Virus im Projekt?
 

Hallo,

nun bin ich aber doch verunsichert. Ich hatte vor ein paar Monaten ein kleines Tool zur gemeinsamen Datenverwaltung geschrieben und an meine Freunde verteilt. Sie alle berichteten davon, daß die Software virenversucht wäre. Es sei ein Trojan-Downloader enthalten.

Ich habe das damals über Virtustotal gechecked und siehe da, es war nur McAffee, der ein Virus fand. Ich schloss also einen Virus aus und führte die Fehlermeldung auf die Verwendung von IdHTTP zurück.

Nun bin ich aber extrem unsicher weil ich eben dieses Codebeispiel in meiner Delphi 7 IDE ausprobieren wollte: http://www.delphi-treff.de/tipps/kom...loon-anzeigen/
und eine ganz böse Überraschung erlebt habe. Zunächst bekam ich beim Versuch, den Sourcecode zu kompilieren eine Fehlermeldung, die ich nicht mehr weiß weil danach alles sehr schnell ging. Kaspersky poppte auf. Dieser Virenscanner ist eigentlich nicht utranervös und hat mich bisher vor Fakemeldungen verschon. Nun fand er einen Trojan Downloaden, und zwar genau in der Prokejt1.exe, die ich gerade am kompilieren war und von der ich dachte, sie würde sich nicht kompilieren lassen.

Kaspersky hat hier ein riesiges Faß aufgemacht, alles gesperrt und minutenlang desinfiziert, inklusive anschließendem Systemabsturz und Reparatur.

Nunja, in dem Code ist keine IdHTTP enthalten und auch kein Netzwerkzugriff. Ich kann mir kaum vorstellen was in dem Code von Delphi-Treff als Virus aufgefaßt worden sein könnte. Daher mache ich mir schon Sorgen, ob vielleicht irgendwas in früheren Zeiten meine Delphi IDE infiziert haben könnte um sich dann über die damit hergestellten Programme zu verbreiten.
Ich meine...wie kann Kaspersky einen Downloader vermuten wenn das Programm nicht mal eine Verbindung zum Internet herstellt?

Weiß jemand vn Euch was das sein könnte? Der exakte angezeigte Name des angeblichen Schädlings lautet Trojan-Downloader.Win32.Bainload.tzd

Grüße
Holger

AW: Virus im Projekt?
 

AW: Virus im Projekt?
 

Was hat das Delphi Virus(W32/Induc-A) mit "Downloader.Win32.Bainload.tzd" zu tun?

AW: Virus im Projekt?
 

Benutzt du Delphi 7 wie im Profil angegeben? Da gab es vor einigen Jahren tatsächlich einen Virus, der System-Units befallen hat, sodass alle erzeugten Programme dann auch wieder den Virus enthielten. Wobei dieser Virus aber soweit ich weiß keinen Schaden angerichtet hat, war wohl eher eine Machbarkeitsstudie.

AW: Virus im Projekt?
 

Oft genug ist es aber auch einfach nur ungenaue Heuristik, die (alte) Delphi-Programme erkennt. Woran? Am Timestamp im PE-Header, der ist da fix codiert. Da haben wohl ein paar Malware-Analysten nur gesehen, dass alle Samples den gleichen Timestamp haben, daher tauchen Delphi-Programme in der schlechten Heuristik diverser Produkte auf... QC-Eintrag dazu.

AW: Virus im Projekt?
 

Hallo Holger,

ich würde dir empfehlen, dein Delphi 7 neu zu installieren. Damit bist du wohl auf der sicheren Seite.

AW: Virus im Projekt?
 

Am sinnvollsten dürfte sein einmal eine Boot-CD zu benutzen und das System damit von außen zu scannen. Vielleicht ist da ja wirklich ein Virus aktiv, der den Trojaner einschleust, aber der muss nicht in Delphi stecken.

Was sagt denn Virustotal zu der aktuellen Exe?

AW: Virus im Projekt?
 

Sooo...ich habe mich mittlerweile mal durch die diversen Foren gewüht und Einiges dazu erfahren.
Ich habe meine Festplatte auch nach der verräterischen .bak gescannt und nichts gefunden. Dann habe ich mir dieses Tool geladen und laufen lassen: http://www.delphigl.com/forum/viewtopic.php?t=8626

Das hat auch nichts gefunden.

Ein Komplettscan von Kaspersky läuft derzeit noch. Bisher hat er nichts mehr gefunden. Auch wenn ich nun ein neues Projekt anlege und kompiliere, meldet sich Kaspersky nicht mehr. Die bisher erstellten Programme (einschließlich dem, das von McAffee als Virus eingestuft wird) lassen Kaspersky offenbar kalt.

Nunja, es gab die Meldung, daß der seinerzeitige Delphi-Virus eben jenen Banking-Trojaner befallen habe. Das würde nun zwar auch nicht erklären wieso das nun plöttzich umgekehrt sein soll, also daß nicht der Trojaner das Delphivirus hat, sondern Delphi den Bankingtrojaner verbreitet.

Siehe: http://www.heise.de/newsticker/meldu...rt-752153.html

Das stelle ich erst einmal ganz hinten an, denn wenn das einmal passiert ist und ich nicht weiß wo genau die Ursache liegt, dann passiert das bei einer Neuinstalation wieder. Und es ist echt Pain in the Ass Delphi 7 unter Windows 8 zum Laufen zu bringen.
Außerdem soll das Virus angeblich nur ein paar Dateien ersetzt bzw. umgeschrieben haben. Falls ich solche finden sollte, überschreibe ich sie einfach mit den Originaldateien.

Ich glaube eher, es hatte etwas mit dem Code zu tun, den ich ausprobiert habe. Ich will es aber nicht noch mal versuchen weil ich echt die Nase voll davon habe wie Kaspersky darauf reagiert.

Erkennt jemand in diesem Code eine möglichen Hinweis darauf, warum Kaspersky den für ein Virus hielt?

AW: Virus im Projekt?
 

Da werden lediglich ein paar Regions erstellt, kombiniert und letztendlich einem Formular zugewiesen. Ich kann daran beim besten Willen nichts potentiell Gefährliches entdecken.

AW: Virus im Projekt?
 

Ich kann mein System dank UEFI nicht von außen booten. Hab' jedenfalls noch nicht rausgefunden wie es gehen soll. Die dafür vorgesehene Windows-Funktion funktioniert nicht.

Ich kann die Exe nicht an Virusttal schicken weil Kaspersky sie gelöscht hat.