[Postfixbuch-users] Telekom-Rechnung (Spam/Virus)

Helmut Hullen Hullen at t-online.de
Mo Jan 20 14:22:00 CET 2014


Hallo, Bjoern,

Du meintest am 20.01.14:

[...]

>>> Dass die Scanner ggf. in Zips nicht rein schauen können verstehe
>>> ich ja, aber warum kann man diese Zips nicht als Virus erkennen?
>>> Werdendie Zips immer frisch generiert, so dass sich die Signaturen
>>> immer andere sind?

>> So isses. Die Erbauer dieser *.zip-Dateien möchten ja nicht, dass
>> ihre Produkte sofort als Virus erkannt werden.

> Klar können die Scanner (zumindest halt amavis) rein schauen, amavis
> macht das ziemlich gut.

Habe ich nirgendwo bestritten.

> Zitat: "The following external programs are used for
> decoding/dearchivingif they are available:
>   compress, gzip, bzip2, nomarch (or arc), lha, arj (or unarj), rar
> (or unrar),   unzoo (or zoo), pax, cpio, lzop, freeze (or unfreeze or
> melt), ripole,   tnef, cabextract.
> Self-extracting archives (executables) can be of types zip, rar, lha
> or arj, and are only recognized when the corresponding dearchiver is
> available."

> aus http://www.ijs.si/software/amavisd/INSTALL.txt

Das Problem beim Reingucken in solche Anhänge ist, dass in den ersten  
etwa 4 Stunden nach Versand eines solchen Anhangs die allermeisten  
Virenscanner den Inhalt noch nicht als verseucht erkennen - vielfach  
erprobt bei "jotti.org" und "virustotal.com". Und auf dem lokalen  
Rechner dürften die aktuellen Signaturdateien noch älter sein, das  
Erkennen dauert also noch länger.

Viele Gruesse!
Helmut




Mehr Informationen über die Mailingliste Postfixbuch-users