Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Sonstige Fragen zu Delphi (https://www.delphipraxis.net/19-sonstige-fragen-zu-delphi/)
-   -   Delphi Woher kommt Trojan.Win32.Delf.vtl ??? (https://www.delphipraxis.net/151379-woher-kommt-trojan-win32-delf-vtl.html)

kuba 15. Mai 2010 10:18
Woher kommt Trojan.Win32.Delf.vtl ???
 
Hallo,

ich bekomme bei der Installation eines selbst geschriebenen Programm eine Virenmeldung: Trojan.Win32.Delf.vtl
In einer vorherigen Version hatte ich ein ICON aus dem Internet verwendet, dieses ICON hatte ebenfalls einen Virenalarm verursacht. Ich hab das ICON jedoch komplett entfernt und gegen ein anderes ersetzt.

Woher kommt Trojan.Win32.Delf.vtl ???

Hat schon mal jemand dieses Phänomen bei selbst programmierter Software beobachtet ?

KUBA

idefix2 15. Mai 2010 10:34
Re: Woher kommt Trojan.Win32.Delf.vtl ???
 
Bei selbst geschriebener Software noch nicht, aber bei etlichen Programmen, von denen ich sicher weiss, dass sie virenfrei sind, haben immer wieder irgendwelche Antivirenprogramme Alarm geschlagen. Die Antivirussoftware erkennt da eben irgensd ein Muster, das zufällig auch in einem Virus vorkommt, und reagiert entsprechend. Nachdem sich die Antivirussoftwarehersteller logischerweise nicht detailliert über ihre Algorithmen auslassen (und die noch dazu ständig angepasst werden), gibt es wahrscheinlich kaum eine Möglichkeit, solche Fehlalarme zuverlässig zu vermeiden, ausser, mit seinem Programm eine so grosse Verbreitung zu erreichen, dass die Antivirensoftwarehersteller dieses Programm in ihre false-positive Tests einbeziehen müssen.

s.h.a.r.k 15. Mai 2010 11:01
Re: Woher kommt Trojan.Win32.Delf.vtl ???
 
Schreib den Antiviren-Hersteller an und schildere dein Problem. Ebenso kannst du ihnen eine Test-Version deiner Software geben, sodass die Damen und Herren das nachvollziehen können. Aus Sicht der Antiviren-Hersteller kann so etwaas durchaus sinnvoll sein, an dieser Stelle etwas nachzubessern.

Rakshasa 15. Mai 2010 11:14
Re: Woher kommt Trojan.Win32.Delf.vtl ???
 
In solchen Fällen am besten die Datei an VirusTotal schicken und schauen, ob nur der eigene Scanner hyperventiliert.

blackfin 15. Mai 2010 12:34
Re: Woher kommt Trojan.Win32.Delf.vtl ???
 
Ich hatte das gleiche Phänomen einmal mit GData und einem selbst compilierten Programm.
Der Scanner hatte gleich nach dem compilieren die Datei gelöscht und eine Viren-Meldung mit einem "Delph" Virus gemeldet.
Allerdings trat dies nur bei einem einzigen Programm bei der Kompilierung auf, bei anderen nicht.

Ich hatte die Datei einfach an GData geschickt, nach ca. 1 Stunde war die Meldung dann weg, da es sich um einen false positive handelte, der den Heuristik-Scanner der BitDefender-Engine zum falschen Aussschlag brachte. Nach Update der Viren-Definitionen war es dann auch schon wieder vorbei.
AV-Firmen reagieren allgemein sehr schnell auf so etwas, also einfach hinschicken und kurz abwarten :)

kuba 15. Mai 2010 12:37
Re: Woher kommt Trojan.Win32.Delf.vtl ???
 
Zitat:
Zitat von Rakshasa
In solchen Fällen am besten die Datei an VirusTotal schicken und schauen, ob nur der eigene Scanner hyperventiliert.
Da bekomme ich folgende "Bedrohungen" angezeigt:

Kaspersky 7.0.0.125 2010.05.15 Trojan.Win32.Delf.vtl
NOD32 5116 2010.05.15 probably unknown NewHeur_PE

Ich glaube es liegt an einer DLL von einem Fremdanbieter, die in meinem Projekt verwendet wird: WinMDB32.dll

KUBA

mkinzler 15. Mai 2010 12:40
Re: Woher kommt Trojan.Win32.Delf.vtl ???
 
Dann dürfte der Scanner aber bei deine Exe nicht anschlagen

kuba 15. Mai 2010 12:53
Re: Woher kommt Trojan.Win32.Delf.vtl ???
 
Zitat:
Zitat von kuba
ich bekomme bei der Installation eines selbst geschriebenen Programm eine Virenmeldung: Trojan.Win32.Delf.vtl
KUBA
OK, stimmt. Die Virenmeldung kommt nicht bei Installation des Programm. Es ist lediglich eine Info vom Downloadanbieter, bei dem ich das Programm hoste. Unten drunter steht dann auch:

Es handelt sich vermutlich um einen Fehlalarm. Wir bieten die Datei daher trotzdem zum Download an, prüfen die Sache aber in Absprache mit den Herstellern der Virenscanner, die eine Infektion gemeldet haben, noch einmal. Einen aktualisierten Scan-Report sollten Sie in einigen Tagen unter <http://www.heise.de/software/download/Programmname> (Download-Button) finden.

Übrigens, als ich das ICON noch drin hatte kam schon eine Virenmeldung beim Compilieren. Name des ICON war: piggy-bank.ico

KUBA

kuba 22. Mai 2010 10:40
Re: Woher kommt Trojan.Win32.Delf.vtl ???
 
Hallo,

ich bin den Signaturen und deren Ursprung nochmal nachgehangen. Dabei habe ich festgestelt, dass die Signatur NewHeur_PE seit der Umstellung von Delphi 2005PE auf Delphi 2010 in einigen meiner Programme enthalten ist.

Die Signatur Trojan.Win32.Delf.vtl stammt offensichtlich aus der WinMDB32.dll, eine "bereinigte" Version findet man jedoch auch im Internet.

Kann es sein, dass sich die Signatur NewHeur_PE durch Umstellung auf UNICODE eingeschlichen hat ? Was kann ich dagegen tun ? Momentan liefere ich die "befallenen" Programmteile als Delphi 2005PE Kompilat aus.

kuba

PS: wie blöd sieht das aus wenn meine Software beim Endanwender Virenalarm auslöst ...

himitsu 22. Mai 2010 11:02
Re: Woher kommt Trojan.Win32.Delf.vtl ???
 
Zitat:
Zitat von kuba
PS: wie blöd sieht das aus wenn meine Software beim Endanwender Virenalarm auslöst ...
AntiVir hat bei mit noch nicht rumgemeckert. :mrgreen:

Nja, wie schon gesagt, entweder du meldest deine Programme beim entsprechenden Support und läßt so die Fehlmeldungen berichtigen

oder du sagst eben Bescheid, daß es bei bestimmten AV-Programmen einen Fehlalarm geben könnte.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:38 Uhr.

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz