AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Virenalarm bei Jeditool

Ein Thema von simmi · begonnen am 16. Mär 2011 · letzter Beitrag vom 17. Mär 2011
Antwort Antwort
Willie1

Registriert seit: 28. Mai 2008
742 Beiträge
 
Delphi 10.1 Berlin Starter
 
#1

AW: Virenalarm bei Jeditool

  Alt 17. Mär 2011, 14:32
Hallo,
ich glaube nicht, dass es an Antivir oder an irgendwelchen Komponenten liegt. Ich hatte bei Delphi XE und Norton Virenalarm bei einem leeren Formular!!! Jemand hier im Forum gab mir den Tipp, die Programm-Ikone aus zu tauschen. Das funktioniert bis jetzt.

Willie.
  Mit Zitat antworten Zitat
Benutzerbild von simmi
simmi

Registriert seit: 24. Nov 2004
Ort: Röbel/Müritz
112 Beiträge
 
Delphi XE5 Professional
 
#2

AW: Virenalarm bei Jeditool

  Alt 17. Mär 2011, 15:07
Wie bitte? Das Programmicon ist doch noch das Delphi Standart Symbol. Mir wurde bereits mitgeteilt, dass mit einem der nächsten updates der Fehler behoben sein soll. Für die Virensoftware wird Geld bezahlt und au diesem Grund werde nicht ich, sondern Antivir sich kümmern. So wurde es mir auch in einem Gespräch auf der CBit an deren Stand mitgeteilt.

Beispiel für eine unsinnige Virenmeldung:
Programmname service.exe, wird vom laufenden Programm aufgerufen, laufendes Programm beendet sich, service löscht das Prgramm und stellt die neue Version bereit.

Ein paar Tage ging es gut, dann Virenalarm.

Programm umbenannt in dfdf.exe (also völlig sinnlos) und es funktioniert wieder.

Und bitte diesem Kommentar nicht ganz ernst nehmen!!
...also im Umkehrschluss, ich gebe einem Virus einen völlig sinnlosen Namen und dann läuft er wieder...
Uwe
  Mit Zitat antworten Zitat
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#3

AW: Virenalarm bei Jeditool

  Alt 17. Mär 2011, 17:21
Wie bitte? Das Programmicon ist doch noch das Delphi Standart Symbol.
Heuristiken basieren normalerweise auf mehreren Indikatoren. Wenn jetzt alle anderen zusammengenommen dem Wert schon fast über die Schwelle zu "böser Code" helfen, kann eine Heuristik in der das Delphi-Symbol eingearbeitet ist soetwas hervorrufen.

Stell es dir wie ein Punktesystem zusammen in dem verschiedene Indikatoren mit Wichtung einen Gesamtwert bilden, der dann gegen einen Schwellwert abgeglichen wird.

Programmname service.exe, wird vom laufenden Programm aufgerufen, laufendes Programm beendet sich, service löscht das Prgramm und stellt die neue Version bereit.

Ein paar Tage ging es gut, dann Virenalarm.

Programm umbenannt in dfdf.exe (also völlig sinnlos) und es funktioniert wieder.
Wiederum eine zu aggressive Heuristik.

Um dir auch hier ein Beispiel zu geben. mirc.exe war sehr lange ein beliebter IRC-Client und wurde dann oft "vorinstalliert" weitergegeben. Oft war dann noch ein (bösartiges) Anhängsel in der .exe, so daß es für eine Heuristik unter bestimmten Umständen Sinn machen kann nach einem solchen Namen zu gehen.

service.exe und services.exe sind auch bei Malware-Autoren sehr beliebt weil die bei oberflächlicher Betrachtung nicht so schnell auffallen.

Und bitte diesem Kommentar nicht ganz ernst nehmen!!
...also im Umkehrschluss, ich gebe einem Virus einen völlig sinnlosen Namen und dann läuft er wieder...
Die bösen Jungs sind viel kreativer, glaub mir. Bei denen wird VirusTotal bspw. auch benutzt um abzuklären ob und wenn ja von wie vielen Scannern eine Malware erkannt wird. Dann ggf. in ein paar Iterationen anpassen und sobald keiner der "Großen" in der Branche es mehr erkennt, veröffentlichen.

Übrigens ist Avira in der Branche für die ausgesprochen hohe Anzahl von Fehlalarmen (false positives) bekannt.
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)

Geändert von Assarbad (17. Mär 2011 um 17:23 Uhr)
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:09 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz