Hallo,

nun bin ich aber doch verunsichert. Ich hatte vor ein paar Monaten ein kleines Tool zur gemeinsamen Datenverwaltung geschrieben und an meine Freunde verteilt. Sie alle berichteten davon, daß die Software virenversucht wäre. Es sei ein Trojan-Downloader enthalten.

Ich habe das damals über Virtustotal gechecked und siehe da, es war nur McAffee, der ein Virus fand. Ich schloss also einen Virus aus und führte die Fehlermeldung auf die Verwendung von IdHTTP zurück.

Nun bin ich aber extrem unsicher weil ich eben dieses Codebeispiel in meiner Delphi 7 IDE ausprobieren wollte: http://www.delphi-treff.de/tipps/kom...loon-anzeigen/
und eine ganz böse Überraschung erlebt habe. Zunächst bekam ich beim Versuch, den Sourcecode zu kompilieren eine Fehlermeldung, die ich nicht mehr weiß weil danach alles sehr schnell ging. Kaspersky poppte auf. Dieser Virenscanner ist eigentlich nicht utranervös und hat mich bisher vor Fakemeldungen verschon. Nun fand er einen Trojan Downloaden, und zwar genau in der Prokejt1.exe, die ich gerade am kompilieren war und von der ich dachte, sie würde sich nicht kompilieren lassen.

Kaspersky hat hier ein riesiges Faß aufgemacht, alles gesperrt und minutenlang desinfiziert, inklusive anschließendem Systemabsturz und Reparatur.

Nunja, in dem Code ist keine IdHTTP enthalten und auch kein Netzwerkzugriff. Ich kann mir kaum vorstellen was in dem Code von Delphi-Treff als Virus aufgefaßt worden sein könnte. Daher mache ich mir schon Sorgen, ob vielleicht irgendwas in früheren Zeiten meine Delphi IDE infiziert haben könnte um sich dann über die damit hergestellten Programme zu verbreiten.
Ich meine...wie kann Kaspersky einen Downloader vermuten wenn das Programm nicht mal eine Verbindung zum Internet herstellt?

Weiß jemand vn Euch was das sein könnte? Der exakte angezeigte Name des angeblichen Schädlings lautet Trojan-Downloader.Win32.Bainload.tzd

Grüße
Holger

http://blog.marcocantu.com/blog/stop...phi_virus.html

Was hat das Delphi Virus(W32/Induc-A) mit "Downloader.Win32.Bainload.tzd" zu tun?

Oft genug ist es aber auch einfach nur ungenaue Heuristik, die (alte) Delphi-Programme erkennt. Woran? Am Timestamp im PE-Header, der ist da fix codiert. Da haben wohl ein paar Malware-Analysten nur gesehen, dass alle Samples den gleichen Timestamp haben, daher tauchen Delphi-Programme in der schlechten Heuristik diverser Produkte auf... QC-Eintrag dazu.

Dieser Delphi-Virus damals war ja nur ein PoC (Proof of Concept) und machte erstmal nichts Böses, außer sich wild zu verbreiten (hemmungslosem Sex),
um aufzuzeigen, daß es da ein Sicherheitsleck gibt.

Natürlich könnte inzwischen jemand auf die idee gekommen sein und häte das "bösartig" weiterentwickeln können.


Nja, hat jetzt nicht nachgesehn, was Downloader.Win32.Bainload.tzd nun eigentlich sein soll.
Also kann es auch gut einfach nur, wie schon erwähnt, die Heuristik sein (Fehlalarm),
oder es gibt wirklich einen Virus, der sich bei ihm breit gemacht hat.

Okay, ich bin mir nun sehr sicher, daß ich mir gestern mit Camstudio etwas eingefangen habe. Ich lasse gerade alle möglichen Programme durch Virustotal laufen, die ich im Lufe der Zeit kompiliert habe. Hier das Ergebnis eines, schon recht alten Programmes:

https://www.virustotal.com/de/file/f...is/1395328193/

Das Besondere daran ist der Virenname "not-a-virus...blabla". Genau DAS sollte mit der Adware gestern installiert werden und wurde (angebich) von Kaspersky geblockt. Au ch heute findet Kaspersky nichts. Scan und Rootkitscan abgeschlossen. Ergebns: Kein Fund. Auch der Stinger von McAffe findet angeblich nichts. Dennoch hat das Mstding eine Programmexe befallen, und zwar noch nachträglich.

Also ich hatte auch schon Probleme wenn ich ein Programm erstellt habe das Mails veschickt. Da reagieren anscheinend auch einige Scanner auf irgendwelche Routinen drauf. Da war dann die kompilierte Exe Ruck-Zuck irgendwo im Virenscanner-Nirwana verschluckt bevor ich sie überhaupt starten konnte!

Bist du dir da ganz sicher?

Um es noch mal zu sagen "Trojan-Downloader.Win32.Banload.tzd" hat nun wirklich nichts mit dem bekannten Delphi Virus "W32/Induc-A" zu tun. Das eine ist ein Virus, das andere ein Trojan-Dropper.

In deinem Virus-Total Bericht werden dir zwei verschiedene Funde gezeigt, wovon einer nicht mal ein Virus ist. Das ist nur ein unwanted Adware-Programm. Wie sollte das denn eine Datei infizieren?

Bei diesem Ergebnis (48-2) kannst du mal getrost davon ausgehen, dass es sich hier um False-Positives handelt und die beiden Scanner schlechte Signaturen verwenden.

Benutzt du Delphi 7 wie im Profil angegeben? Da gab es vor einigen Jahren tatsächlich einen Virus, der System-Units befallen hat, sodass alle erzeugten Programme dann auch wieder den Virus enthielten. Wobei dieser Virus aber soweit ich weiß keinen Schaden angerichtet hat, war wohl eher eine Machbarkeitsstudie.

Hallo Holger,

ich würde dir empfehlen, dein Delphi 7 neu zu installieren. Damit bist du wohl auf der sicheren Seite.