RasT schrieb am 12. Juni 2004 15:03
> Wenn man so schnell feststellen kann, was der von wo runterlädt,
> sollte es doch kein Problem sein, den Provider dazu zu bewegen, die
> Datei zu entfernen. Warum passiert das nicht?
Das hab ich mir auch schon überlegt. Jede "fixe" Nachlade-Stelle
führt doch irgendwann unweigerlich zum Autor (oder zumindest
Nachbastler) des Virus. Selbst wenn das bei tripod oder sonstwo
liegt, haben ja alle ein Interesse daran, ihn zu fassen - und selbst
Tripod würde sich nicht nachsagen lassen, ein "Virus-Hoster" zu sein.
Man könnte also in aller Ruhe abwarten, bis der Autor ein Update
uploadet... und dann hat man eine IP, die irgendwo hinführt. Und
wenns bloß ein Internet-Cafe ist oder eine Uni, damit wäre man ihm
schon SEHR nahe.
Ich denke, die einzig wirklich sichere Methode, einen Virus zu
updaten (abgesehen von "einen ähnlichen Virus hinterherschicken", was
ja nun doch einigermaßen unzuverlässig und auch irgendwie stillos ist
;) ), wäre, ein File in ein P2P-Netzwerk einzuschleusen, sagenwirmal
"ultimatepr0n7329.avi", Größe 150kb oder so, Beschreibung so, daß es
garantiert genug notgeile Leute gibt, die es sich ziehen und dann im
Eingangsfolder vergessen, so daß es sich mal auf ein paar hundert
Rechner verbreiten kann. Wenn ein Virus heute eine SMTP-Engine
mitbringen kann, wieso dann keinen einfachen, spezifischen
eDonkey-Client, der immer nach nem bestimmten File sucht (wegen mir
noch ergänzt um die Versionsnummer hinten, damit man den Virus nicht
nur einmal updaten kann).
Das einzige, was bedacht werden müßte, ist, daß man nicht einfach
neuen Code einschleusen lassen kann, denn sonst könnten
Virenbekämpfer ja einfach dem dekompilierten (oder ohnehin in
Scriptform vorliegenden) Virus-Code entnehmen, in welcher Form er
seine Updates erwartet und ein "zerstöre Dich selbst"-File nach
eDonkey einschleusen.
Mach ich da einen Denkfehler? Oder gibts sowas sogar schon? ;)
Zilpogg @ Calypse.de
> Wenn man so schnell feststellen kann, was der von wo runterlädt,
> sollte es doch kein Problem sein, den Provider dazu zu bewegen, die
> Datei zu entfernen. Warum passiert das nicht?
Das hab ich mir auch schon überlegt. Jede "fixe" Nachlade-Stelle
führt doch irgendwann unweigerlich zum Autor (oder zumindest
Nachbastler) des Virus. Selbst wenn das bei tripod oder sonstwo
liegt, haben ja alle ein Interesse daran, ihn zu fassen - und selbst
Tripod würde sich nicht nachsagen lassen, ein "Virus-Hoster" zu sein.
Man könnte also in aller Ruhe abwarten, bis der Autor ein Update
uploadet... und dann hat man eine IP, die irgendwo hinführt. Und
wenns bloß ein Internet-Cafe ist oder eine Uni, damit wäre man ihm
schon SEHR nahe.
Ich denke, die einzig wirklich sichere Methode, einen Virus zu
updaten (abgesehen von "einen ähnlichen Virus hinterherschicken", was
ja nun doch einigermaßen unzuverlässig und auch irgendwie stillos ist
;) ), wäre, ein File in ein P2P-Netzwerk einzuschleusen, sagenwirmal
"ultimatepr0n7329.avi", Größe 150kb oder so, Beschreibung so, daß es
garantiert genug notgeile Leute gibt, die es sich ziehen und dann im
Eingangsfolder vergessen, so daß es sich mal auf ein paar hundert
Rechner verbreiten kann. Wenn ein Virus heute eine SMTP-Engine
mitbringen kann, wieso dann keinen einfachen, spezifischen
eDonkey-Client, der immer nach nem bestimmten File sucht (wegen mir
noch ergänzt um die Versionsnummer hinten, damit man den Virus nicht
nur einmal updaten kann).
Das einzige, was bedacht werden müßte, ist, daß man nicht einfach
neuen Code einschleusen lassen kann, denn sonst könnten
Virenbekämpfer ja einfach dem dekompilierten (oder ohnehin in
Scriptform vorliegenden) Virus-Code entnehmen, in welcher Form er
seine Updates erwartet und ein "zerstöre Dich selbst"-File nach
eDonkey einschleusen.
Mach ich da einen Denkfehler? Oder gibts sowas sogar schon? ;)
Zilpogg @ Calypse.de