
> > Presne ako napisal Miso Toth - takto pouzivatelov nenaucime nic.
> > BTW, vsetky mailery ktore checkuju maily voci virusom uz na SMTP urovni -
> > pouzivatel aspon dostane feedback ze mail bol odmietnuty kvoli virusu. A
> > ani sa nebude moct stazovat.
> Dovolujem si nesuhlasit, pretoze sa na bugtraqu ludia rozculovali,
> ze sa s virusmi robia taketo nechoutnosti. Kedze SMTPd netusi,
> kto bol odosielatel, tak to odosle na adresu, ktoru uviedol SMTPd
> ktory nam to poslal. Ten potom dany email odosle niekomu, kto virus
> vobec neposlal.
Ano, ale nie je to celkom tak. Su 2 moznosti zamietavej odpovede. Ta prva je
horsia, a sice ze priamo SMTPd, ktory virus zisti, vygeneruje bounce a odosle
ho (DSN styl). Toto je samozrejme totalny nezmysel a tychto administratorov
treba strielat.

Druha je poslat zamietavy kod relay-u priamo pocas SMTP-sessny. Potom pripadny
bounce generuje ten relay. Ked je ten relay taky dementny, ze nielen relayuje
viry ale aj na ich zaklade generuje bouncy, tak tych administratorov treba
strielat tiez. Za toto vsak administrator cieloveho mailservra nemoze.

> Je dost nechutne takymto stylom opat otravovat ludi, kedze vacsina
> sucasnych wormov si adresy odosielatela aj prijimatela vymysla.
Mam s tym svoje skusenosti, pri epidemiach Sobig-F a MyDoom mi chodilo tychto
<>ovin niekolko tisic denne :-(.

> Podla mna idealnym riesenim by bolo, keby existovala databaza virusov,
> ktore si adresy vymyslaju a v ich pripade mail proste zahodit. Opat
> ale nemozeme mat ziadnu istotu, ze budeme mat databazu aktualnu,
> kedze virusy vznikaju kazdym dnom.
Taketo nieco uz existuje. Amavisd-new ma v konfiguraku premennu, kde je zoznam
takychto virov, a niektori vyrobcovia scannerov im davaju specificke
pomenovanie (napr. Symantec prida nakoniec "@mm").

Podla mna je to vsak nedokonale a malo by to fungovat naopak: zoznam virov,
ktore adresu nefejkuru, a zahadzovat ostatne. Potom by pri novom cerve bola
epidemia vyrazne stlmena.

> 		SAL
S pozdravom,

Peter Surda (Shurdeek) <shurdeek na routehat.org>, ICQ 10236103, +436505122023

-- 
  funny thats the third time since ive been on IRC today that i seen the word 
                 "slave" and "microsoft" in the same sentence



Další informace o konferenci linux