AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Virus im Projekt?

Ein Thema von Erutan · begonnen am 20. Mär 2014 · letzter Beitrag vom 24. Mär 2014
Antwort Antwort
Seite 2 von 4     12 34      
Erutan

Registriert seit: 16. Mär 2013
71 Beiträge
 
Delphi 7 Professional
 
#11

AW: Virus im Projekt?

  Alt 20. Mär 2014, 15:36
Mein letztes Projekt, den Presse-Submitter erkennt (wieder einmal) nur McAffee

https://www.virustotal.com/de/file/0...is/1395326045/


Beängstigend ist dieses Ergebnis:

Es handelt sich um eine Form mit nur einem Button darauf

https://www.virustotal.com/de/file/1...is/1395326393/

Nun erkennen zahlreice Virenscanner einen Schädling.

Die einzige Veränderung zu gestern: Ich habe gestern (dummerweise) CamStudio (von der originalen Herstellerseite) geladen und installiert und erst bei der Installation festgestellt, daß zahlreiche adware mitinstalliert wurde.

Alles andere ist identisch zu gestern, vorgestern, letzten Monat...
Holger

Geändert von Erutan (20. Mär 2014 um 15:44 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu
Online

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.063 Beiträge
 
Delphi 12 Athens
 
#12

AW: Virus im Projekt?

  Alt 20. Mär 2014, 16:03
Was hat das Delphi Virus(W32/Induc-A) mit "Downloader.Win32.Bainload.tzd" zu tun?
Dieser Delphi-Virus damals war ja nur ein PoC (Proof of Concept) und machte erstmal nichts Böses, außer sich wild zu verbreiten (hemmungslosem Sex),
um aufzuzeigen, daß es da ein Sicherheitsleck gibt.

Natürlich könnte inzwischen jemand auf die idee gekommen sein und häte das "bösartig" weiterentwickeln können.


Nja, hat jetzt nicht nachgesehn, was Downloader.Win32.Bainload.tzd nun eigentlich sein soll.
Also kann es auch gut einfach nur, wie schon erwähnt, die Heuristik sein (Fehlalarm),
oder es gibt wirklich einen Virus, der sich bei ihm breit gemacht hat.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.582 Beiträge
 
Delphi 11 Alexandria
 
#13

AW: Virus im Projekt?

  Alt 20. Mär 2014, 16:14
Das stelle ich erst einmal ganz hinten an, denn wenn das einmal passiert ist und ich nicht weiß wo genau die Ursache liegt, dann passiert das bei einer Neuinstalation wieder. Und es ist echt Pain in the Ass Delphi 7 unter Windows 8 zum Laufen zu bringen.
Wie hast du es denn installiert? Ich hoffe nicht außerhalb von des Programme-Verzeichnisses und auch nicht mit Änderung von Rechten in dem Verzeichnis?

Meine Anleitung funktioniert auch unter Windows 8:
http://www.entwickler-ecke.de/topic_...ren_89408.html
Sebastian Jänicke
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
  Mit Zitat antworten Zitat
Erutan

Registriert seit: 16. Mär 2013
71 Beiträge
 
Delphi 7 Professional
 
#14

AW: Virus im Projekt?

  Alt 20. Mär 2014, 16:17
Okay, ich bin mir nun sehr sicher, daß ich mir gestern mit Camstudio etwas eingefangen habe. Ich lasse gerade alle möglichen Programme durch Virustotal laufen, die ich im Lufe der Zeit kompiliert habe. Hier das Ergebnis eines, schon recht alten Programmes:

https://www.virustotal.com/de/file/f...is/1395328193/

Das Besondere daran ist der Virenname "not-a-virus...blabla". Genau DAS sollte mit der Adware gestern installiert werden und wurde (angebich) von Kaspersky geblockt. Au ch heute findet Kaspersky nichts. Scan und Rootkitscan abgeschlossen. Ergebns: Kein Fund. Auch der Stinger von McAffe findet angeblich nichts. Dennoch hat das Mstding eine Programmexe befallen, und zwar noch nachträglich.
Holger
  Mit Zitat antworten Zitat
pesi

Registriert seit: 29. Aug 2003
Ort: 36217 Ronshausen
117 Beiträge
 
Delphi XE5 Professional
 
#15

AW: Virus im Projekt?

  Alt 20. Mär 2014, 17:26
Also ich hatte auch schon Probleme wenn ich ein Programm erstellt habe das Mails veschickt. Da reagieren anscheinend auch einige Scanner auf irgendwelche Routinen drauf. Da war dann die kompilierte Exe Ruck-Zuck irgendwo im Virenscanner-Nirwana verschluckt bevor ich sie überhaupt starten konnte!
  Mit Zitat antworten Zitat
d7user1
(Gast)

n/a Beiträge
 
#16

AW: Virus im Projekt?

  Alt 20. Mär 2014, 19:31
Zitat:
Da werden lediglich ein paar Regions erstellt, kombiniert und letztendlich einem Formular zugewiesen. Ich kann daran beim besten Willen nichts potentiell Gefährliches entdecken.
bei SendMessage ist das auch öfters so das nicht existierende viren gefunden werden

Delphi-Quellcode:
var
 HHandle: THandle;
 s: PChar;
 CopyData: TCopyDataStruct;
begin
 HHandle:= FindWindow('ziel.exe', nil);

 if HHandle<> 0 then
  begin
   with CopyData do
    begin
     s:= PWideChar(CopyData);
     dwData := 0;
     cbData := (StrLen(s) + 1) * SizeOf(Char);
     lpData := s;
    end;

   SendMessage(HHandle, WM_COPYDATA, 0, LongInt(@CopyData));
  end;
  Mit Zitat antworten Zitat
Benutzerbild von rhodan
rhodan

Registriert seit: 4. Okt 2005
Ort: Hamburg
150 Beiträge
 
Delphi 7 Personal
 
#17

AW: Virus im Projekt?

  Alt 20. Mär 2014, 19:41
hast du dir den Link von Deddy angeguckt auf seite 1?

klingt ziemlich plausibel für mich das du dich infiziert hast wenn selbst ne form mit button auffällig ist..
http://blog.marcocantu.com/blog/stop...phi_virus.html

lg
  Mit Zitat antworten Zitat
Benutzerbild von Garfield
Garfield

Registriert seit: 9. Jul 2004
Ort: Aken (Anhalt-Bitterfeld)
1.335 Beiträge
 
Delphi XE5 Professional
 
#18

AW: Virus im Projekt?

  Alt 21. Mär 2014, 09:36
Ich hatte vor ein paar Jahren auch einen Tipp vom Delphi-Treff mit Delphi 7 PE ausprobiert und sofort eine Virenmeldung erhalten. Hintergrund war wohl das eben dieses Beispiel auch in einem Virus verwendet wurde. Nachdem ich den Namen einer Variablen geändert hatte, gab es keine Virenmeldung mehr. Deshalb würde ich als erstes andere Variablennamen ausprobieren.
Gruss Garfield
Ubuntu 22.04: Laz2.2.2/FPC3.2.2 - VirtBox6.1+W10: D7PE, DXE5Prof
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu
Online

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.063 Beiträge
 
Delphi 12 Athens
 
#19

AW: Virus im Projekt?

  Alt 21. Mär 2014, 09:50
Nachdem ich den Namen einer Variablen geändert hatte, gab es keine Virenmeldung mehr. Deshalb würde ich als erstes andere Variablennamen ausprobieren.
Das kann so aber nicht zusammenhängen, denn die Variablennamen landen nicht in der EXE.
Genauso wie Namen der Konstanten und Funktionen/Proceduren nach dem Compilieren weg sind. Nur Namen von Typen, Klassen und (teilweise) von Methoden (standardmäßig nur published) landen in der EXE. (neuerdings auch private , protected und public, durch diese komische neue RTTI, wo auch die Namen der Felder und Property drin stehen)

Einem laufenden Programm ist der Name einer Variable auch vollkommen egal,
dem interessiert nur die Adresse und womöglich gibt es nichtmal eine Speicheradresse, da die Variable so kurzlebig und klein ist, daß sie gleich ganz in den CPU-Registern verschwindet.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.

Geändert von himitsu (21. Mär 2014 um 09:53 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von cookie22
cookie22

Registriert seit: 28. Jun 2006
Ort: Düsseldorf
936 Beiträge
 
Delphi XE2 Professional
 
#20

AW: Virus im Projekt?

  Alt 21. Mär 2014, 10:40
Okay, ich bin mir nun sehr sicher, daß ich mir gestern mit Camstudio etwas eingefangen habe. Ich lasse gerade alle möglichen Programme durch Virustotal laufen, die ich im Lufe der Zeit kompiliert habe. Hier das Ergebnis eines, schon recht alten Programmes:

https://www.virustotal.com/de/file/f...is/1395328193/

Das Besondere daran ist der Virenname "not-a-virus...blabla". Genau DAS sollte mit der Adware gestern installiert werden und wurde (angebich) von Kaspersky geblockt. Au ch heute findet Kaspersky nichts. Scan und Rootkitscan abgeschlossen. Ergebns: Kein Fund. Auch der Stinger von McAffe findet angeblich nichts. Dennoch hat das Mstding eine Programmexe befallen, und zwar noch nachträglich.
Bist du dir da ganz sicher?

Um es noch mal zu sagen "Trojan-Downloader.Win32.Banload.tzd" hat nun wirklich nichts mit dem bekannten Delphi Virus "W32/Induc-A" zu tun. Das eine ist ein Virus, das andere ein Trojan-Dropper.

In deinem Virus-Total Bericht werden dir zwei verschiedene Funde gezeigt, wovon einer nicht mal ein Virus ist. Das ist nur ein unwanted Adware-Programm. Wie sollte das denn eine Datei infizieren?

Bei diesem Ergebnis (48-2) kannst du mal getrost davon ausgehen, dass es sich hier um False-Positives handelt und die beiden Scanner schlechte Signaturen verwenden.
Gruß
Cookie
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 4     12 34      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 19:01 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz