ColdRoot - Wieder mal ein Schädling powered by Delphi :D

**Zacherl**

Die sagen oftmals einfach nur "Oh Delphi ... bööööööse" oder "Oh Indy ... bööööööse".

Dachte erst, dass beides der Grund ist, warum von vorgestern auf gestern die Anzahl der Scanner, die ein Programm von mir finden, von 0/67 auf 7/67 gestiegen ist. Lag aber an NSIS, die einzigen beiden enthaltenen Delphi-EXEs sind clean. Genau so bescheuert wie die Definition "Delphi" oder "Indy", was auf mein Programm zutrifft. Kaspersky wie immer, reiner Amateurverein. Nur getoppt von Bkav, das mal ein Programm von mir erkannt hat, aber nach Übersetzen einiger Strings und Forms auf Englisch (ohne Kompilieren) wurde das Programm nicht mehr bemängelt. Kriterium war offenbar "enthält deutschen Text".

Ja, Signaturen haben damit eigentlich wenig zu tun; das liegt an der Heuristik. Hierbei werden bestimmte WinAPIs als verdächtig eingestuft. Ein weiterer Faktor ist die Entropie des Kompilats. Hohe Entropie = sehr wahrscheinlich gepackt/gecrypted = verdächtig. Es wird natürlich "versucht" NSIS, UPX, etc. zu erkennen, automatisiert zu entpacken und dann erst zu analysieren. Wenn das aus irgendeinem Grund scheitert, können schon - wie in deinem Falle - einfache geänderte Strings ausschlaggebend für eine Detection sein. Hierbei liegt es aber meistens nicht an den Strings ansich, sondern daran, dass deren Änderung irgendwie Nebeneffekte hat.

ColdRoot - Wieder mal ein Schädling powered by Delphi :D

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D

Forumregeln