AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Betriebssysteme Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
Thema durchsuchen
Ansicht
Themen-Optionen

Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe

Ein Thema von SimStar001 · begonnen am 27. Aug 2009 · letzter Beitrag vom 28. Aug 2009
Antwort Antwort
Seite 3 von 4     123 4      
generic

Registriert seit: 24. Mär 2004
Ort: bei Hannover
2.416 Beiträge
 
Delphi XE5 Professional
 
#21

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe

  Alt 28. Aug 2009, 10:19
Mein Software Uptodate läuft ohne Probleme durch 0 Treffer.

http://www.virustotal.com/de/analisi...fc2-1251447391

Bei den meisten von euch schlägt die heuristic an, weil ihr packer usw. verwendet.
Coding BOTT - Video Tutorials rund um das Programmieren - https://www.youtube.com/@codingbott
  Mit Zitat antworten Zitat
SimStar001

Registriert seit: 18. Jan 2008
594 Beiträge
 
#22

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe

  Alt 28. Aug 2009, 10:22
ja, auf packer habe ich bei diesen beiden test verzichtet...

Die Frage ist ja jetzt, wie ich herausfinden kann ob sich da nun wirklich nen virus dahinter versteckt, oder obs nur nen fehlalarm ist..

bei Fehleralarm, kann man dann irgendwie kontakt zu den herstellern des virenscanners aufnehemn und die file bei denen nochmal testen lassen?


lg marco!
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.071 Beiträge
 
Delphi 12 Athens
 
#23

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe

  Alt 28. Aug 2009, 10:54
Zitat:
was meinste du jetzt mit alle setups der letzten monate..??
Du hast dir doch bestimmt in den letzen Monaten (seitdem dieser Virus schon unterwegs ist)
neue Software oder Updates runtergeladen?

Ich speichere mir z.B. solche Dinge und hab mir 'ne kleines Setup-Verzeichnis auf einer externen Platte erstellt,
so daß ich beim Neuinstallieren des PCs nicht immer alles neu runterladen muß.


Nja und solche Setups sollten mal überprüft oder gleich neu besorgt werden, wenn der Verdacht besteht, daß da etwas "Böses" drin sein könnte.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
SimStar001

Registriert seit: 18. Jan 2008
594 Beiträge
 
#24

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe

  Alt 28. Aug 2009, 11:05
ja ne mache ich net so, ich lade es immer neu runter...
  Mit Zitat antworten Zitat
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#25

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe

  Alt 28. Aug 2009, 11:27
Hi SimStar001,

Du könntest Deine EXE auch mal bei ThreatExpert hochladen (http://www.threatexpert.com/). Ist möglicherweise ein Rootkit, welches Du Dir da eingefangen hast, hier mal ein Thread bei Rokop Security wo der "Trojan.Crypt!IK" auch auftaucht: http://www.rokop-security.de/index.p...st=20&start=20.

Ich habe sowas mal vor Jahren bei Sicherheitstests in einer VM beobachten können, die das Ziel hatte Infektionen durch Software aus nicht-offziellen Quellen zu testen.

Nein, es ging dabei nicht um "Raubkopien" per se, sondern um veränderte Downloads auf Mirror Hosts - ja, sowas kommt natürlich auch vor. Die Erkennungsrate der AV war erschreckend gering, deswegen haben wir ja heutzutage die ganze Heuristik in den Viren- und Malware-Scannern.

Die tatsächliche Entdeckungsquote von Virenscanner liegt bei neuen Bedrohungen nunmal so lange keine Signaturen vorliegen im Bereich zwischen 0% und 100%, auch wenn das Marketing etwas anderes suggerieren möchte. Gleiches gilt für E-Mail Filter (man erinnere sich an die Umgehung durch Sonderzeichen, die einfach gestrippt wurden - da hat der Filter die Malware selbst wieder gangbar gemacht).

Ohne Dir also zu nahe zu treten zu wollen, prüfe, ob irgendeine Software bei Dir möglicherweise so ein Problemfall sein könnte.

