[Postfixbuch-users] Telekom-Rechnung (Spam/Virus)

[Helmut Hullen]

Hallo, Bjoern,

Du meintest am 20.01.14:

[...]

>>> Dass die Scanner ggf. in Zips nicht rein schauen können verstehe
>>> ich ja, aber warum kann man diese Zips nicht als Virus erkennen?
>>> Werdendie Zips immer frisch generiert, so dass sich die Signaturen
>>> immer andere sind?

>> So isses. Die Erbauer dieser *.zip-Dateien möchten ja nicht, dass
>> ihre Produkte sofort als Virus erkannt werden.

> Klar können die Scanner (zumindest halt amavis) rein schauen, amavis
> macht das ziemlich gut.

Habe ich nirgendwo bestritten.

> Zitat: "The following external programs are used for
> decoding/dearchivingif they are available:
>   compress, gzip, bzip2, nomarch (or arc), lha, arj (or unarj), rar
> (or unrar),   unzoo (or zoo), pax, cpio, lzop, freeze (or unfreeze or
> melt), ripole,   tnef, cabextract.
> Self-extracting archives (executables) can be of types zip, rar, lha
> or arj, and are only recognized when the corresponding dearchiver is
> available."

> aus http://www.ijs.si/software/amavisd/INSTALL.txt

Das Problem beim Reingucken in solche Anhänge ist, dass in den ersten  
etwa 4 Stunden nach Versand eines solchen Anhangs die allermeisten  
Virenscanner den Inhalt noch nicht als verseucht erkennen - vielfach  
erprobt bei "jotti.org" und "virustotal.com". Und auf dem lokalen  
Rechner dürften die aktuellen Signaturdateien noch älter sein, das  
Erkennen dauert also noch länger.

Viele Gruesse!
Helmut