---

Hej alle og især Alex.

Det er godt nok et virus/orme-problem og man kan diskutere hvor
on-topic det er i forhold til denne gruppe.

Men det er min oplevelse at de nyere orme, der sender mails med falske
adresse-informationer og indhold fra gamle mails, er et stort problem
på nettet.

Jeg kunne godt tænke mig et afsnit i OSS'en der behandlede dette
problem (hvad der sker, hvad man ikke skal gøre, hvordan man
identificerer det, hvordan man finder header-oplysninger og hvordan
man finder den udbyder man skal henvende sig til så den inficerede
person kan blive underrettet).

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund wrote:
>
> Hej alle og især Alex.
>
> Det er godt nok et virus/orme-problem og man kan diskutere hvor
> on-topic det er i forhold til denne gruppe.

Om ikke andet, så et lille afsnit, hvor man henviser til den rette
gruppe. Evt. med et par hints om hvad man skal huske at have med.

Et andet forslag, skulle vi ikke få automagiseret at OSS'en blev postet
med jævne mellemrum her i gruppen ?

Og så vil jeg benytte lejligheden til at uddele en ros(e) til Alex for
at han bruger så meget tid på at vedligeholde OSS'en.

--
Don't waste space

---

Thomas <intheNOSPAMnews@corell.dk> wrote:
> Et andet forslag, skulle vi ikke få automagiseret at OSS'en blev postet
> med jævne mellemrum her i gruppen ?

Eek, den fylder efterhaanden 150KB og det er kun afsnittene rettet mod
"private brugere" der er ved at naerme sig et komplet stadie -- er det
en god ide saa?

Jeg synes selv det er lettere at laese saa store dokumenter i en web
browser end i min newsreader.

Maaske et regelmaessigt velkommen brev ligesom i comp.lang.c og hvor det
nu ellers sker?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:
> Thomas <intheNOSPAMnews@corell.dk> wrote:
>> Et andet forslag, skulle vi ikke få automagiseret at OSS'en blev postet
>> med jævne mellemrum her i gruppen ?
>
> Eek, den fylder efterhaanden 150KB og det er kun afsnittene rettet mod
> "private brugere" der er ved at naerme sig et komplet stadie -- er det
> en god ide saa?

Det er det så ikke ;)

> Jeg synes selv det er lettere at laese saa store dokumenter i en web
> browser end i min newsreader.

Alternativt, kunne man så sende indholdsfortegnelsen, med en henvisning
til webside-udgaven ?

> Maaske et regelmaessigt velkommen brev ligesom i comp.lang.c og hvor det
> nu ellers sker?

Jeg tror mange kaster sig sidelæns ind i grupperne, uden at læse
fundats/OSS. Hvis der ligger et inlæg a la "disse spørgsmål kan du få
besvaret på X", vil vi nok undgå nogle af de tråde vi helst var foruden.

--
Don't waste space

---

Thomas Corell wrote:
>
> Alternativt, kunne man så sende indholdsfortegnelsen, med en henvisning
> til webside-udgaven ?

Det lyder som en god idé.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Thomas Corell <intheNOSPAMnews@corell.dk> wrote:

>Alternativt, kunne man så sende indholdsfortegnelsen, med en henvisning
>til webside-udgaven ?

Fremragende ide. Saa er det lidt lettere at holde oeje med, om
der dukker nye afsnit op i OSS'en.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Alex Holst wrote:
> Maaske et regelmaessigt velkommen brev ligesom i comp.lang.c og hvor det
> nu ellers sker?

Evt. med en liste over de sidste ændringer.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/

---

Lars Kim Lund wrote:

> Det er godt nok et virus/orme-problem og man kan diskutere hvor
> on-topic det er i forhold til denne gruppe.

Vi har jo en dedikeret virus-gruppe, men jeg synes også det kunne have
en plads i en generel sikkerheds-faq.

Alex, du er velkommen til at bruge nedenstående - og i andre er
naturligvis velkommen til at kommentere det og evt. komme med mere
tekniske vejledninger.

Om E-mail og virus

Hvordan kan man få virus via E-mail?
Når man sender e-mail har man mulighed for at vedhæfte forskellige filer
(dokumenter, programmer og andet). Disse filer kan desværre også indeholde
virus.
En virus i et bilag er ikke i sig selv farlig - den skal først “aktiveres”
inden den kan gøre noget. Virusen vil normalt blive aktiveret, når man
forsøger at åbne bilaget til e-mailen, men nogle vira udnytter fejl i
e-mail programmet og kan på den måde blive åbnet automatisk.

Hvordan undgår jeg virus?
Luk aldrig et bilag op, hvis du ikke er helt sikker på hvad det
indeholder! Slet mailen eller kontakt afsenderen for at få det opklaret.
Vira kan sende sig selv videre - derfor er det ikke sikkert at den person,
der står som afsender, selv har sendt mailen! Kontakt ham/hende for at få
det afklaret, hvis du ikke forventer at modtage noget bilag fra den
person.

Et anti-virus program fanger de vira, det kender - hvilket vil være stort
set alle de vira, man kan risikere at modtage, hvis man altså sørger for
at holde sit anti-virus program opdateret. Det kan dog aldrig give 100%
sikkerhed, da der hele tiden kommer nye vira.

Mit anti-virus program siger jeg har fået en virus - hvad gør jeg?
Ingen panik - slet bare mailen. Hvis anti-virus programmet har fanget en
virus, så har det også stoppet den. Lad være med at skrive til afsenderen
uden at læse næste afsnit...

Nogen andre siger jeg har fået en virus - hvad gør jeg?
Ingen panik - hvis dit anti-virus program er opdateret, er det sikkert en
fejlagtig advarsel! Som nævnt kan en virus sende sig selv videre - og ofte
sker det med falsk afsenderadresse. Virusen kigger i adressebogen på den
computer, der er blevet ramt af virusen og bruger disse adresser som
falske afsender-adresser.
Hvis du modtager en advarsel, kan det altså meget vel være en anden
persons computer - hvor du står i adressebogen - der har sendt virusen
(med din e-mail adresse som afsender).
Modtager du selv en virus, er det altså heller ikke sikkert, at den kommer
fra den person, der står som afsender.

Advarsler om vira?
Det sker jævnligt, at der bliver sendt advarsler ud om forfærdelige vira,
med nærmest magiske kræfter. Ofte er der henvisninger til store firmaer
som Microsoft eller IBM, men ikke noget præcist. Disse advarsler er ren
fantasi! Send dem ikke videre, og gør ikke hvad de ellers forsøger at
lokke dig til!

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/

---

Jonathan Stein skrev:

> Alex, du er velkommen til at bruge nedenstående

Det er efter min mening meget at skrive om virus i
sikkerhedsgruppens OSS. Der er faktisk en OSS for d.e.s.virus.
Var det ikke smartere at opdatere den og så evt. bare skrive en
kort notits i OSS for d.e.sikkerhed og en henvisning?

En hel del af det du skriver, er allerede dækket ind, men det var
nok på tide at få OSS'en opdateret. Jeg åbner for virusgruppen og
starter en tråd om det.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen <nospamfor@lundhansen.dk> wrote:
> Jonathan Stein skrev:
>
>> Alex, du er velkommen til at bruge nedenstående
>
> Det er efter min mening meget at skrive om virus i
> sikkerhedsgruppens OSS. Der er faktisk en OSS for d.e.s.virus.

Jeg er enig heri. Der er et par referencer i OSS'en over til virus
gruppen, men hvor hoerer orme hjemme? Fundatsen for virus gruppen
naevner ikke orme.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:
>
> Fundatsen for virus gruppen naevner ikke orme.

Hvad er egentlig den præcise definition af en virus
og en orm? Nogle mennesker bruger tilsyneladende de
to begreber i flæng.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Kasper Dupont wrote:

> Alex Holst wrote:
>>
>> Fundatsen for virus gruppen naevner ikke orme.
>
> Hvad er egentlig den præcise definition af en virus
> og en orm? Nogle mennesker bruger tilsyneladende de
> to begreber i flæng.

Svjv er forskellen (ligesom i virkeligheden :) at en orm inficerer systemer,
men ikke direkte forårsager datatab - det vil en virus til gengæld.

At orme så kan skabe store problemer skyldes at de (typisk) formerer sig
særdeles hurtigt (som fx sql.slammer)

Men nu er jeg ikke ekspert på området, så alle forbehold tages :)

--
M.V.H
Christian Iversen

---

Christian Iversen skrev:

>Svjv er forskellen (ligesom i virkeligheden :) at en orm inficerer systemer,
>men ikke direkte forårsager datatab - det vil en virus til gengæld.

Det kan man ikke sige. En af de tidligste virusser hed "Fall".
Det var i tekstskærmenes tid På et inficeret system ville man
pludselig se et bogstav falde fra sin rigtige position og ned i
bunden af skærmen. Lidt efter faldt endnu et og så flere, og i
løbet af et par minutter var alle bogstaverne faldet ned i bunden
af skærmen. I den næste version kom en lille animeret mand (husk
det var en tekstskærm) med en kost og fejede bogstaverne ud til
siden. Men der blev ikke ødelagt nogen data ud over at
programmerne fyldte lidt mere fordi viruskoden var flettet ind i
dem.

>At orme så kan skabe store problemer skyldes at de (typisk) formerer sig
>særdeles hurtigt (som fx sql.slammer)

Ja.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:

> Christian Iversen skrev:
>
>>Svjv er forskellen (ligesom i virkeligheden :) at en orm inficerer
>>systemer, men ikke direkte forårsager datatab - det vil en virus til
>>gengæld.
>
> Det kan man ikke sige. En af de tidligste virusser hed "Fall".
> Det var i tekstskærmenes tid På et inficeret system ville man
> pludselig se et bogstav falde fra sin rigtige position og ned i
> bunden af skærmen. Lidt efter faldt endnu et og så flere, og i
> løbet af et par minutter var alle bogstaverne faldet ned i bunden
> af skærmen. I den næste version kom en lille animeret mand (husk
> det var en tekstskærm) med en kost og fejede bogstaverne ud til
> siden. Men der blev ikke ødelagt nogen data ud over at
> programmerne fyldte lidt mere fordi viruskoden var flettet ind i
> dem.

Ja, den kender jeg godt - og jeg vil egentlig ikke påstå at det er en virus.
McAffee (m.fl) kategoriserer dem som "sjove" småprogrammer. Flere af dem
(som den du omtaler) har ormelignende egenskaber.

--
M.V.H
Christian Iversen

---

Christian Iversen skrev:

>Ja, den kender jeg godt - og jeg vil egentlig ikke påstå at det er en virus.

Nu har jeg ikke adgang til programmet, så jeg kan ikke afgøre det
med sikkerhed. Men det er karakteristisk for en virus at den
hægter sig selv på et værtsprogram og får det til at producere
kopier. Det er deraf navnet kommer fordi sådan gør en organisk
virus også.

>McAffee (m.fl) kategoriserer dem som "sjove" småprogrammer.

Der er lavet uægte virusser som bare illuderer et angreb uden at
virusfunktionen findes i programmet. Det kan være sådan noget de
tænker på. Enhver ægte virus er skadelig selv om payloaden er
harmløs.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Christian Iversen <iversen@it.dk> writes:

> Svjv er forskellen (ligesom i virkeligheden :) at en orm inficerer systemer,
> men ikke direkte forårsager datatab - det vil en virus til gengæld.

Der er masser af virusser der ikke direkte forårsager datatab. De er
dog fremmedlegemer og bruger resourcer, og kan derfor måske få andre
programmer til at skabe sig og indirekte forårsage datatab ... hvilket
også er derfor man vil af med dem igen.

> At orme så kan skabe store problemer skyldes at de (typisk) formerer sig
> særdeles hurtigt (som fx sql.slammer)

Det er nok snarere dårligt design. En orm der ikke brugte så mange
resourcer ville nok sprede sig langsommere, men ville til gengæld
kunne holde sig uopdaget længere.

Den første kendte internet-orm, kendt som "the Morris Worm", havde
netop en kodefejl der gjorde at den spredte sig mange gange hurtigere
end meningen var.

Læs mere om den i RFC 1135 (som også beskriver forskellen på en orm og
en virus)
<URL:http://rfc.sunsite.dk/rfc/rfc1135.html>

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Hvad er egentlig den præcise definition af en virus
> og en orm? Nogle mennesker bruger tilsyneladende de
> to begreber i flæng.

En orm spreder sig automatisk og maalrettet fra maskine til maskine,
mens en virus ikke kan se forskel paa maskiner -- den inficerer blot de
drev og filer den finder.

En virus har typisk noget resident kode der opfanger systemkald, hvilket
goer at den kan skrive sig til filer der bliver aabnet og MBRs. Det er
ikke usaedvanligt at en virus skriver sig til samtlige .exe eller .doc
filer paa et system, mens en orm ikke spilder tid paa den slags. Den vil
videre.

Der findes ogsaa hybrider som kan forvirre enhver.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Kasper Dupont skrev:

>Hvad er egentlig den præcise definition af en virus
>og en orm?

En virus inficerer en værts'organisme' og omstiller den til at
reproducere og sprede virussen i hobetal.

En orm er et program der reproducerer sig selv.

>Nogle mennesker bruger tilsyneladende de to begreber i flæng.

Ja. "Virus" bruges ukritisk om alle skadelige programmer der
florerer på nettet. I

   http://www.usenet.dk/oss/dk.edb.sikkerhed.virus/

kan du læse mere derom.

Sammenblandingen fremmes af at mange skadelige programmer er
blandingstyper. Man kan f.eks. nemt have en dropper der både
reproducerer sig selv (orm) og dropper en virus.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

In <3E3538FC.5235029E@daimi.au.dk> Kasper Dupont <kasperd@daimi.au.dk> writes:

>Hvad er egentlig den præcise definition af en virus
>og en orm? Nogle mennesker bruger tilsyneladende de
>to begreber i flæng.

Hvis du leder efter en formel definition (med Turing-maskiner og hvad
har vi) kan Fred Cohens "A Short Course on Computer Viruses" (Wiley
1994) anbefales. De interessante dele kan også findes, et eller andet
sted, på hans website: <www.all.net>, der iøvrigt indeholder en masse
interessante ting vedr. sikkerhed generelt.

Iflg. Cohens definition er en orm blot et specialtilfælde af en virus.

mvh.
/rrh
--
Rene' Rydhof Hansen
email : rrh@imm.dtu.dk

---

Alex Holst skrev:

>Jeg er enig heri. Der er et par referencer i OSS'en over til virus
>gruppen, men hvor hoerer orme hjemme? Fundatsen for virus gruppen
>naevner ikke orme.

Jeg har taget konsekvensen af at alle skadelige programmer der
fistrer rundt på nettet, kaldes "virus". Derfor har jeg et afsnit
i OSS'en om orme.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Lars Kim Lund wrote:
>
> Hej alle og især Alex.
>
> Det er godt nok et virus/orme-problem og man kan diskutere hvor
> on-topic det er i forhold til denne gruppe.
>
> Men det er min oplevelse at de nyere orme, der sender mails med falske
> adresse-informationer og indhold fra gamle mails, er et stort problem
> på nettet.

Jeg synes det vil være en udmærket idé at dedikere et afsnit i
OSS til det formål. Man burde også nævne gængse orme som f.eks.
CodeRed, Nimda, Slapper, Slammer, etc. Hvad gør de, hvem er
udsat, hvem er ikke udat, hvordan kan man beskytte sig, hvilke
logbeskeder indikerer, at man er inficeret, hvilke logbeskeder
indikerer ikke, at man er inficieret.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Kasper Dupont skrev:

>Jeg synes det vil være en udmærket idé at dedikere et afsnit i
>OSS til det formål.

Det synes jeg ikke. Når der er en undergruppe om emnet (virus),
må det være der man skal arbejde med det. Jeg åbner en tråd om
opdatering af OSS'en for d.e.s.virus.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>> Det er godt nok et virus/orme-problem og man kan diskutere hvor
>> on-topic det er i forhold til denne gruppe.
>>
>> Men det er min oplevelse at de nyere orme, der sender mails med falske
>> adresse-informationer og indhold fra gamle mails, er et stort problem
>> på nettet.
>
>Jeg synes det vil være en udmærket idé at dedikere et afsnit i
>OSS til det formål. Man burde også nævne gængse orme som f.eks.
>CodeRed, Nimda, Slapper, Slammer, etc. Hvad gør de, hvem er
>udsat, hvem er ikke udat, hvordan kan man beskytte sig, hvilke
>logbeskeder indikerer, at man er inficeret, hvilke logbeskeder
>indikerer ikke, at man er inficieret.

Jo - og jeg er sådan set ligeglad med hvor den placeres. Faktisk
generer det mig så meget at det ikke findes på dansk at jeg har
overvejet at skrive det selv.

I forbindelse med mit arbejde må jeg dagligt tage dialoger med
forskellige parter, interne som eksterne, der ikke kan forstå de
underlige mails. Nogle bliver også beskyldt for at sende virus og at
det kommer fra vores systemer (hvilket naturligvis tydeligvis er
forkert hvis man gad læse headeren)

Derudover har jeg set eksempler på personlige mails, der er blevet
broadcastet til alle og enhver, hvilket jo sætter sikkerhedspolitiker
og datadisciplin i et andet perspektiv.

Det ville gøre min verden lettere hvis der fandtes et rigtig godt
dokument, som beskrev de mekanismer og f.eks. noget så simpelt som at
finde header-informationer fra de mest almindelige e-mail klienter,
der åbenbart er et stort problem for den almindelige hr og fru jensen.

--
Lars Kim Lund
http://www.net-faq.dk/

---

"Lars Kim Lund" <lkl@fabel.dk> skrev i en meddelelse
news:nmia3vgccnlraejittqhtp6fvqob7u153b@dtext.news.tele.dk...
>
> Det ville gøre min verden lettere hvis der fandtes et rigtig godt
> dokument, som beskrev de mekanismer og f.eks. noget så simpelt som at
> finde header-informationer fra de mest almindelige e-mail klienter,
> der åbenbart er et stort problem for den almindelige hr og fru jensen.
>
> --

Måske kan du bruge denne vejledning:
https://www.cert.dk/vejled/mailheader.shtml

Mvh Sophus Vørsing

---

"Sophus Vørsing" <sophus.vorsing@FJERNMIGtiscali.dk> wrote:

>> Det ville gøre min verden lettere hvis der fandtes et rigtig godt
>> dokument, som beskrev de mekanismer og f.eks. noget så simpelt som at
>> finde header-informationer fra de mest almindelige e-mail klienter,
>> der åbenbart er et stort problem for den almindelige hr og fru jensen.
>>
>> --
>
>Måske kan du bruge denne vejledning:
>https://www.cert.dk/vejled/mailheader.shtml

Jo, - tak.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund <lkl@fabel.dk> wrote:
> Jo - og jeg er sådan set ligeglad med hvor den placeres. Faktisk
> generer det mig så meget at det ikke findes på dansk at jeg har
> overvejet at skrive det selv.

Det er ud til at virus gruppen er det rigtige sted. Det kan vaere de
tager imod bidrag til emnet. (Jeg aner ikke om du laeser gruppen.)

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org