1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Hallo,

ich habe hier schon öfter gelesen, dass irgendwelche Virenprogramme Fehlalarm schlagen bei Delphi Exen.
Nun habe ich es selbst erlebt.
Eine Email wurde zurückgewiesen. Der Anhang ist ein gezipptes Delphi5 Programm.
Die Email kommt zurück mit dem Text: contains a virus (13:CLAMAV:PUA.Win32.Packer.BorlandDelphi-14 ())

Mein AVG zuckt weder bei der gezippten noch bei der ungezippten Datei.
Ist das nun so ein Fehlalarm?

Die Exe habe ich selbst kompliliert.

Wäre nett, wenn dazu jemand was sagen kann.

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Lade es mal bei Virustotal.com hoch und schau ob da alle Scanner zuschlagen.
Wenn es nur 1-2 sind ist die Wahrscheinlichkeit eines False-Positive sehr hoch.

Nimmst du evtl. auch einen Exe-Packer? Falls ja lass das. Diese Exe-packer werden öfter mal angemeckert.

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Wobei die unveränderten/originalen großen Packer inzwischen bei vielen AV-Scannern keine Probleme mehr bereiten.

z.B. nahezu alle größeren/bekannteren Virenscanner erkennen UPX, entpacken es und schauen nochmals rein.

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Das ist mit der Windowssystemfunktion/context menu zu .zip gepackt.
Virustotal werde ich mal ausprobieren.

Mir fällt grad ein, ich kann es ja zur Probe auch unverpackt schicken. (Falls es an dem Packer liegen sollte)

Danke für die Tippse.

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Hallo,

auf Arbeit signieren wir unsere Exen mit einem Zertifikat.
Dann ist dieser Delphi-Trojaner-Warnungskram sofort weg.


Heiko

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Die ungezippte Exe bringt die gleicher mailer Antwort.
virustotal zeigt aber Detection ratio: 0 / 41, keiner zuckt!
Wobei ich die grafische Anzeige rot/grün mit Teufel und Engel 0:0 nicht verstehe. Aber vielleicht gilt das für bereits bekannte Dateien.

Dann ist vielleicht der ClamAV scanner auf der Gegenstelle veraltet.

Danke nochmals!

@hoika: Das ist eine gute Idee. Da ich nun aber das erste mal in die Verlegenheit gekommen bin, werde ich erstmal abwarten, wie sich das entwickelt. :)

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Einfachste Lösung: ZIP-Archiv mit Passwort schützen. Dann können die Scanner nicht mehr ins Archiv schauen. Wichtig bleibt aber: niemals ein Executable (ganz gleich welcher Art, ob EXE, DLL, VB*, CMD usw) direkt an eine Mail hängen, sondern immer in ein Archiv (RAR, ZIP, 7Z oder sonstwas) packen!

MfG Dalai

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Begründung?

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Passwortschutz:
Es geht mir ja nicht darum, einen Scanner auszutricksen.
Wenn er richtig analysiert, ist doch alles bestens.

Es ging mir eher darum, wie ich die Scanneranalyse bewerten bzw prüfen kann.
Falls das jeden Tag 20x passiert, wär es natürlcih wieder was anderes.

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Das Bewerten wurde ja nun schon erwähnt, vorallem wenn man (s)einem Scanner nicht ganz traut und es nochmal gegenprüfen/vergleichen will:
> virustotal.com und seine Freunde

Wenn die EXE aber OK ist, dann gibt es nur Einen/Zwei, an welchen du dich wenden kannst.
- dich > einfach keine EXEn (potentiell gefährliche Dinge) per Mail verschicken ... für Thunderbird und Co. gibt es sogar Plugins, welche (gewisse) Dateiangänge irgendwo hochladen (z.B. eigener FTP oder ein Hoster) und den Link in die Mail einfügen

- den, welcher hier rumzickt ... hier also den Mailprovider



Wenn dir das Essen nicht bekommt, dann versuchst du doch auch nicht dich, bzw. deinen Magen/Gaumen dafür anzupassen, damit dir nicht wieder schlecht wird, wenn du's nochmal tust. :stupid:

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Eine EXE sollte immer gepackt verschickt werden, um beim Adressaten und den dazwischenliegenden Admins gar nicht erst den Verdacht aufkommen zu lassen, man führe Böses im Schilde.

Ein DAX-Konzern verlangt sogar, das der Name der ZIP Datei das Wort ***** enthalten muss. Dieses Zauberwort ist nur wenigen bekannt und so hält man sich anonym gezippte und damit unerwünschte EXEn vom Hals.

Es sollte beim Adressaten einiges an bewusster Arbeit nötig sein, um die EXE bei sich zu speichern und auszuführen. Nur so lassen sich einigermaßen zuverlässig die Ich-klick-Dich-TrojanerVirenbefälle vermeiden. Denn der Anwender ist leider zu blöd.

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Hat beim Krypto-Trojaner ja gut geholfen...

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Zum Beispiel weil Outlook direkt angehangene Executables direkt ausfiltert (das mehr oder minder völlig zu recht) - und zwar ohne den Nutzer darüber zu benachrichtigen*. Oder auch weil man direkt angehangene Executables schnell mal versehentlich gestartet hat, was Schadsoftware noch schneller auf die Kiste bringen kann.

* Ja, ich weiß, dass Outlook kein Mailprogramm sondern eine Krankheit ist, aber das ändert nichts daran, dass man nicht immer weiß, ob der Empfänger diesen Müll verwendet.

Das ist richtig, aber das ist ein etwas anderes Problem. Denn es ist ein Unterschied, ob ich ein Executable erwarte oder nicht. Wenn ich keines erwarte, dann schaue ich mir an, von wem das Ding kommt und frage notfalls nach, ob der Anhang bewusst/absichtlich verschickt wurde. Dass sich so viele Leute per Mail irgendeinen Mist einfangen, liegt aber an ganz anderen Gründen, die sich auch nicht durch technische Maßnahmen beheben lassen sondern nur durch soziale Interaktion, d.h. den Leuten beizubringen, wie eMail zu verwenden ist und welche Fehler man vermeiden sollte.

MfG Dalai

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Das ist einfach ein Bewertungssystem für die Benutzer.
Wenn du einen Virus prüfen lässt und genau weisst, dass es sich um einen Virus handelt, dann klickst du nach dem Hochladen auf den Teufel :twisted:.
Falls du deine eigene Delphi-Exe hochgeladen hast, dann klickst du auf den Engel :angel:.
(wobei du natürlich sicher sein solltest, dass dein Entwicklungsrechner nicht virenverseucht ist und deine Exe nach dem Linken von einem Virus befallen wurde)
Da die meisten Benutzer sich kooperativ verhalten und keine mutwillig falschen Bewertungen abgeben, ist eine höhere Anzahl von Teufeln ein starker Hinweis, dass es ein Virus ist (obwohl vielleicht keiner der Virenscanner den Virus kennt).

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Einspruch. Großes Problem an der Krypto-Geschichte war, dass die Datei aussah, wie ein Dokument und die Nutzer es eben öffnen wollten (worauf es aber ausgeführt wurde). Öffnen ist etwas anderes als Ausführen. Die Geschichte wäre weit harmloser ausgegangen, wenn:

1. Im Dateibrowser auf den ersten Blick ersichtlich wäre, ob es sich um Daten oder Executable handelt.
2. Vom Dateibrowser besser zwischen Öffnen und Ausführen unterschieden würde.

Doch, das könnte man besser machen. Von vielen anderen Dateibrowsern wird es besser gemacht. Natürlich steckt auch Psychologie dahinter, aber nicht einzig und allein. Ob ich direkt im Mailprogramm schon drauf reinfalle oder erst nach dem Entpacken im Dateibrowser, ist letztlich egal.
Ich glaube, ich sagte in einem anderen Thread, ich wäre auf eine solche Mail nicht reingefallen. Und da bin ich mir auch zu 95% sicher, einfach weil ich den oben genannten Punkten nicht erlegen bin. Konqueror führt eine Datei nicht per Doppelklick aus (Öffnen schon, aber nicht Ausführen!), und in Konqueror sehen Executables auch anders aus.

Aber es ist nunmal total Wayne, ob die Datei zuvor in einem Archiv lag oder nicht :shock: ¹

Und wenn ich mir jetzt einen Client schreibe, der automatisch alle Archive rauswirft, darf die dann auch keiner mehr verschicken? Wenn der Empfänger keine haben will - sein Problem, ich bin meinem Part nachgekommen, ich habe die Daten verschickt, der Fehler liegt dann nicht auf der Absenderseite. Für die Empfängerseite kann ich nichts für.

Nicht dass ich jemals Binaries verschicken würde. Ich würde eine tar.gz mit dem Quellcode verschicken, damit kann man schließlich viel mehr anfangen. Aber das sei jedem selbst überlassen. Das Internet ist allübergreifend über alle Betriebssysteme, Mailclients und Dateibrowser, da ist es unsinnig, Konventionen an einzelne davon anzulehnen - denn es sind eben immer nur einzelne, eine Allround-Lösung, die überall perfekt ist, gibt es sowieso nicht - also einfach halten, keinen großen Aufwand betreiben, und sich nicht zu sehr auf ein Empfängersystem fixieren - es lohnt sich einfach nicht.





¹) bzw. in der UNIX-Welt ist es um einiges sicherer, es als Direktanhang zu haben, als es zu extrahieren. Denn beim Extrahieren wird das +x-Flag ggf. automatisch gesetzt, bei einer direkt angehängten Executable muss ich es erst selbst setzen. Und das heißt dann ja schon, dass ich es Ausführen will, Lesen kann ich sie ja auch ohne :lol:

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Auf welche "Sicherheitsmaßnahme" beziehst Du deinen (berechtigten) Einwand?

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Also bei mir steht das dann dran. Und davon abgesehen lässt sich das natürlich auch einstellen.

Allerdings würde ich selbst das für mich ohnehin nicht umstellen, da eine direkt verschickte Exe zu 99% ohnehin ein Virus ist. Deshalb habe ich das im Gegenteil auf meinem Server explizit eingestellt, weil es dort nicht standardmäßig so war.

Welche auch nur annähernd gleichwertigen Alternativen würdest du denn empfehlen?
(Ja, die GUI der 2013er Version ist in der Preview dermaßen kontrastarm, das gefällt mir auch nicht...)

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Also ich versteh hier so ein paar Aspekte nicht.

In meinem Fall geht es um eine geschäftliche Email. Der Empfänger hat quasi den Inhalt mehr oder weniger bestellt.
(vielleicht sogar bezahlt ;) )

Es macht doch null Unterschied, auf welchem Weg ich das Ding nun zum "Empfänger" bekomme, weder technisch, noch welches Produkt ich dafür einsetzte (abgesehen von den mehr oder weniger intransparenten Automatismen, die mich bei einigen Produkten schützen bzw. unterstützen wollen).

Es gibt erstmal nur 2 Möglichkeiten:
Entweder meine Datei ist sauber (wovon ich normalerweise ausgehe) oder sie ist verseucht.
Der letzte Fall ist der interessante. Ich bin nämlich selbst unbemerkt ein Virenopfer geworden.

Eine weitere Möglichkeit ist eben ein Fehlalarm eines AV Systems, darum ging es mir hier. Und vor allem, wie man das verifizieren kann.

Bei mir läuft ein serverbasiertes System das Emails, Dateisystem und Internetzugriffe prüft, plus FF plugin, das script ausführung unterbindet. Das System wird automatisch aktualsiert, warnt bei mangelnder Aktualität, kostest Geld usw. . Eben wie das heute so ist.
Ich wähne mich also erstmal auf der sicheren Seite. Ja ich weiß, es könnte uns auch der Himmel auf den Kopf fallen.

Warum soll nicht das verschickt werden, worum es auch wirklich geht? Gezippt war es tatsächlich, um Bandbreite zu sparen. Sourcen statt EXE würde ich in dem Fall auch nicht verschicken, das entspricht nicht dem vorliegenden Geschäftsmodell. Die Sache mit der Signatur wäre da auch noch mal interessant. Kann ich einen Virus "ungestört" verschicken, wenn ich die Email nur schön signiere?

Also es geht mir nicht darum Aufwand zu treiben, damit ein Alarm abgewürgt wird, sondern es geht lediglich darum, mit geringst möglichem Aufwand, einen (Fehl)alarm zu verifizieren.

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Wurde doch genannt: Bei Virustotal checken und wenn dort es nur bei 1-2 System vorkommt bei dem Kunden bei dem es vorkommt darauf hinweisen und wenn du weißt wer der Dienstleister ist diesen auf diesen Falsepositive hinweisen und um Korrektur bitten.

Ich würde gar keine Exes verschicken und die fertigen Versionen auf dem Server bereit stellen und dem Kunden einen Link geben. Evtl. auch ein Supportbereich einrichten in dem der Kunde seine Exes abholen kann. Wenn man keinen Webspace in der art zur verfügung hat (ist ja bei dir vermutlich nicht der Fall) nimmt man Dienste wie SendThisFile in Anspruch.

Die Wahrscheinlichkeit eines False-Positive ist geringer. Viele (alle/einige?) Virenhersteller lassen das Vorhandensein positiv in die Bewertung dre Exe einfließen. Generell wird man damit keine 100% Erfolg haben da es ja schon signierte Viren/Trojaner gab.

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Genau, ich habe ja auch geschrieben, was dabei rauskam und den Thread als erledigt gekennzeichnet.

Mich wundert es nur, was teilweise für Empfehlungen gekommen sind. So jetzt auch von Dir. Was ändert es am Problem, wenn der Kunde es bei mir downloaden kann und seine AV dann trotzdem Alarm macht?
Und wieso keine Exe verschicken? Ich fahr ja auch nicht mit dem Taxi, wenn ich ein eigenes Auto hab.
Wenn es mein Job wäre, den ganzen Tag Programme zu deployen, würde ich es vermutlich anders machen. Aber so eine pauschale, unbegründete Warnung finde ich sinnlos.

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Es ist auf das Zippen bezogen. Der Krypto-Trojaner war ja schließlich auch gezippt. Es ist eine völlig unsinnige Schlussfolgerung, dass Viren immer direkt angehängt würden und gewollte Executables nicht.

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

OK. Habe ich vergessen mehr zu schrieben das das klar ist.
Wir haben Kunden die generell jeglichen Anhang aus Mails rausschmeißen. Teilweise werden diese Mail erstmal 1 Tag in Quarantäne geschickt bevor zu zugestellt werden oder sie werden gleich ohne Infos verworfen und auch der Empfänger/Absender nicht Informiert. Deshalb selbhalb versenden wir alles was Exe/DLL ist generell nur noch per Download-Link. Und das der Virenscanner beim Download zuschlägt ist eine Single-Point-Of-Failure. Bei E-Mail Anhang kann dir das an zig stellen passieren (Ich sag nur Virenscanner in Mail-Server, E-Mail-Scanner in Mail-Client, "normaler" Virenscanner, Proxy-Scanner, ...)

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

[OT]

Dann war es ein anderes Problem, z.B. den Anhang in einem solchen Fall doch speichern zu können und das geht dann nicht mehr. Ich weiß es nicht mehr genau. Jedenfalls ist das Verhalten irgendwie seltsam. Allerdings habe ich in Erinnerung, dass das wahrscheinlich eine ältere Version betrifft (wahrscheinlich 2003), ich aber nicht beurteilen kann (und auch nicht will ;)), ob das Verhalten besser/anders geworden ist.

Thunderbird kann ich dir sicherlich nicht anbieten, denn ich nehme mal an, dass du den bereits angeschaut/ausprobiert hast. Und in einigen Bereichen ist Thunderbird tatsächlich keine Alternative zu Outlook, aber das ist ein anderes Problem. The Bat! ist ein vernünftiger Mailer, den ich selbst seit fast 10 Jahren verwende (allerdings in einer steinalten Version). Ob das für dich eine Alternative darstellt, kann ich nicht beurteilen. Outlook jedenfalls finde ich einen Krampf, denn das Teil hält sich nicht an Standards ("AW" beim Antworten, Anhängen von sinnlosen ".dat" Dateien uvm.)

[/OT]

Zurück zum Thema. Ich würde solcherlei Programme ebenfalls auf einen Webspace laden, von der man den Download abholen kann und den Link dazu in der Mail verschicken. Wenn dann der AV-Scanner vom Kunden etwas meldet, dann ist das - so hart es ist - sein Problem (zumal das auch passieren kann, wenn das Programm via Mail kam).

Viele Software-Hersteller schreiben ja auch manchmal auf ihren Webseiten, dass dieser oder jener Scanner etwas findet, obwohl nichts drin ist (eben False Positive). Garantieren, dass dein Programm sauber ist, kannst du nicht zu 100%, denn auch wenn kein Scanner etwas findet, heißt das nur, dass keiner etwas findet, aber nicht, dass nichts da ist (typisches Problem der AV-Scanner). Dennoch helfen Seiten wie VirusTotal & Co dabei, solcherlei Funde einzuordnen. Evtl. kann man das Scanergebnis von VirusTotal o.ä. noch beim Download verlinken, so dass man als Kunde/Empfänger sehen kann, was los ist. Mehr kannst du IMO nicht tun.

MfG Dalai

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

@himi...
...weißt du auch wie das heißt ? Via "Anhang" bzw. "Attachment" hat die Suche nix ergeben...

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Lass mal den Google-Suchprofi ran ...

Hier ist es: https://developer.mozilla.org/en/Thu...link_Providers

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Moin...:hi:

Danke für die Info. Das ist die interne Funktion die einen Account bei einem Filehoster benötigt. Ich dachte eher an ein AddOn wo ich auf meinem Webspace in einem Ordner ablegen kann bzw. dort liegende wieder verlinken kann.

...guggst du weider. 8-)

Nachtrag: In Version 13 eingeführt wurde Dropbox in 14 wieder rausgeschmissen. (weil sie sich nicht einigen konnten :wall:). Es ist ausschließlich "YouSendIt" möglich !

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Die Verwendung des englischen Kürzels lässt sich selbstverständlich einstellen ("Kopfzeilen vor Antworten und Weiterleitungen sowie von Weiterleitungsbenachrichtigungen in Englisch."), halte ich in Deutschland allerdings nicht gerade für üblich (außer bei internationaler Korrespondenz).
.dat Dateien? Hatte ich noch nie.

Für Outlook gibt es so etwas natürlich, z.B. dieses Addin:
http://www.encryptomatic.com/outdisk/

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Englisch? Re steht ursprünglich für Res (Sache) und ist Latein:

http://de.wikipedia.org/wiki/Liste_v...etzjargon%29#R

und später dann umgedeutet. Wäre aber kein Problem wenn Outlook internationale Korrespondenz erkennen könnte (anhand IP des Mailservers?) :)