McAfee meldet "New Win32-Virus"
 

Vorwort:
Ich weiss nicht so genau ob diese Frage in einem Delphi-Forum richtig ist oder lieber in ein Assembler-Forum sollte, aber ich versuch's einfach mal.

Mein Problem:
Ich hab voriges Jahr mit einem Kumpel zusammen einen Exe-Crypter programmiert und jetzt stell ich fest, das McAfee Virusscan bei den mit diesem Programm Codierten EXE-Dateien immer meldet "New Win32-Virus".

Vorgehensweise des Programms:
Es sucht den Enty-Point des Programms und schaut in welcher Programm-Sektion er sich befindet. Diese Sektion kodiert er und setzt in einen freien bereich zwischen EXE-Header und Win32-Header eine Prozedur zum dekodieren. Anschließend ändert er den Enty-Point so ab, das die Dekodierungs-Prozedur als erstes ausgeführt weird und diese Prozedur dann zum Enty-Point springt.

Abschließende Bemerkung:
Also ansich find ich ja gut das McAfee merkt das mit der Datei etwas nicht stimmt, aber da es sich ja um keinen Virus an sich handelt, sondern um ein gewolltes ändern der Datei ist das leider dort fehl am Platze.

Meine Frage:
Wie kann mann diesen "Bug" beheben.

DP-Maintenance
 

Dieses Thema wurde von "sakura" von "Windows API" nach "Sonstige Fragen zu Delphi" verschoben.
Das hat so erst einmal nichts mit der WinAPI zu tun ;-)

Re: McAfee meldet "New Win32-Virus"
 

In dem du solchen Blödsinn sein läßt. Das ist nämlich genau die Vorgehensweise eine Viruses. Sie hängen sich hinten dran, dann ändern sie den Entry-Point, damit der Viruscode zu erstausgeführt wird, dann wird zum originalen Entry-Point gesprungen.

Btw Viren ändern die original Anwendung auch gewollt. ;)

Re: McAfee meldet "New Win32-Virus"
 

Stimmt ... :wall:

Hast du ne Idee, wie's ander's geht? Bei Programmen wie UPX oder ASPack meckert McAfee ja auch nicht.

*lol* da hast du schon Recht, aber ich meinte damit "vom Anwender gewollt" und nicht "vom Programmierer gewollt" wobei es in erster Linie vom Programmierer gewollt sein muss, damit es der Anwender ünerhaupt machen kann :)

Re: McAfee meldet "New Win32-Virus"
 

Die dürften anders funktionieren, wohl ähnlich wie ein selbstentpackendes Archiv oder so.

Re: McAfee meldet "New Win32-Virus"
 

Öhm ... Wie ein selbst Extrahierendes Archiv funktionieren die nicht gerade, schließlich erstellen die ja keine Dateien auf der Festplatte. Den Source-Code von UPX hab ich auch da (komplett in ASM), aber diese Vorgehensweise, hab ich auch schon in mehren Tutorials für Win32-Viren gelesen, deshalb hab ich das lieber gelassen, weil das zum einennen riesiger aufwand wäre und zum anderen die gefahr, das es wieder als Virus identifiziert wird nicht gerade lindert.

Re: McAfee meldet "New Win32-Virus"
 

Ich sagte auch so ähnlich. Bitte genau lesen. ;)

Re: McAfee meldet "New Win32-Virus"
 

Naja, wie ein Selbstextrahierendes Archiv, das den Speicher entpackt, so könnte man es vielleicht ausdrücken. Aber ne richtige Idee, was genau man machen müsste hast du nicht, oder? :roll:

Re: McAfee meldet "New Win32-Virus"
 

Weil die 'Signatur' beider bekannt ist - und mit an Sicherheit grenzender Wahrscheinlichkeit als 'negativ' (kein Virus) in der Datenbank eingetragen ist.
Ergo, kontaktiere den Hersteller (es wäre sicher nicht das erste Mal, das sie positive Signaturen in die Datenbank aufnehmen müßten).

ps: Vielleicht beteht die 'Lösung' eher darin, die Dekodierung in die gleiche Sektion (also nicht alles verschlüsseln) oder eine eigene zu legen (die übliche Vorgehensweise). Code zwischen den Headern ist alles andere als üblich (ich kenne zwar Dein Programm nicht, aber ich vermute, dass es gegen die PE-Spezifikation und/oder gegen die Spielregeln des Windows-Loaders verstößt...).

Re: McAfee meldet "New Win32-Virus"
 

Also ich habe es auch schon mehrfach erlebt, dass verschiedene Virenscanner meine Programme als Virus identifizieren und das Problem liess sich bisher immer über die Antivieren Programmhersteller beseitigen. Symantec hat 2 Tage gebraucht, dann gab es eine neue Signatur wo dieser Bug mit berücksichtigt war und bei InoculateIt musste ich etwas mehr Druck machen, aber es ging schliesslich auch ;) ...
In beiden Fällen haben auch kleine Programmänderungen und Neucompilierungen meinerseits keinerlei Besserung gebracht, da die entspr. Signatur danach trotzdem zustande kam :wall: .