Delphi generiert Virus ?
 

Hi Leude,

Bei mir hat ein Virenscanner bei einer von mir compilierten exe angeschlagen (RadStudio 2007) ...
Gut , es gibt viele false positives aber der Sache wollte ich hier im Forum nochmal auf den Zahn fühlen.
Derweil wäre es ja perfekt einem nichsahnenden Delphi User Delphi so zu verseuchen, dass man Viren in der
Welt verteilt ...

Ich hab dann mal eine schlichte Datei -> Neu -> VCL Formularanwendung compiliert und bei http://www.virustotal.com
hochgeladen (409.600 Bytes).
Ergebnis:
Webwasher-Gateway 6.6.2 2008.08.23 Virus.Win32.FileInfector.gen!90 (suspicious)
Ikarus T3.1.1.34.0 2008.08.23 Virus.Win32.Banload.FQ

Die anderen zig scanner fanden nichts

Was meint Ihr dazu .... :|

Re: Delphi generiert Virus ?
 

Delphi generiert nur dann einen Virus, wenn du einen schreibst du durch den Compiler laufen lässt. Dass nur einer von vielen die App als Virus erkennt, spricht doch mehr als deutlich für einen false positive?

Re: Delphi generiert Virus ?
 

Ja ok - aber würde jemand einen Virus schreiben der die z.b. die system.pas verseucht und du in jedem projekt einen virus 'reincompilierst' ?

Das wäre doch möglich ?

Re: Delphi generiert Virus ?
 

Möglich ja, praktisch nein. Welcher Virenempfänger hat 1) Delphi auf dem Rechner (an sich schon selten) und ist 2) blöd genug, sich von Viren befallen zu lassen? ;) Die meisten Infektionen gründen sich auf pure Vorsichtslosigkeit...

Re: Delphi generiert Virus ?
 

Nur so nebenbei .. WebWasher erkennt praktisch ALLES als Virus, was nicht explizit auf der Whitelist ist.

Re: Delphi generiert Virus ?
 

Nein, da der Virus keine Schreibrechte im Intallationsverzeichnis von Delphi hat. Denn Im Programmverzeichnis von Windows hat nur der Administrator Schreibrechte.

Re: Delphi generiert Virus ?
 

Ja und? du weist doch ganz genau dass 99% der nicht-Vista-Nutzer als Admin arbeiten...

Re: Delphi generiert Virus ?
 

Also geht das schon, wenn du als Administrator arbeitest. :gruebel:

Re: Delphi generiert Virus ?
 

Ich tu Luckie jetzt mal den Gefallen und sag, dass es sehr viele Leute gibt, die als Administrator am PC arbeiten :lol:
Zu sagen, dass das fahrlässiges Handeln und was weiß ich noch sonst alles ist und sich daran zu ergötzen, wie dumm solche Leute doch sind, überlasse ich gerne Anderen :mrgreen:

Re: Delphi generiert Virus ?
 

//edit: Wie praktisch doch der rote Kasten ist. Zumindest könnte er das sein, sofern er sich mal bequemen würde, aufzutauchen.

Re: Delphi generiert Virus ?
 

Die Hoffnung stirbt zu letzt. Und gerade bei Programmierern sollte man meinen, dass sie es besser wissen.

Re: Delphi generiert Virus ?
 

Hallo.

Virenscanner erkennen ja nur über Signaturen oder über die Heuristik Programme als Viren. Wenn ein von dir erstelltes Programm gekennzeichnet wird, wird es sich um ein false-positive handeln.

Andererseits muss auch gesagt sein, dass dein PC - rein theoretisch - befallen sein kann von einem Malware-Programm, dass alle "neu ankommenden" EXE-Dateien mit schadhaften Code belastet - ist aber eher unwahrscheinlich.

Oftmals werden Programme als Viren erkannt, wenn sie z.B. mit einem EXE-Packer behandelt werden, da hier einige Stellen des Hex-Codes signifikante Merkmale erhalten können, die einem bekannten Virus ähnlich sind.

Ich hatte das 2 Mal und habe die Datei dann zum Virenlabor meines AV-Herstellers gesandt. Diese analysieren die EXE in einer Testumgebung und speißen eine Ausnahmesignatur in die Virenerkennungsliste ein.

Gerade wenn du deine Programme veröffentlichen möchtest, solltest DU dich darum sorgen, dass dein Programm als false-positive bei den AV-Herstellern gekennzeichnet wird, da sonst vorsichtige Kunden von dir ins Misstrauen fallen könnten. (Anmerkung: Finale Version deiner EXE sollte eingesandt werden)

Gruß
blackdrake

Re: Delphi generiert Virus ?
 

Ich arbeite auch als Admin und zwar aus folgenden Gründen:

• Ich kann einfach alles am Rechner machen ohne mich neu einzuloggen / umzumelden.
• Ein richtig guter Exploit / Virus / Trojaner verschafft sich Admin-Rechte!

Ich mach mir doch nicht das Leben schwer, nur damit die Hälfte der Würmer draußen bleibt...

Achja, Sorry für OT :D

Re: Delphi generiert Virus ?
 

was Adminrechte angeht darf man auch nicht vergessen das viele Apps
nur mit adminrechten laufen (viele spiele zB.)

was viren angeht.. nun.. eines meiner Programme
wurde als virus erkannt...:wall:
weil es eine besondere dateisuche durchgeführt hat,
was aber am virenscanner lag..
Fehlerhafte erkenungsliste

Re: Delphi generiert Virus ?
 

OT: wenn ich adminrechte brauche hole ich sie mir über mein UAC in Vista, unter XP arbeite ich immer noch als Admin weil mir die Rechteverwaltung zu umständlich ist :(

Re: Delphi generiert Virus ?
 

Was machst du denn ständig, dass du Administratorenrechte brauchst? Ich kann gar nicht mher agen, wann ich das lette mal als Administrator eingeloggt war. Vieles kann man auch mit §Ausführen als..." aus dem Kontextmenü machen.

Nun ja, aber dein Auto und deine Wohnungstür schließt du aber wahrscheinoich trotzdem ab oder? Wenn du mal gesehen hättest, wie schnell ein Auto geknackt ist, dann würdest du dich fragen, warum du es überhaupt abgeschlossen hast. Das selbe gilt für die Wohnungstür. Klar kann es möglich sein, dass sich Exploits Administratorenrechte verschaffane. Kennst du eine aktuelle Möglichkeit? Aber man muss es ihnen ja nicht noch leicht machen, das jeder Virus von einem Scriptkiddy das ganze System zerschiesst.

Solche Programme vermeide ich und wenn mir welche unterkommen wird eine alternative gesucht und der Hersteller bekommt eine entsprechende Mail von mir. Und wenn man ein Spiel spilen will, dann kann man sich ja mal ummelden, weil das macht man ja dann meist länger. Oder man startet es als Administartor oder man gibt ihm eben Schreibrechte im eigenen Programmverzeichnis.

Und das muss ich von jemanden hören, der für Windows programmiert. Kein wunder, wenn andere auch so denken, dass immer noch viele Programme nur mit Administratorenrechten laufen. Unter Linux wärst du mit dieser Einstellungen "untendurch". Und als Entwickler sollte man sich schon mit dem Sicherheitskonzept, der Platform, für die man entwickelt, beschäftigen. Als wenn ein Tüen Hersteller sagen würde: "Ja also Schlösser bauen wir generell nicht ein. Weil wenn sie schon mal gesehen haben, wie schnell die geknackt sind [Subdata], dann brauchen sie auch erst gar keins und zweitens ist das auch eine viel zu komplizierte Technik [xX0815Xx], damit kennen wir uns auch nicht aus und wollen es auch erst gar nicht. Und im neusten Türrahmen von Microdoorframe ist ja sowieso schon ein Schloss [UAC] von sich aus eingebaut."

Re: Delphi generiert Virus ?
 

@ Luckie: Da hab ich mich sicher falsch ausgedrückt. Mir ist das Sicherheitskonzept bewusst, ich programmiere meine Programme so dass sie Einstellungen nicht im Programmverzeichnis speichern, etc. Unter meinem Vista nutze ich die Nutzerkontensteuerung konsequent. Unter XP fehlen mir aber viele Vista-Komfortfunktionen wie das UAC (ich liebe es :D), die Einstellung dass ich Programme explizit als Admin starten kann oder auch das Einstellen der Zugriffsrechte für einzelne Ordner (gibts bei XP Home ja leider nicht :().

Demnächst werde ich mich aber mal aufraffen und das Ganze ordentlich einrichten.

In der Hoffnung, dich versöhnlicher gestimmt zu haben ;)
Jonas

Re: Delphi generiert Virus ?
 

Das kann man mit Fajo http://www.fajo.de/portal/index.php nachrüsten.

Re: Delphi generiert Virus ?
 

Oh, danke sehr :thumb:

Re: Delphi generiert Virus ?
 

Die Aussage ist falsch. Es hat durchaus einen Grund wieso WebWasher Delphi (2007?) Executables als infiziert betrachtet.

Im Normalfall hat eine Executable exakt eine ausführbare Section (.text) und in dieser liegt entsprechend auch der Entry Point, ausser ... ja ausser sie ist infiziert. Dann gibts oftmals eine weitere ausführbare Section und der Entry Point zeigt nicht mehr in die erste ausführbare Section sondern in die zweite.

Die Delphientwickler habens leider nicht so mit Standards oder meinen es besser zu wissen als alle anderen und daher haben Delphi Executables nun leider Gottes nicht eine sondern mindestens zwei ausführbare Sections (.text, .itext) und der Entry Point zeigt auch nicht auf die erste Section (.text) sondern auf die zweite (.itext). Rein strukturell sehen Delphi Executables also aus wie infiziert.

Sobald Du die Executable patchst und den Entry Point in die erste Section verlegst, so daß sie aussieht wie eine "normale" ausführbare Datei, hat auch WebWasher nichts mehr zu bemängeln.

Re: Delphi generiert Virus ?
 

Hi,

wenn ich jetzt mal davon ausgehe, dass das was du geschrieben hast, richtig ist (das weis ich leider nicht und habe momentan auch nicht die Zeit das komplett zu prüfen), wie würde ich die Exe patchen müßen?

Gruß
Ansgar

Re: Delphi generiert Virus ?
 

Entry Point auf eine Code Cave in der ersten Section legen und die Code Cave mit nem einfachen Loader Code füllen (mov eax, <Original EIP>; jmp eax;). Ist relativ einfach mit nem Hex und PE Editor zu bewerkstelligen. Ließe sich wahrscheinlich sogar automatisieren. Wenn es Interesse an nem kleinem Patcher gibt, der Delphi Executables so ändert, das sie von WebWasher nicht mehr moniert werden, kann ichs ja mal implementieren.

Re: Delphi generiert Virus ?
 

Also nachdem mein AV mir fast jedes meiner derzeitigen EXE meiner Delphi-Projekte als Trojaner meldet, hab ich die Idee, dass in letzter Zeit viele neue Viren/Trojaner in Delphi geschrieben wurden und mittlerweile in die Liste der AV Scanner gekommen sind.
Wenn man nun einfach mal schnell ein Programm schreibt und compiliert, wird das als einer dieser Viren erkannt.

Ist meine Überlegung logisch ?

Und wenn alle einfach so (ohne eigene Signatur) erstellte Delphi-Projekte die gleiche Signatur tragen, ist das Schreiben eines Viruses mit der typischen Delphi-Projekt-Signatur nicht auch ein Angriff auf alle Delphi-Entwickler ? Denn der AV nervt so beim Entwickeln und wenn nun auch noch einer auf die Idee kommt seinen AV auszumachen ... :?

Re: Delphi generiert Virus ?
 

Hast du deine Projekte mal auf einem anderen Rechner kompiliert? Es könnte auch sein, dass du einen Virus hast, der automatisch neue EXE-Dateien infiziert.

Re: Delphi generiert Virus ?
 

Ich hatte das Problem eigentlich bisher nur einmal bei einem Programm (für mich), das sich bestimmte Fensterhandles holt, um etwas zu automatisieren, was aber offensichtlich auch nicht so wollte, wie ich mir das gedacht hatte. War der Versuch ein Fensterhandle von MSN zu holen, um einem Freund was automatisch auf Reaktion zu schreiben, war aber nur zwischen uns und zum Spaß gedacht. :wink: Ich schätze mal der Virenscanner schlug aus, weil hin und wieder ja diese extrem nervigen MSN-Spam-Viren rumkursieren. Schätze mal, MS hat da mittlerweile wohl auch einen Schutz eingebaut über Handles Nachrichten zu versenden, oder ich war an dem Tag einfach zu dumm. :lol:

Re: Delphi generiert Virus ?
 

Ne, aber ich hab mal meine C Partition formatiert und Windows XP neu installiert. Das Problem blieb bestehen. :cry: