|
Juhu, es ist ein Virus!
Na das is ja ne schöne Schei***! :evil:
Ich wollte mir bei meinem Überwachungsprogramm die Arbeit nen bisschen erleichtern und deshalb ServerSocket statt TCPServer nehmen... Dann hab ich aus diesem Quelltext:
Delphi-Quellcode:
Diesen hier gemacht:
unit ServerUnit;
interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls, ComCtrls, Sockets, ScktComp; type TMainForm = class(TForm) LBxComputers: TListBox; PageControl: TPageControl; TSInfo: TTabSheet; TSProgs: TTabSheet; TSScreenshot: TTabSheet; TSActions: TTabSheet; BtnQuit: TButton; GBxPCInfo: TGroupBox; GBxUserInfo: TGroupBox; LBxProgs: TListBox; BtnKillSelected: TButton; BtnKillAll: TButton; LblDoNotKillAll: TLabel; LblDoNotKillExplorer: TLabel; GBxNetSend: TGroupBox; EdtNetSendText: TEdit; BtnSendText: TButton; BtnDeleteText: TButton; GBxComputer: TGroupBox; LblShutdown: TLabel; LblRestart: TLabel; LblScreenOn: TLabel; LblScreenOff: TLabel; Label1: TLabel; ServerSocket: TServerSocket; procedure BtnQuitClick(Sender: TObject); procedure StartUp(Sender: TObject); procedure DeactivateServer(Sender: TObject; var Action: TCloseAction); private { Private declarations } public { Public declarations } end; var MainForm: TMainForm; implementation {$R *.dfm} procedure TMainForm.BtnQuitClick(Sender: TObject); begin Application.Terminate; end; procedure TMainForm.StartUp(Sender: TObject); begin TCPServer.Active := true; end; procedure TMainForm.DeactivateServer(Sender: TObject; var Action: TCloseAction); begin TCPServer.Active := false; end; end.
Delphi-Quellcode:
Und was passiert: Mein Virenscanner springt an und erschreckt mich fast zu Tode...
...
procedure TMainForm.StartUp(Sender: TObject); begin ServerSocket.Active := true; end; procedure TMainForm.DeactivateServer(Sender: TObject; var Action: TCloseAction); begin ServerSocket.Active := false; end; ... Ich dachte: Naja änderst du das mal wieder um... Hab ich gemacht. Der Virenscanner springt immer noch an. Ich verzweifle hier :cry: Was hab ich getan? :cry: Ich bin echt ratlos! *heul* MfG Florian :hi: [EDIT] Hab grad mein System gescannt... War nur meine EXE... Warum? :cry: [/EDIT] |
Re: Juhu, es ist ein Virus!
Der ist ja ein Sensibelchen. Ich wuerde empfehlen die Heuristik mal auf ein niedrigeres Level zu setzen.
|
Re: Juhu, es ist ein Virus!
Zitat:
|
Re: Juhu, es ist ein Virus!
Hehe, das passiert mir auch öfter :roll: Abär, wenn das dein ganzer Quelltext ist, sollte eigentlich nix passieren :)
Ich hab mal eine Art Trojaner geschrieben, der auf der selben Idee basiert. Es ist eine "Gott" Datei und eine "Opfer" Datei. Gibts beides auf meiner HP  Mister-Nice-Guy.de.vu Muss nur noch irgendwann eine Hilfe schreiben :mrgreen: |
Re: Juhu, es ist ein Virus!
Zitat:
Zitat:
Zitat:
www.wissen.deMfG Florian :hi: P.S.: Ich denke (:roll: hoffe), dass Delphi nicht so intelligent ist und sich an den Bezeichnungen der Komponenten stört (BtnKillSelected BtnKillAll...) P.P.S.: Bei meinem Prog soll es sich laut AntiVir um den Virus "BDS/Mantice.10.Cli" handeln... ...eine kleine Google-Suche ergab, dass es sich dabei um einen Trojaner handelt. Hier gucken :lol: Laut Bild wurde er mit Delphi 6 geschrieben... Ironie des Schicksals? Ausserdem kommen mir einige Label Captions bekannt vor... :lol:Was kann ich machen? |
Re: Juhu, es ist ein Virus!
Heuristik ist bei AVs die Technik verdaechtigen Code von vornherein zu blockieren, statt immer nur schon vorhandene Viren zu erkennen.
"Boeser Code" wird klassifiziert und dann kann man die "Heuristik" entsprechend tunen, so dass sie sehr empfindlich ist, oder eben nicht. |
Re: Juhu, es ist ein Virus!
Und was tun? Ich kann ja nicht an alle Virenprogrammhersteller schreiben und sagen, dass mein Programm ungefährlich ist usw.
MfG Florian :hi: |
Re: Juhu, es ist ein Virus!
|
Re: Juhu, es ist ein Virus!
Assarbad hat da Recht, mit einem Programm von Sakura gab es so was ähnliches. Da war auch H+B davon betroffen. Frag den mal.
|
Re: Juhu, es ist ein Virus!
*kopfschüttel* <--- mehr fällt mir nich mehr ein...
MfG Florian :hi: |
Re: Juhu, es ist ein Virus!
Das spricht langsam gegen H+B. Man kann auch zu übersensibel mit dem Thema Viren umgehen.
|
Re: Juhu, es ist ein Virus!
Zitat:
|
Re: Juhu, es ist ein Virus!
Zitat:
Fräge: Wolle Virus kaufn? :nerd: MfG Florian :hi: |
Re: Juhu, es ist ein Virus!
Hi.
Sofern Du AntiVir verwendest, würde ich mal warten bis das Proggy fertig ist, und wenn das dann immer drauf anspringt, das ganze Teil dorthin schicken (besser auf Diskette als per Mail!). Es gibt für gewisse Virentypen auch Ausschlusskriterien, und es kann sein, daß neuere Versionen dann bei solchen Codeteilen wie Deinen nicht mehr fälschlich anspringen. Die Entwickler von AntiVirensoftware sind über solche Hinweise im übrigen recht dankbar. Sie wollen schliesslich vor Viren warnen und nicht vor regulären Programmen ;-) Grüßle, Sebastian |
Re: Juhu, es ist ein Virus!
Naja. Es gibt ja ein (oder mehrere) Backdoor Programme die gleichen ASM Code haben. Ich glaube nich, dass die für ein kleines, privates Freeware Programm etwas rausnehmen und so wirklich gefährlichen Programmen die Tür aufschliessen. :???: Halte ich für recht unwahrscheinlich.
MfG Florian :hi: |
Re: Juhu, es ist ein Virus!
Zitat:
|
Re: Juhu, es ist ein Virus!
Zitat:
MfG Florian :hi: |
Re: Juhu, es ist ein Virus!
Zitat:
Zitat:
|
Re: Juhu, es ist ein Virus!
Zur Sachlage Virus:
Virenprogramme reagieren auf Dateien mit einer bestimmten Dateigröße, die ein Prozess auslösen, der gefährlich sein könnte, oder die Threads verwenden, die von vielen Trojanern auch verwendet werden. (Keylogger, Dateimanipulationen, MBR-Zugriffe, uvm). Möglicherweisse ist deine Datei genau so gross wie ein bekannter Virus, und versucht auf einen Port zuzugreifen, auf den auch dieser Virus zugreifen wollte. Dann geht der AntiVir schon los. Ein Ändern der Dateigröße und des benutzten Portes, könnte verhindern, das AntiVir anspringt. Zum Keylogger: Du hast wohl sicher mit Threads gearbeitet. Da die guten Anti Viren Programme immer einen Thread Scanner haben, werden "billig" programmierte Tastaturabfragen/Loggs fast immer erkannt. Gruss Moori |
Re: Juhu, es ist ein Virus!
LOL ... ich habe sogar ne Window-Class mit einen Teilstring "Keylogger" benutzt. Es handelt(e) sich um eine Demonstration. Wozu sollte ich da was einbauen, was Scriptkiddies dann mit Copy&Paste in ihre eigenen Mistschleudern einbauen. Es war die Demo zu einem Tastaturhook. (inkl. Trayicon ... kein Netzwerk ...).
Aber ich wette, ich kann dir was schreiben, was auch H+B austrickst ;) |
Re: Juhu, es ist ein Virus!
Viren, Trojaner usw...
Hallo Zusammen, ich will hier nicht näher auf das Thema "Antiviren Programme umgehen" eingehen, da ich den verdacht habe, das es hier genau um das geht. Warum auch?! "Ich habe nicht vor, die jungen Tiere zu Füttern, die möglicherweise im Alter meinen Hof verwüsten werden!" (T. Adams) Gruss Moori |
Re: Juhu, es ist ein Virus!
Zitat:
Danke! MfG Florian :hi: |
Re: Juhu, es ist ein Virus!
Zitat:
Da dich niemand darum gebeten hat Tips zu geben, wie man AVs umgeht (und dies IMHO hier auch niemand im Sinn hat/hatte), zeugt dein Beitrag nur von Ignoranz, statt Respekt vor den Mitdiskutanten. |
Re: Juhu, es ist ein Virus!
Danke Assarbad!
Ich werde mich wohl für die Variante mit dem Text entscheiden. Ich möchte und kann (noch) keine Anti-Viren Programme umgehen. Morgen werde ich anfangen, dass Programm noch mal neu zu schreiben. Bleibt zu hoffen, dass ich nicht wieder "bösen" :twisted: Code schreibe. MfG und Gute N8! Florian :hi: |
Re: Juhu, es ist ein Virus!
Ich hatte auch einmal ein ähnliches Problem... Mein FTP-Server wurde von InoculateIT (bis Signatur 29.50) fälschlicherweise als Backdoor/InvisibleFTP erkannt.
Nachdem ich von mehreren Usern mehr oder weniger freundlich darauf hingewiesen wurde, dass ich einen Virus verbreiten würde habe ich mich zuerst freundlich per e-Mail an den Hersteller von InoculateIt gewandt, was leider erfolglos blieb... Ein unfreundlicher Anruf bei der deutschen Niederlassung (inkl. Drohung mit Anwalt -> üble Nachrede etc.) hatte dann aber Erfolg. Nach nur 2 Tagen gab es ein Signaturupdatge ohne diesen Bug. Aber wie geagt, das war ein FTP-Server... bei einem Keylogger sehe ich da auch Probleme... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:22 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz