AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Sprachen und Entwicklungsumgebungen Sonstige Fragen zu Delphi Delphi AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool
Thema durchsuchen
Ansicht
Themen-Optionen

AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool

Ein Thema von stz · begonnen am 21. Apr 2007 · letzter Beitrag vom 26. Apr 2007
Antwort Antwort
Benutzerbild von stz
stz

Registriert seit: 8. Sep 2005
Ort: Neuendeich, Lübeck
277 Beiträge
 
Turbo Delphi für Win32
 
#1

AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool

  Alt 21. Apr 2007, 13:45
Moin zusammen,
ich habe mal ein kleines Tool geschrieben, dass die aktuelle IP-Adresse unseres Servers in der Schule von der Schulwebsite herunterlädt und in die Zwischenablage kopiert. Nun habe ich mir gerade die aktuelle Version von Aviras AntiVir Personal Edition Classic installiert und mein harmloses Tool wird als TR/Delphi.Downloader.Gen erkannt.
Was da steht klingt ja auch alles ganz richtig: Es handelt sich um ein Delphi-Programm, das etwas aus dem Internet herunterlädt, aber doch nicht um ein Trojanisches Pferd!
AntiVir bietet mir nur an, mein Tool zu löschen oder mich regelmäßig wieder zu nerven. Was kann ich da tun? Hat so was schon mal jemand gehabt?

Das Tool:
Delphi-Quellcode:
program SchulServerIP;

{$R *.res}

uses
  WinInet, WinSock, Windows;

function LoadURL(URL: String): String;
var
  IOpen, IURL: HINTERNET;
  Read: Cardinal;
  Msg: array[0..4096] of Char;
begin
  Result := '';
  try
    IOpen := InternetOpen('Delphi-PRAXiS', INTERNET_OPEN_TYPE_PRECONFIG, '', '',
        INTERNET_FLAG_NEED_FILE);
    if IOpen <> nil then
    try
      IURL := InternetOpenUrl(IOpen, PAnsiChar(URL), nil, 0,
          INTERNET_FLAG_NO_UI, 0);
      if IURL <> nil then
      try
        repeat
          FillChar(Msg, SizeOf(Msg), 0);
          if InternetReadFile(IURL, @Msg[0], Pred(SizeOf(Msg)), Read) then
            Result := Result + Msg
          else
            Break;
        until Read = 0;
      finally
        InternetCloseHandle(IURL);
      end;
    finally
      InternetCloseHandle(IOpen);
    end;
  except
  end;
end;
//http://www.delphipraxis.net/topic6323_http+seite+einlesen+nonvcl.html

procedure CopyTextToClipboard(aWnd: HWND; aText: PChar);
var
  Data: THandle;
  DataPtr: Pointer;
  Size: Integer;
  oldWND: HWND;
begin
  Size := Length(aText) + 1;
  OpenClipboard(aWnd); //Open Clipboard
  try
    EmptyClipboard; // Clear Clipboard
    oldWND := SetClipboardViewer(aWnd); // Clipboard für Programm registr.
    Data := GlobalAlloc(GMEM_MOVEABLE or GMEM_DDESHARE, Size); // Get Memory
    try
      DataPtr := GlobalLock(Data);
      try
        Move(aText^, DataPtr^, Size);
        SetClipboardData(CF_TEXT, Data); // Clpbrd-Format as Text & send Text
      finally
        GlobalUnlock(Data);
      end;
    except
      GlobalFree(Data); // Free res. Memory
      raise; // Get global Memory Err
    end;
    ChangeClipboardChain(aWnd, oldWND);
  finally
    CloseClipboard; //Close Clipboard
  end;
end;
//http://www.delphipraxis.net/topic73806_nonvcl+send+to+clipboard+as+name+eigenbau.html

var
  s: String;

begin
  s := LoadURL('http://www.lms-sh.de/ip/ip');
  while s[Length(s)] in [' ', #13, #10, #0] do
    SetLength(s, Length(s) - 1);
  CopyTextToClipboard(0, PChar(s));
end.
Gruß
Malte
Angehängte Dateien
Dateityp: exe schulserverip_588.exe (16,5 KB, 5x aufgerufen)
Malte Schmitz
Der Unterschied zwischen Theorie und Praxis ist in der Praxis größer als in der Theorie.

Entwickler des HTML-Editors MEdit (DP)
  Mit Zitat antworten Zitat
Benutzerbild von MagicAndre1981
MagicAndre1981

Registriert seit: 4. Jun 2004
Ort: Nordhausen
2.214 Beiträge
 
Delphi 7 Enterprise
 
#2

Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool

  Alt 21. Apr 2007, 13:50
schick die Exe an die Entwickler damit sie die Virendefinition anpassen können.
André
"A programmer is just a tool which converts caffeine into code", daran wirds wohl liegen, dass ich Abends nie pennen kann

Zitat von Luckie:
Nicht nur dass ihr offtopic geworden seid, jetzt werdet ihr selber im Offtopic noch offtopic
  Mit Zitat antworten Zitat
Benutzerbild von Meflin
Meflin

Registriert seit: 21. Aug 2003
4.856 Beiträge
 
#3

Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool

  Alt 21. Apr 2007, 13:53
Moin,

das Thema gabs hier schon öfter in der DP

Bösartige Software, die in Delphi geschrieben wurde, verwendet die gleichen Units wie du. Wenn also die Virenlabs eine Signatur erstellen, kann es durchaus vorkommen dass da zufällig die gleichen Code-Teile (verm. WinSock) verwendet werden. Somit ist dein Programm "bösartig"...

Suche in der DP lohnt sich

  Mit Zitat antworten Zitat
Benutzerbild von stz
stz

Registriert seit: 8. Sep 2005
Ort: Neuendeich, Lübeck
277 Beiträge
 
Turbo Delphi für Win32
 
#4

Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool

  Alt 21. Apr 2007, 15:34
Zitat von MagicAndre1981:
schick die Exe an die Entwickler damit sie die Virendefinition anpassen können.
Ich habe auf der Avira-Website ein Formular gefunden, mit dem man Fehlalarme melden kann. Ich habe das jetzt einfach mal ausgefüllt und die Exe mitgeschickt. Zusätzlich habe ich sie hier an den ersten Beitrag angehängt und diesen Threat als URL mit angegeben. Bin gespannt was passiert...

Gruß
Malte
Malte Schmitz
Der Unterschied zwischen Theorie und Praxis ist in der Praxis größer als in der Theorie.

Entwickler des HTML-Editors MEdit (DP)
  Mit Zitat antworten Zitat
brechi

Registriert seit: 30. Jan 2004
823 Beiträge
 
#5

Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool

  Alt 21. Apr 2007, 16:36
Bei Avira reichts schon wenn du die reihenfolge der units unter uses änderst, oder eifnach zwischen dem code ein nop einfügst.
Ist zwar nicht schön aber eine Übergangslösung. Einfach mal alles zwischen begin und eind auskommentieren und dann immer wieder hinzunehmen bis du weißt was erkennt wird. das dann eifnach bisl umschreiben.
  Mit Zitat antworten Zitat
Benutzerbild von stz
stz

Registriert seit: 8. Sep 2005
Ort: Neuendeich, Lübeck
277 Beiträge
 
Turbo Delphi für Win32
 
#6

Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool

  Alt 24. Apr 2007, 23:13
Moin Moin,
nachdem ich das Tool bei Avira gemeldet habe als Fehlalarm, habe ich heute die Antwort bekommen, dass die Datei tatsächlich als Fehlalarm eingestuft wurde und die Definition angepasst wird: der Bericht von Avira

Wenn jetzt mit dem nächsten Update der Fehlalarm weg ist, bin ich rundum zufrieden mit dem Service

Gruß
Malte
Malte Schmitz
Der Unterschied zwischen Theorie und Praxis ist in der Praxis größer als in der Theorie.

Entwickler des HTML-Editors MEdit (DP)
  Mit Zitat antworten Zitat
Dezipaitor

Registriert seit: 14. Apr 2003
Ort: Stuttgart
1.701 Beiträge
 
Delphi 7 Professional
 
#7

Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool

  Alt 25. Apr 2007, 21:21
hast du denen auch den Quellcode gezeigt?
Christian
Windows, Tokens, Access Control List, Dateisicherheit, Desktop, Vista Elevation?
Goto: JEDI API LIB & Windows Security Code Library (JWSCL)
  Mit Zitat antworten Zitat
GTA-Place

Registriert seit: 5. Apr 2004
Ort: Weingarten
91 Beiträge
 
Delphi 7 Personal
 
#8

Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool

  Alt 25. Apr 2007, 21:29
Wieso sollte er?

PS: Avira ist sehr schnell. Hab bei denen mein Schul-Praktikum gemacht
Fabian
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.639 Beiträge
 
#9

Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool

  Alt 25. Apr 2007, 22:11
Hehe, ich hab da auch mal ein paar Monate im Virenlabor gearbeitet.
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
Benutzerbild von stz
stz

Registriert seit: 8. Sep 2005
Ort: Neuendeich, Lübeck
277 Beiträge
 
Turbo Delphi für Win32
 
#10

Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool

  Alt 26. Apr 2007, 19:54
Zitat von Dezipaitor:
hast du denen auch den Quellcode gezeigt?
Zitat von stz:
Ich habe das jetzt einfach mal ausgefüllt und die Exe mitgeschickt. Zusätzlich habe ich sie hier an den ersten Beitrag angehängt und diesen Threat als URL mit angegeben.
Ich weiß natürlich nicht, ob sie die URL verfolgt haben, aber wenn ja, dann hatten sie auch den Source

Gruß
Malte
Malte Schmitz
Der Unterschied zwischen Theorie und Praxis ist in der Praxis größer als in der Theorie.

Entwickler des HTML-Editors MEdit (DP)
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 05:50 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz