Delphi-PRAXiS
Seite 2 von 4     12 34      
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Die Delphi-IDE (https://www.delphipraxis.net/62-die-delphi-ide/)
-   -   Virus im Projekt? (https://www.delphipraxis.net/179624-virus-im-projekt.html)

Erutan 20. Mär 2014 14:36
AW: Virus im Projekt?
 
Mein letztes Projekt, den Presse-Submitter erkennt (wieder einmal) nur McAffee

https://www.virustotal.com/de/file/0...is/1395326045/


Beängstigend ist dieses Ergebnis:

Es handelt sich um eine Form mit nur einem Button darauf

https://www.virustotal.com/de/file/1...is/1395326393/

Nun erkennen zahlreice Virenscanner einen Schädling.

Die einzige Veränderung zu gestern: Ich habe gestern (dummerweise) CamStudio (von der originalen Herstellerseite) geladen und installiert und erst bei der Installation festgestellt, daß zahlreiche adware mitinstalliert wurde.

Alles andere ist identisch zu gestern, vorgestern, letzten Monat...

himitsu 20. Mär 2014 15:03
AW: Virus im Projekt?
 
Zitat:
Zitat von cookie22 (Beitrag 1252735)
Was hat das Delphi Virus(W32/Induc-A) mit "Downloader.Win32.Bainload.tzd" zu tun?
Dieser Delphi-Virus damals war ja nur ein PoC (Proof of Concept) und machte erstmal nichts Böses, außer sich wild zu verbreiten (hemmungslosem Sex),
um aufzuzeigen, daß es da ein Sicherheitsleck gibt.

Natürlich könnte inzwischen jemand auf die idee gekommen sein und häte das "bösartig" weiterentwickeln können.


Nja, hat jetzt nicht nachgesehn, was Downloader.Win32.Bainload.tzd nun eigentlich sein soll.
Also kann es auch gut einfach nur, wie schon erwähnt, die Heuristik sein (Fehlalarm),
oder es gibt wirklich einen Virus, der sich bei ihm breit gemacht hat.

jaenicke 20. Mär 2014 15:14
AW: Virus im Projekt?
 
Zitat:
Zitat von Erutan (Beitrag 1252754)
Das stelle ich erst einmal ganz hinten an, denn wenn das einmal passiert ist und ich nicht weiß wo genau die Ursache liegt, dann passiert das bei einer Neuinstalation wieder. Und es ist echt Pain in the Ass Delphi 7 unter Windows 8 zum Laufen zu bringen.
Wie hast du es denn installiert? Ich hoffe nicht außerhalb von des Programme-Verzeichnisses und auch nicht mit Änderung von Rechten in dem Verzeichnis?

Meine Anleitung funktioniert auch unter Windows 8:
http://www.entwickler-ecke.de/topic_...ren_89408.html

Erutan 20. Mär 2014 15:17
AW: Virus im Projekt?
 
Okay, ich bin mir nun sehr sicher, daß ich mir gestern mit Camstudio etwas eingefangen habe. Ich lasse gerade alle möglichen Programme durch Virustotal laufen, die ich im Lufe der Zeit kompiliert habe. Hier das Ergebnis eines, schon recht alten Programmes:

https://www.virustotal.com/de/file/f...is/1395328193/

Das Besondere daran ist der Virenname "not-a-virus...blabla". Genau DAS sollte mit der Adware gestern installiert werden und wurde (angebich) von Kaspersky geblockt. Au ch heute findet Kaspersky nichts. Scan und Rootkitscan abgeschlossen. Ergebns: Kein Fund. Auch der Stinger von McAffe findet angeblich nichts. Dennoch hat das Mstding eine Programmexe befallen, und zwar noch nachträglich.

pesi 20. Mär 2014 16:26
AW: Virus im Projekt?
 
Also ich hatte auch schon Probleme wenn ich ein Programm erstellt habe das Mails veschickt. Da reagieren anscheinend auch einige Scanner auf irgendwelche Routinen drauf. Da war dann die kompilierte Exe Ruck-Zuck irgendwo im Virenscanner-Nirwana verschluckt bevor ich sie überhaupt starten konnte! :shock:

d7user1 20. Mär 2014 18:31
AW: Virus im Projekt?
 
Zitat:
Da werden lediglich ein paar Regions erstellt, kombiniert und letztendlich einem Formular zugewiesen. Ich kann daran beim besten Willen nichts potentiell Gefährliches entdecken.
bei SendMessage ist das auch öfters so das nicht existierende viren gefunden werden

Delphi-Quellcode:
var
 HHandle: THandle;
 s: PChar;
 CopyData: TCopyDataStruct;
begin
 HHandle:= FindWindow('ziel.exe', nil);

 if HHandle<> 0 then
  begin
   with CopyData do
    begin
     s:= PWideChar(CopyData);
     dwData := 0;
     cbData := (StrLen(s) + 1) * SizeOf(Char);
     lpData := s;
    end;

   SendMessage(HHandle, WM_COPYDATA, 0, LongInt(@CopyData));
  end;

rhodan 20. Mär 2014 18:41
AW: Virus im Projekt?
 
hast du dir den Link von Deddy angeguckt auf seite 1?

klingt ziemlich plausibel für mich das du dich infiziert hast wenn selbst ne form mit button auffällig ist..
http://blog.marcocantu.com/blog/stop...phi_virus.html

lg

Garfield 21. Mär 2014 08:36
AW: Virus im Projekt?
 
Ich hatte vor ein paar Jahren auch einen Tipp vom Delphi-Treff mit Delphi 7 PE ausprobiert und sofort eine Virenmeldung erhalten. Hintergrund war wohl das eben dieses Beispiel auch in einem Virus verwendet wurde. Nachdem ich den Namen einer Variablen geändert hatte, gab es keine Virenmeldung mehr. Deshalb würde ich als erstes andere Variablennamen ausprobieren.

himitsu 21. Mär 2014 08:50
AW: Virus im Projekt?
 
Zitat:
Zitat von Garfield (Beitrag 1252846)
Nachdem ich den Namen einer Variablen geändert hatte, gab es keine Virenmeldung mehr. Deshalb würde ich als erstes andere Variablennamen ausprobieren.
Das kann so aber nicht zusammenhängen, denn die Variablennamen landen nicht in der EXE.
Genauso wie Namen der Konstanten und Funktionen/Proceduren nach dem Compilieren weg sind. Nur Namen von Typen, Klassen und (teilweise) von Methoden (standardmäßig nur published) landen in der EXE. (neuerdings auch private :wall:, protected und public, durch diese komische neue RTTI, wo auch die Namen der Felder und Property drin stehen)

Einem laufenden Programm ist der Name einer Variable auch vollkommen egal,
dem interessiert nur die Adresse und womöglich gibt es nichtmal eine Speicheradresse, da die Variable so kurzlebig und klein ist, daß sie gleich ganz in den CPU-Registern verschwindet.

cookie22 21. Mär 2014 09:40
AW: Virus im Projekt?
 
Zitat:
Zitat von Erutan (Beitrag 1252772)
Okay, ich bin mir nun sehr sicher, daß ich mir gestern mit Camstudio etwas eingefangen habe. Ich lasse gerade alle möglichen Programme durch Virustotal laufen, die ich im Lufe der Zeit kompiliert habe. Hier das Ergebnis eines, schon recht alten Programmes:

https://www.virustotal.com/de/file/f...is/1395328193/

Das Besondere daran ist der Virenname "not-a-virus...blabla". Genau DAS sollte mit der Adware gestern installiert werden und wurde (angebich) von Kaspersky geblockt. Au ch heute findet Kaspersky nichts. Scan und Rootkitscan abgeschlossen. Ergebns: Kein Fund. Auch der Stinger von McAffe findet angeblich nichts. Dennoch hat das Mstding eine Programmexe befallen, und zwar noch nachträglich.
Bist du dir da ganz sicher?

Um es noch mal zu sagen "Trojan-Downloader.Win32.Banload.tzd" hat nun wirklich nichts mit dem bekannten Delphi Virus "W32/Induc-A" zu tun. Das eine ist ein Virus, das andere ein Trojan-Dropper.

In deinem Virus-Total Bericht werden dir zwei verschiedene Funde gezeigt, wovon einer nicht mal ein Virus ist. Das ist nur ein unwanted Adware-Programm. Wie sollte das denn eine Datei infizieren?

Bei diesem Ergebnis (48-2) kannst du mal getrost davon ausgehen, dass es sich hier um False-Positives handelt und die beiden Scanner schlechte Signaturen verwenden.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:27 Uhr.
Seite 2 von 4     12 34      
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz