Hallo,

ich habe hier schon öfter gelesen, dass irgendwelche Virenprogramme Fehlalarm schlagen bei Delphi Exen.
Nun habe ich es selbst erlebt.
Eine Email wurde zurückgewiesen. Der Anhang ist ein gezipptes Delphi5 Programm.
Die Email kommt zurück mit dem Text: contains a virus (13:CLAMAVUA.Win32.Packer.BorlandDelphi-14 ())

Mein AVG zuckt weder bei der gezippten noch bei der ungezippten Datei.
Ist das nun so ein Fehlalarm?

Die Exe habe ich selbst kompliliert.

Wäre nett, wenn dazu jemand was sagen kann.

Lade es mal bei Virustotal.com hoch und schau ob da alle Scanner zuschlagen.
Wenn es nur 1-2 sind ist die Wahrscheinlichkeit eines False-Positive sehr hoch.

Nimmst du evtl. auch einen Exe-Packer? Falls ja lass das. Diese Exe-packer werden öfter mal angemeckert.

Wobei die unveränderten/originalen großen Packer inzwischen bei vielen AV-Scannern keine Probleme mehr bereiten.

z.B. nahezu alle größeren/bekannteren Virenscanner erkennen UPX, entpacken es und schauen nochmals rein.

Das ist mit der Windowssystemfunktion/context menu zu .zip gepackt.
Virustotal werde ich mal ausprobieren.

Mir fällt grad ein, ich kann es ja zur Probe auch unverpackt schicken. (Falls es an dem Packer liegen sollte)

Danke für die Tippse.

Hallo,

auf Arbeit signieren wir unsere Exen mit einem Zertifikat.
Dann ist dieser Delphi-Trojaner-Warnungskram sofort weg.


Heiko

Die ungezippte Exe bringt die gleicher mailer Antwort.
virustotal zeigt aber Detection ratio: 0 / 41, keiner zuckt!
Wobei ich die grafische Anzeige rot/grün mit Teufel und Engel 0:0 nicht verstehe. Aber vielleicht gilt das für bereits bekannte Dateien.

Dann ist vielleicht der ClamAV scanner auf der Gegenstelle veraltet.

Danke nochmals!

@hoika: Das ist eine gute Idee. Da ich nun aber das erste mal in die Verlegenheit gekommen bin, werde ich erstmal abwarten, wie sich das entwickelt.

Das ist einfach ein Bewertungssystem für die Benutzer.
Wenn du einen Virus prüfen lässt und genau weisst, dass es sich um einen Virus handelt, dann klickst du nach dem Hochladen auf den Teufel .
Falls du deine eigene Delphi-Exe hochgeladen hast, dann klickst du auf den Engel .
(wobei du natürlich sicher sein solltest, dass dein Entwicklungsrechner nicht virenverseucht ist und deine Exe nach dem Linken von einem Virus befallen wurde)
Da die meisten Benutzer sich kooperativ verhalten und keine mutwillig falschen Bewertungen abgeben, ist eine höhere Anzahl von Teufeln ein starker Hinweis, dass es ein Virus ist (obwohl vielleicht keiner der Virenscanner den Virus kennt).

Einfachste Lösung: ZIP-Archiv mit Passwort schützen. Dann können die Scanner nicht mehr ins Archiv schauen. Wichtig bleibt aber: niemals ein Executable (ganz gleich welcher Art, ob EXE, DLL, VB*, CMD usw) direkt an eine Mail hängen, sondern immer in ein Archiv (RAR, ZIP, 7Z oder sonstwas) packen!

MfG Dalai

Begründung?

Zum Beispiel weil Outlook direkt angehangene Executables direkt ausfiltert (das mehr oder minder völlig zu recht) - und zwar ohne den Nutzer darüber zu benachrichtigen*. Oder auch weil man direkt angehangene Executables schnell mal versehentlich gestartet hat, was Schadsoftware noch schneller auf die Kiste bringen kann.

* Ja, ich weiß, dass Outlook kein Mailprogramm sondern eine Krankheit ist, aber das ändert nichts daran, dass man nicht immer weiß, ob der Empfänger diesen Müll verwendet.

Das ist richtig, aber das ist ein etwas anderes Problem. Denn es ist ein Unterschied, ob ich ein Executable erwarte oder nicht. Wenn ich keines erwarte, dann schaue ich mir an, von wem das Ding kommt und frage notfalls nach, ob der Anhang bewusst/absichtlich verschickt wurde. Dass sich so viele Leute per Mail irgendeinen Mist einfangen, liegt aber an ganz anderen Gründen, die sich auch nicht durch technische Maßnahmen beheben lassen sondern nur durch soziale Interaktion, d.h. den Leuten beizubringen, wie eMail zu verwenden ist und welche Fehler man vermeiden sollte.

MfG Dalai