Es kann natürlich auch wirklich sein, daß es ein False-Positive ist. Aber der Trojan.Crypt!IK wird wohl erst seit Mitte April gefunden, also kann die Infektion schon lange zurück liegen.

Du könntest uns auch mal eine EXE anhängen (veränderte Extension bitte), dann wären weitere Tests möglich. Frage: Verwendest Du selbst irgendwelche Verschlüsselung in Deinem Source, den Du von irgendwo kopiert hast?

Zitat von generic:
Bei den meisten von euch schlägt die heuristic an, weil ihr packer usw. verwendet.
Soweit es sich um UPX handelt, ist dies meiner Meinung nach lange überholt. Das galt sicherlich vor vielen Jahren mal, aber UPX läßt sich heute von jeder Scan-Engine problemlos entpacken und wirft nicht mal mehr Warnungen. Nur die ganzen UPX Mods, die durch Änderungen der Header ein Entpacken erschweren sollen, werden geflaggt. Sowas zu nutzen ist aber auch ... nicht schlau, denn das Entpacken wird damit nicht wirklich erschwert. Gerade im Bereich portabler Anwendungen wird UPX oft verwendet, z.B. bei PortableApps. Die liegen bei über 100 Millionen Downloads ohne einen einzigen öffentlich gewordenen False-Positive.

Bei anderen EXE Packern und Crypter gilt dies natürlich oft weiterhin, aber SimStar sagt ja, die EXE ist zuletzt unverändert getestet.

Gruß Assertor
Frederik
  Mit Zitat antworten Zitat
SimStar001

Registriert seit: 18. Jan 2008
594 Beiträge
 
#26

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe

  Alt 28. Aug 2009, 11:51
Also verschlüsselungen verwende ich zur zeit nicht im quellcode...
was ich zuvor mal gemacht hatte war die exe mit WinLicense zu sichern, gegen angriffe....

aber wie gesagt, die letzten test waren ohne packer, nur die reine comilierte .exe...

so dann häge ich mal die file an:

bei threatexpert dauerts noch...
Angehängte Dateien
Dateityp: rar easyclearance3_491.rar (584,1 KB, 2x aufgerufen)
  Mit Zitat antworten Zitat
SimStar001

Registriert seit: 18. Jan 2008
594 Beiträge
 
#27

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe

  Alt 28. Aug 2009, 12:22
So hier mal ein paar Ergebnisse:

Easy Clearance 3 : http://www.threatexpert.com/report.a...fa13b3be1fc702
ECFSTServ : http://www.threatexpert.com/report.a...eb62f11b1a88a7
VoiceATIS : ...pending...


so was sagt mir das ganze jetzt? sieht irgendwie nicht danach aus, als wäre es befallen oder?
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.858 Beiträge
 
Delphi 11 Alexandria
 
#28

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe

  Alt 28. Aug 2009, 12:34
McAfee findet auch nichts
Markus Kinzler
  Mit Zitat antworten Zitat
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#29

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe

  Alt 28. Aug 2009, 12:34
Hi,

Deine Anwendung EC3 crasht bei ThreatExpert.

Aber auf Anhieb kann ich auch nichts ungewöhnliches sehen. Du verwendest Indy (eine ältere Version afaik), Units für RAR (Entpacken per unrar.dll), Alzaimars csWorkerThread und einige eigene Sachen. Wieso stand obene eigentlich was von FTP Transfer, ich kann hier keinen FTP Traffic in der VM sniffen...

Ich würde mal die beiden Hersteller von Virustotal anschreiben, damit die das ggf. als False-Positive flaggen (oder Dir nachweisen, es ist doch was drin).

Gruß Assertor
Frederik
  Mit Zitat antworten Zitat
SimStar001

Registriert seit: 18. Jan 2008
594 Beiträge
 
#30

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe

  Alt 28. Aug 2009, 12:57
alles klar, dann werde ich mal die beiden anschreiben...

weshalb das tool crashed: es fehlen dateien würde ich sagen, habe nur die exe hochgeladen... oder kann man dort auch nen ordner oder so hochladen?
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 4     123 4      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:14 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz