AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

McAfee meldet "New Win32-Virus"

Ein Thema von MCQ · begonnen am 6. Feb 2004 · letzter Beitrag vom 14. Feb 2004
Antwort Antwort
MCQ

Registriert seit: 14. Jan 2004
Ort: Dessau
80 Beiträge
 
#1

McAfee meldet "New Win32-Virus"

  Alt 6. Feb 2004, 16:25
Vorwort:
Ich weiss nicht so genau ob diese Frage in einem Delphi-Forum richtig ist oder lieber in ein Assembler-Forum sollte, aber ich versuch's einfach mal.

Mein Problem:
Ich hab voriges Jahr mit einem Kumpel zusammen einen Exe-Crypter programmiert und jetzt stell ich fest, das McAfee Virusscan bei den mit diesem Programm Codierten EXE-Dateien immer meldet "New Win32-Virus".

Vorgehensweise des Programms:
Es sucht den Enty-Point des Programms und schaut in welcher Programm-Sektion er sich befindet. Diese Sektion kodiert er und setzt in einen freien bereich zwischen EXE-Header und Win32-Header eine Prozedur zum dekodieren. Anschließend ändert er den Enty-Point so ab, das die Dekodierungs-Prozedur als erstes ausgeführt weird und diese Prozedur dann zum Enty-Point springt.

Abschließende Bemerkung:
Also ansich find ich ja gut das McAfee merkt das mit der Datei etwas nicht stimmt, aber da es sich ja um keinen Virus an sich handelt, sondern um ein gewolltes ändern der Datei ist das leider dort fehl am Platze.

Meine Frage:
Wie kann mann diesen "Bug" beheben.
  Mit Zitat antworten Zitat
6. Feb 2004, 16:30
Dieses Thema wurde von "sakura" von "Windows API" nach "Sonstige Fragen zu Delphi" verschoben.
Das hat so erst einmal nichts mit der WinAPI zu tun
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#3

Re: McAfee meldet "New Win32-Virus"

  Alt 6. Feb 2004, 16:30
Zitat:
Anschließend ändert er den Enty-Point so ab, das die Dekodierungs-Prozedur als erstes ausgeführt weird und diese Prozedur dann zum Enty-Point springt.
In dem du solchen Blödsinn sein läßt. Das ist nämlich genau die Vorgehensweise eine Viruses. Sie hängen sich hinten dran, dann ändern sie den Entry-Point, damit der Viruscode zu erstausgeführt wird, dann wird zum originalen Entry-Point gesprungen.

Btw Viren ändern die original Anwendung auch gewollt.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
MCQ

Registriert seit: 14. Jan 2004
Ort: Dessau
80 Beiträge
 
#4

Re: McAfee meldet "New Win32-Virus"

  Alt 6. Feb 2004, 16:45
Zitat:
Das ist nämlich genau die Vorgehensweise eine Viruses. Sie hängen sich hinten dran, dann ändern sie den Entry-Point, damit der Viruscode zu erstausgeführt wird, dann wird zum originalen Entry-Point gesprungen.
Stimmt ...

Zitat:
In dem du solchen Blödsinn sein läßt.
Hast du ne Idee, wie's ander's geht? Bei Programmen wie UPX oder ASPack meckert McAfee ja auch nicht.

Zitat:
Viren ändern die original Anwendung auch gewollt.
*lol* da hast du schon Recht, aber ich meinte damit "vom Anwender gewollt" und nicht "vom Programmierer gewollt" wobei es in erster Linie vom Programmierer gewollt sein muss, damit es der Anwender ünerhaupt machen kann
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#5

Re: McAfee meldet "New Win32-Virus"

  Alt 6. Feb 2004, 16:47
Zitat von MCQ:
Hast du ne Idee, wie's ander's geht? Bei Programmen wie UPX oder ASPack meckert McAfee ja auch nicht.
Die dürften anders funktionieren, wohl ähnlich wie ein selbstentpackendes Archiv oder so.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
MCQ

Registriert seit: 14. Jan 2004
Ort: Dessau
80 Beiträge
 
#6

Re: McAfee meldet "New Win32-Virus"

  Alt 6. Feb 2004, 16:52
Zitat:
Die dürften anders funktionieren, wohl ähnlich wie ein selbstentpackendes Archiv oder so.
Öhm ... Wie ein selbst Extrahierendes Archiv funktionieren die nicht gerade, schließlich erstellen die ja keine Dateien auf der Festplatte. Den Source-Code von UPX hab ich auch da (komplett in ASM), aber diese Vorgehensweise, hab ich auch schon in mehren Tutorials für Win32-Viren gelesen, deshalb hab ich das lieber gelassen, weil das zum einennen riesiger aufwand wäre und zum anderen die gefahr, das es wieder als Virus identifiziert wird nicht gerade lindert.
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#7

Re: McAfee meldet "New Win32-Virus"

  Alt 6. Feb 2004, 17:00
Ich sagte auch so ähnlich. Bitte genau lesen.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
MCQ

Registriert seit: 14. Jan 2004
Ort: Dessau
80 Beiträge
 
#8

Re: McAfee meldet "New Win32-Virus"

  Alt 6. Feb 2004, 17:16
Naja, wie ein Selbstextrahierendes Archiv, das den Speicher entpackt, so könnte man es vielleicht ausdrücken. Aber ne richtige Idee, was genau man machen müsste hast du nicht, oder?
  Mit Zitat antworten Zitat
NicoDE
(Gast)

n/a Beiträge
 
#9

Re: McAfee meldet "New Win32-Virus"

  Alt 6. Feb 2004, 17:34
Zitat:
Bei Programmen wie UPX oder ASPack meckert McAfee ja auch nicht.
Weil die 'Signatur' beider bekannt ist - und mit an Sicherheit grenzender Wahrscheinlichkeit als 'negativ' (kein Virus) in der Datenbank eingetragen ist.
Ergo, kontaktiere den Hersteller (es wäre sicher nicht das erste Mal, das sie positive Signaturen in die Datenbank aufnehmen müßten).

ps: Vielleicht beteht die 'Lösung' eher darin, die Dekodierung in die gleiche Sektion (also nicht alles verschlüsseln) oder eine eigene zu legen (die übliche Vorgehensweise). Code zwischen den Headern ist alles andere als üblich (ich kenne zwar Dein Programm nicht, aber ich vermute, dass es gegen die PE-Spezifikation und/oder gegen die Spielregeln des Windows-Loaders verstößt...).
  Mit Zitat antworten Zitat
Benutzerbild von FriFra
FriFra

Registriert seit: 19. Apr 2003
1.291 Beiträge
 
Delphi 2005 Professional
 
#10

Re: McAfee meldet "New Win32-Virus"

  Alt 14. Feb 2004, 12:30
Also ich habe es auch schon mehrfach erlebt, dass verschiedene Virenscanner meine Programme als Virus identifizieren und das Problem liess sich bisher immer über die Antivieren Programmhersteller beseitigen. Symantec hat 2 Tage gebraucht, dann gab es eine neue Signatur wo dieser Bug mit berücksichtigt war und bei InoculateIt musste ich etwas mehr Druck machen, aber es ging schliesslich auch ...
In beiden Fällen haben auch kleine Programmänderungen und Neucompilierungen meinerseits keinerlei Besserung gebracht, da die entspr. Signatur danach trotzdem zustande kam .
Elektronische Bauelemente funktionieren mit Rauch. Kommt der Rauch raus, geht das Bauteil nicht mehr.
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:02 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz