Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Hallo an alle,

bis vor zwei Wochen hatte ich keinerlei Probleme mit Delphi, ich betone keinerlei!
Aber seit dem mich dann auch dieser Virus virus infects delphi erwischt hatte lief es gerade eine Woche gut, und nun kommen wieder Virenwarnungen bei meinen Tools.

Ich verstehe das einfach nicht. Jahrelang läuft es und nun mit einemal nicht mehr.

Hier mal ein Bericht von Virustotal zu einem meiner tools (siehe anhang)

es treten bei vier verschiedenen scannern vier verschiedene Warnungn auf.

habe ich jetzt wirklich einen Virus drauf, wenn ja welchen denn nun, und wie kann ich den beseitigen?
Ich meine es wirft ja schon ein schlechtes Bild auf mich, wenn auf einem mal virenmeldungen kommen.

Liegt es vielleicht am stil wie das tool programmiert wurde?

Ich nutze threads, verbinde mich ca. alle 30 sekunden bis 5 minuten mit meinem Webspace, um über HTTP Post request daten aus meiner datenbank zu ziehen und welceh für statistik zwecke zu schreiben?
Könnt es daran liegen? das ein virescanner sowas erkennt?

Bin über hilfe sehr dankbar!

LG Marco

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Die Meldungen sehen ein wenig so aus als würdest du den Fehler machen und deine Exe mit einem Exepacker wie Upx packen, kann das sein? Wegen dem Crypt meine ich.

Sollte dem so sein, wären die Meldungen vollkommen normal.

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

ja dieses tool ist gepackt, wegen zugangspasswörtern usw.
aber auch ungepackt bekomem ich meldungen...

habe jetzt gerade den test gemacht und ein neues Project erstellt und einfach nur compiliert und mal getestet. und siehe da auch hier sind zich meldungen da!

Ist jetzt meine IDE verseucht?

hier mal die ergebnisse vom anderen test...(siehe anhang)

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Man kann das auch absolut problemlos wieder entpacken. Wenn du sensible Daten in der Exe stehen hast, die niemand sehen darf, hast du einen Konzeptfehler.

Also bei einem neuen Projekt ist das allerdings verdächtig. Vor allem die Art der Meldungen, denn Downloader usw. sind nicht die typischen Fehlalarme bei neuen leeren Projekten.

Du solltest einmal einen Virenscan von einer Live-CD oder so machen, denn wenn ein Virus auf dem System aktiv ist, nutzen dir installierte Antivirenprogramme nicht unbedingt viel.

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Systempartition formatieren und neu installieren und natürlich alle verseuchten Exe Dateien entsorgen.

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

füre gerade mit active scan einen scan aus... online...

naja wie machst du dass denn, wenn du z.b. von deinem programm aus auf deinen webserver per ftp verbinden willst? irgendwo musst du ja das passwort hinterlgen...

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

@ lucki... nicht schon wieder.....

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Nun ja, wenn man aus Fehlern nicht lernt. ;)

Du solltest auch mal überlegen, wie der Virus auf dein System gekommen ist und warum er sich dort einnisten konnte. Stichwort: Arbeiten als Administrator <> Benutzer.

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Das bringt dir ja nichts. Wenn ein Virus auf dem System ist, kann der sich problemlos vor allen Scans verstecken, wenn das befallene System läuft... :roll:

Genau diese Notwendigkeit ist ja der Konzeptfehler. Wenn ich Daten auf einen Server lade, dann liegt dort ein Serverprogramm oder ein PHP-Skript, das diese empfängt. Diese macht dann genau definierte Aktionen und mehr geht nicht. Wohingegen ich mit dem FTP-Passwort auch viel mehr machen kann als vorgesehen...

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Btw. kann man mit UPX gepackte Programme auch wieder entpacken und dann hat man das Passwort im Kompilat wieder im Klartext vor sich.

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

jo, dann werde ich zukünftig nur noch alles mit php scripten machen.... habe ja schon 80 % damit erledigt...

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Also komplette Formatierung und Neuinstalltion wäre das sauberste wohl in dem Fall.
Eine andere Möglichkeit (keine Garantie!) die mir oft ganz gut geholfen hat wäre die Kaspersky Rescue Disc, einfach Iso runterladen und halt brennen, Rechner neustarten und von der CD Booten...

Vorteil ist, du mußt nichts installieren auf deinem System.
Das Iso bekommst Du hier: FTP Kaspersky

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Vielleicht auch einen Virenscanner installieren (und zwar direkt nach Rechnerneuinstallation), das soll auch helfen. Dann noch drüber nachdenken was für Dateien man sich auf seinen Rechner holt. Vor dem Öffnen dieser Dateien nochmal angestrengt nachdenken, ob man das wirklich will.

Ansonsten mein Beileid.

Sherlock

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

also jetzt bin ich total verzweifelt, trotz neuinstallation, alle updates, virenscanner, findet virustotal immernoch 4 "angebliche" viren bei einer neu compilierten datei!

das ist einfach nicht mehr normal?!!

Was zu geier soll ich noch machen!

DP-Maintenance
 

Dieses Thema wurde von "mkinzler" von "Die Delphi-IDE" nach "Windows 9x / ME / 2000 / XP / 2003 / Vista" verschoben.
Hat eigentlich nichts mit der Delphi-IDE zu tun

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Was hast du neuinstalliert?

nur Delphi oder das ganze System?

Und sind die Setups sauber?
(einige in Delphi erstellte Programme wurden auch schon verseucht ausgeliefert)

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Die Ausgabe von VirusTotal ist noch so wie im ersten PDF?

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

alles neu, system delphi usw....

hier mal ein neuer bericht... handelt sich diesmal um eine andere anwendung.. aber wie gesagt immer noch zwei funde... ps: vorher waren es mehr:

hier der bericht: http://www.virustotal.com/de/analisi...c7c-1251445627

wäre jetzt die frage, ob es sich nun tatsächlich um einen virus handelt, oder ob es nur nen fehlalarm ist...

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

war der EasyClearance nicht auch in Delphi geschrieben?

am Besten du besorgst dir mal die in den letzten Monaten runtergeladenen Setups nochmals neu.

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

alles was ich programmiere ist in delphi geschrieben....

was meinste du jetzt mit alle setups der letzten monate..??

habe gerade eine zweite anwendung geprüft...
https://www.virustotal.com/de/analis...775-1251447125

auch die selben beiden Funde

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Mein Software Uptodate läuft ohne Probleme durch 0 Treffer.

http://www.virustotal.com/de/analisi...fc2-1251447391

Bei den meisten von euch schlägt die heuristic an, weil ihr packer usw. verwendet.

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

ja, auf packer habe ich bei diesen beiden test verzichtet...

Die Frage ist ja jetzt, wie ich herausfinden kann ob sich da nun wirklich nen virus dahinter versteckt, oder obs nur nen fehlalarm ist..

bei Fehleralarm, kann man dann irgendwie kontakt zu den herstellern des virenscanners aufnehemn und die file bei denen nochmal testen lassen?


lg marco!

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Du hast dir doch bestimmt in den letzen Monaten (seitdem dieser Virus schon unterwegs ist)
neue Software oder Updates runtergeladen?

Ich speichere mir z.B. solche Dinge und hab mir 'ne kleines Setup-Verzeichnis auf einer externen Platte erstellt,
so daß ich beim Neuinstallieren des PCs nicht immer alles neu runterladen muß.

Nja und solche Setups sollten mal überprüft oder gleich neu besorgt werden, wenn der Verdacht besteht, daß da etwas "Böses" drin sein könnte.

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

ja ne mache ich net so, ich lade es immer neu runter...

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Hi SimStar001,

Du könntest Deine EXE auch mal bei ThreatExpert hochladen (http://www.threatexpert.com/). Ist möglicherweise ein Rootkit, welches Du Dir da eingefangen hast, hier mal ein Thread bei Rokop Security wo der "Trojan.Crypt!IK" auch auftaucht: http://www.rokop-security.de/index.p...st=20&start=20.

Ich habe sowas mal vor Jahren bei Sicherheitstests in einer VM beobachten können, die das Ziel hatte Infektionen durch Software aus nicht-offziellen Quellen zu testen.

Nein, es ging dabei nicht um "Raubkopien" per se, sondern um veränderte Downloads auf Mirror Hosts - ja, sowas kommt natürlich auch vor. Die Erkennungsrate der AV war erschreckend gering, deswegen haben wir ja heutzutage die ganze Heuristik in den Viren- und Malware-Scannern.

Die tatsächliche Entdeckungsquote von Virenscanner liegt bei neuen Bedrohungen nunmal so lange keine Signaturen vorliegen im Bereich zwischen 0% und 100%, auch wenn das Marketing etwas anderes suggerieren möchte. Gleiches gilt für E-Mail Filter (man erinnere sich an die Umgehung durch Sonderzeichen, die einfach gestrippt wurden - da hat der Filter die Malware selbst wieder gangbar gemacht).

Ohne Dir also zu nahe zu treten zu wollen, prüfe, ob irgendeine Software bei Dir möglicherweise so ein Problemfall sein könnte.

Es kann natürlich auch wirklich sein, daß es ein False-Positive ist. Aber der Trojan.Crypt!IK wird wohl erst seit Mitte April gefunden, also kann die Infektion schon lange zurück liegen.

Du könntest uns auch mal eine EXE anhängen (veränderte Extension bitte), dann wären weitere Tests möglich. Frage: Verwendest Du selbst irgendwelche Verschlüsselung in Deinem Source, den Du von irgendwo kopiert hast?

Soweit es sich um UPX handelt, ist dies meiner Meinung nach lange überholt. Das galt sicherlich vor vielen Jahren mal, aber UPX läßt sich heute von jeder Scan-Engine problemlos entpacken und wirft nicht mal mehr Warnungen. Nur die ganzen UPX Mods, die durch Änderungen der Header ein Entpacken erschweren sollen, werden geflaggt. Sowas zu nutzen ist aber auch ... nicht schlau, denn das Entpacken wird damit nicht wirklich erschwert. Gerade im Bereich portabler Anwendungen wird UPX oft verwendet, z.B. bei PortableApps. Die liegen bei über 100 Millionen Downloads ohne einen einzigen öffentlich gewordenen False-Positive.

Bei anderen EXE Packern und Crypter gilt dies natürlich oft weiterhin, aber SimStar sagt ja, die EXE ist zuletzt unverändert getestet.

Gruß Assertor

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Also verschlüsselungen verwende ich zur zeit nicht im quellcode...
was ich zuvor mal gemacht hatte war die exe mit WinLicense zu sichern, gegen angriffe....

aber wie gesagt, die letzten test waren ohne packer, nur die reine comilierte .exe...

so dann häge ich mal die file an:

bei threatexpert dauerts noch...

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

So hier mal ein paar Ergebnisse:

Easy Clearance 3 : http://www.threatexpert.com/report.a...fa13b3be1fc702
ECFSTServ : http://www.threatexpert.com/report.a...eb62f11b1a88a7
VoiceATIS : ...pending...


so was sagt mir das ganze jetzt? sieht irgendwie nicht danach aus, als wäre es befallen oder?

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

McAfee findet auch nichts

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Hi,

Deine Anwendung EC3 crasht bei ThreatExpert.

Aber auf Anhieb kann ich auch nichts ungewöhnliches sehen. Du verwendest Indy (eine ältere Version afaik), Units für RAR (Entpacken per unrar.dll), Alzaimars csWorkerThread und einige eigene Sachen. Wieso stand obene eigentlich was von FTP Transfer, ich kann hier keinen FTP Traffic in der VM sniffen...

Ich würde mal die beiden Hersteller von Virustotal anschreiben, damit die das ggf. als False-Positive flaggen (oder Dir nachweisen, es ist doch was drin).

Gruß Assertor

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

alles klar, dann werde ich mal die beiden anschreiben...

weshalb das tool crashed: es fehlen dateien würde ich sagen, habe nur die exe hochgeladen... oder kann man dort auch nen ordner oder so hochladen?

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

z.B. als ZIP gepackt ... JA

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Ok habe mein tool nochmals nun als zio hochgeladen und es testen lassen mit folgendem ergebnis:

http://www.threatexpert.com/report.a...aad4019f7bad22

was sagt ihr dazu?

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

Ganz ehrlich?
Keine Ahnung :lol:

Ich glaub aber, Du bist übern Berg.
Sherlock

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
 

ich hoffe es mal auch, dann werden wohl die beiden meldungen falsch meldungen sein.... dann werde ich mich darum mal kümmern!

Vielen dank ersteinmal!