Virus im Projekt?
 

Hallo,

nun bin ich aber doch verunsichert. Ich hatte vor ein paar Monaten ein kleines Tool zur gemeinsamen Datenverwaltung geschrieben und an meine Freunde verteilt. Sie alle berichteten davon, daß die Software virenversucht wäre. Es sei ein Trojan-Downloader enthalten.

Ich habe das damals über Virtustotal gechecked und siehe da, es war nur McAffee, der ein Virus fand. Ich schloss also einen Virus aus und führte die Fehlermeldung auf die Verwendung von IdHTTP zurück.

Nun bin ich aber extrem unsicher weil ich eben dieses Codebeispiel in meiner Delphi 7 IDE ausprobieren wollte: http://www.delphi-treff.de/tipps/kom...loon-anzeigen/
und eine ganz böse Überraschung erlebt habe. Zunächst bekam ich beim Versuch, den Sourcecode zu kompilieren eine Fehlermeldung, die ich nicht mehr weiß weil danach alles sehr schnell ging. Kaspersky poppte auf. Dieser Virenscanner ist eigentlich nicht utranervös und hat mich bisher vor Fakemeldungen verschon. Nun fand er einen Trojan Downloaden, und zwar genau in der Prokejt1.exe, die ich gerade am kompilieren war und von der ich dachte, sie würde sich nicht kompilieren lassen.

Kaspersky hat hier ein riesiges Faß aufgemacht, alles gesperrt und minutenlang desinfiziert, inklusive anschließendem Systemabsturz und Reparatur.

Nunja, in dem Code ist keine IdHTTP enthalten und auch kein Netzwerkzugriff. Ich kann mir kaum vorstellen was in dem Code von Delphi-Treff als Virus aufgefaßt worden sein könnte. Daher mache ich mir schon Sorgen, ob vielleicht irgendwas in früheren Zeiten meine Delphi IDE infiziert haben könnte um sich dann über die damit hergestellten Programme zu verbreiten.
Ich meine...wie kann Kaspersky einen Downloader vermuten wenn das Programm nicht mal eine Verbindung zum Internet herstellt?

Weiß jemand vn Euch was das sein könnte? Der exakte angezeigte Name des angeblichen Schädlings lautet Trojan-Downloader.Win32.Bainload.tzd

Grüße
Holger

AW: Virus im Projekt?
 

AW: Virus im Projekt?
 

Was hat das Delphi Virus(W32/Induc-A) mit "Downloader.Win32.Bainload.tzd" zu tun?

AW: Virus im Projekt?
 

Benutzt du Delphi 7 wie im Profil angegeben? Da gab es vor einigen Jahren tatsächlich einen Virus, der System-Units befallen hat, sodass alle erzeugten Programme dann auch wieder den Virus enthielten. Wobei dieser Virus aber soweit ich weiß keinen Schaden angerichtet hat, war wohl eher eine Machbarkeitsstudie.

AW: Virus im Projekt?
 

Oft genug ist es aber auch einfach nur ungenaue Heuristik, die (alte) Delphi-Programme erkennt. Woran? Am Timestamp im PE-Header, der ist da fix codiert. Da haben wohl ein paar Malware-Analysten nur gesehen, dass alle Samples den gleichen Timestamp haben, daher tauchen Delphi-Programme in der schlechten Heuristik diverser Produkte auf... QC-Eintrag dazu.

AW: Virus im Projekt?
 

Hallo Holger,

ich würde dir empfehlen, dein Delphi 7 neu zu installieren. Damit bist du wohl auf der sicheren Seite.

AW: Virus im Projekt?
 

Am sinnvollsten dürfte sein einmal eine Boot-CD zu benutzen und das System damit von außen zu scannen. Vielleicht ist da ja wirklich ein Virus aktiv, der den Trojaner einschleust, aber der muss nicht in Delphi stecken.

Was sagt denn Virustotal zu der aktuellen Exe?

AW: Virus im Projekt?
 

Sooo...ich habe mich mittlerweile mal durch die diversen Foren gewüht und Einiges dazu erfahren.
Ich habe meine Festplatte auch nach der verräterischen .bak gescannt und nichts gefunden. Dann habe ich mir dieses Tool geladen und laufen lassen: http://www.delphigl.com/forum/viewtopic.php?t=8626

Das hat auch nichts gefunden.

Ein Komplettscan von Kaspersky läuft derzeit noch. Bisher hat er nichts mehr gefunden. Auch wenn ich nun ein neues Projekt anlege und kompiliere, meldet sich Kaspersky nicht mehr. Die bisher erstellten Programme (einschließlich dem, das von McAffee als Virus eingestuft wird) lassen Kaspersky offenbar kalt.

Nunja, es gab die Meldung, daß der seinerzeitige Delphi-Virus eben jenen Banking-Trojaner befallen habe. Das würde nun zwar auch nicht erklären wieso das nun plöttzich umgekehrt sein soll, also daß nicht der Trojaner das Delphivirus hat, sondern Delphi den Bankingtrojaner verbreitet.

Siehe: http://www.heise.de/newsticker/meldu...rt-752153.html

Das stelle ich erst einmal ganz hinten an, denn wenn das einmal passiert ist und ich nicht weiß wo genau die Ursache liegt, dann passiert das bei einer Neuinstalation wieder. Und es ist echt Pain in the Ass Delphi 7 unter Windows 8 zum Laufen zu bringen.
Außerdem soll das Virus angeblich nur ein paar Dateien ersetzt bzw. umgeschrieben haben. Falls ich solche finden sollte, überschreibe ich sie einfach mit den Originaldateien.

Ich glaube eher, es hatte etwas mit dem Code zu tun, den ich ausprobiert habe. Ich will es aber nicht noch mal versuchen weil ich echt die Nase voll davon habe wie Kaspersky darauf reagiert.

Erkennt jemand in diesem Code eine möglichen Hinweis darauf, warum Kaspersky den für ein Virus hielt?

AW: Virus im Projekt?
 

Da werden lediglich ein paar Regions erstellt, kombiniert und letztendlich einem Formular zugewiesen. Ich kann daran beim besten Willen nichts potentiell Gefährliches entdecken.

AW: Virus im Projekt?
 

Ich kann mein System dank UEFI nicht von außen booten. Hab' jedenfalls noch nicht rausgefunden wie es gehen soll. Die dafür vorgesehene Windows-Funktion funktioniert nicht.

Ich kann die Exe nicht an Virusttal schicken weil Kaspersky sie gelöscht hat.

AW: Virus im Projekt?
 

Mein letztes Projekt, den Presse-Submitter erkennt (wieder einmal) nur McAffee

https://www.virustotal.com/de/file/0...is/1395326045/


Beängstigend ist dieses Ergebnis:

Es handelt sich um eine Form mit nur einem Button darauf

https://www.virustotal.com/de/file/1...is/1395326393/

Nun erkennen zahlreice Virenscanner einen Schädling.

Die einzige Veränderung zu gestern: Ich habe gestern (dummerweise) CamStudio (von der originalen Herstellerseite) geladen und installiert und erst bei der Installation festgestellt, daß zahlreiche adware mitinstalliert wurde.

Alles andere ist identisch zu gestern, vorgestern, letzten Monat...

AW: Virus im Projekt?
 

Dieser Delphi-Virus damals war ja nur ein PoC (Proof of Concept) und machte erstmal nichts Böses, außer sich wild zu verbreiten (hemmungslosem Sex),
um aufzuzeigen, daß es da ein Sicherheitsleck gibt.

Natürlich könnte inzwischen jemand auf die idee gekommen sein und häte das "bösartig" weiterentwickeln können.


Nja, hat jetzt nicht nachgesehn, was Downloader.Win32.Bainload.tzd nun eigentlich sein soll.
Also kann es auch gut einfach nur, wie schon erwähnt, die Heuristik sein (Fehlalarm),
oder es gibt wirklich einen Virus, der sich bei ihm breit gemacht hat.

AW: Virus im Projekt?
 

Wie hast du es denn installiert? Ich hoffe nicht außerhalb von des Programme-Verzeichnisses und auch nicht mit Änderung von Rechten in dem Verzeichnis?

Meine Anleitung funktioniert auch unter Windows 8:
http://www.entwickler-ecke.de/topic_...ren_89408.html

AW: Virus im Projekt?
 

Okay, ich bin mir nun sehr sicher, daß ich mir gestern mit Camstudio etwas eingefangen habe. Ich lasse gerade alle möglichen Programme durch Virustotal laufen, die ich im Lufe der Zeit kompiliert habe. Hier das Ergebnis eines, schon recht alten Programmes:

https://www.virustotal.com/de/file/f...is/1395328193/

Das Besondere daran ist der Virenname "not-a-virus...blabla". Genau DAS sollte mit der Adware gestern installiert werden und wurde (angebich) von Kaspersky geblockt. Au ch heute findet Kaspersky nichts. Scan und Rootkitscan abgeschlossen. Ergebns: Kein Fund. Auch der Stinger von McAffe findet angeblich nichts. Dennoch hat das Mstding eine Programmexe befallen, und zwar noch nachträglich.

AW: Virus im Projekt?
 

Also ich hatte auch schon Probleme wenn ich ein Programm erstellt habe das Mails veschickt. Da reagieren anscheinend auch einige Scanner auf irgendwelche Routinen drauf. Da war dann die kompilierte Exe Ruck-Zuck irgendwo im Virenscanner-Nirwana verschluckt bevor ich sie überhaupt starten konnte! :shock:

AW: Virus im Projekt?
 

bei SendMessage ist das auch öfters so das nicht existierende viren gefunden werden

AW: Virus im Projekt?
 

hast du dir den Link von Deddy angeguckt auf seite 1?

klingt ziemlich plausibel für mich das du dich infiziert hast wenn selbst ne form mit button auffällig ist..
http://blog.marcocantu.com/blog/stop...phi_virus.html

lg

AW: Virus im Projekt?
 

Ich hatte vor ein paar Jahren auch einen Tipp vom Delphi-Treff mit Delphi 7 PE ausprobiert und sofort eine Virenmeldung erhalten. Hintergrund war wohl das eben dieses Beispiel auch in einem Virus verwendet wurde. Nachdem ich den Namen einer Variablen geändert hatte, gab es keine Virenmeldung mehr. Deshalb würde ich als erstes andere Variablennamen ausprobieren.

AW: Virus im Projekt?
 

Das kann so aber nicht zusammenhängen, denn die Variablennamen landen nicht in der EXE.
Genauso wie Namen der Konstanten und Funktionen/Proceduren nach dem Compilieren weg sind. Nur Namen von Typen, Klassen und (teilweise) von Methoden (standardmäßig nur published) landen in der EXE. (neuerdings auch private :wall:, protected und public, durch diese komische neue RTTI, wo auch die Namen der Felder und Property drin stehen)

Einem laufenden Programm ist der Name einer Variable auch vollkommen egal,
dem interessiert nur die Adresse und womöglich gibt es nichtmal eine Speicheradresse, da die Variable so kurzlebig und klein ist, daß sie gleich ganz in den CPU-Registern verschwindet.

AW: Virus im Projekt?
 

Bist du dir da ganz sicher?

Um es noch mal zu sagen "Trojan-Downloader.Win32.Banload.tzd" hat nun wirklich nichts mit dem bekannten Delphi Virus "W32/Induc-A" zu tun. Das eine ist ein Virus, das andere ein Trojan-Dropper.

In deinem Virus-Total Bericht werden dir zwei verschiedene Funde gezeigt, wovon einer nicht mal ein Virus ist. Das ist nur ein unwanted Adware-Programm. Wie sollte das denn eine Datei infizieren?

Bei diesem Ergebnis (48-2) kannst du mal getrost davon ausgehen, dass es sich hier um False-Positives handelt und die beiden Scanner schlechte Signaturen verwenden.

AW: Virus im Projekt?
 

Ob der Name in der EXE landet, weiß ich nicht. Auf jeden Fall hatte es in dem Fall aber tatsächlich funktioniert. WinXP - D7PE.

AW: Virus im Projekt?
 

Ist doch mit UPX gepackten Programmen oft genauso. Liegt halt einfach daran, dass viele Malwareentwickler gerne & oft mal auf UPX zurück greifen und somit einiges an Größe ihrer Schadsoftware "einsparen".

AW: Virus im Projekt?
 

Bei mir erkennt AVG Free ein Programm als Virus, wenn ich keine Komponenten auf das Formular setze. Selbst wenn ich sonstige Klassen einbinde ... ( egal welche Delphi-IDE )

AW: Virus im Projekt?
 

Bei uns passiert das mit AVG Business manchmal auch, aber nur ein paarmal pro Monat und nie mit irgendwelchen kleinen Tools oder gar leeren Projekten. Entweder ist AVG Free da deutlich schlechter oder das sind evtl. doch keine Fehlalarme bei dir.

AW: Virus im Projekt?
 

Es wird immer schlimmer

Das kam heute bei einer Form mit Button heraus:
https://www.virustotal.com/de/file/4...is/1395478278/

Ich habe eben mal die Original Delpi-CD eigelegt und die SysConst.dcu durch eine Originale ersetzt. Ich hatte aber keine Sysconst.bak oder andere Anzeichen für eine Infektion mit dem Dephi Virus aus dem Jahr 2009. Allerdings hatte ich beim vorgestrigen Surfen (gestern hatte ich den verflixten Rechner gar nicht erst eingeschaltet)mit der google Suche nach einem der bei virustotal angegeben Viren eine Seite mit einer endlosen Auflistung dieses Virus gefunden. Rechts stad in einer Liste mit gängigen Packern für dieses Virus auch Borland Delphi. Und das war kein harmloses Teil ohne Funktion.

Ziemlich sicher. Es sit so: Ich installiere hier auf dem Rechner nur ganz ganz selten mal was Neues. Es ist eigentlich ein Arbeitsrechner für's Büro auf dem auch Delphi liegt, das ich zum Spaß an der Freud einsetze und um mir hie und da mal ein Tool zurecht zu basteln, das es so nicht gibt. Die letzte Installation liegt Monate zurück (wenn man man von offiziellen Updates absieht). Es kann nur Camstudio gewesen sein. Ws hätte es sonst sein können? Ich habe hier mit Kaspersky einen recht guten Virenscanner...so denke ich zumindest.

Im Nachhinein habe ich bemerkt, daß sich auch andere User über diese Installatin von Camstudio beschwert haben. Die Info kam nur leider zu spät. Nach allem was ich weiß ist mein System selber sauber. Weder Kasperkys KIS, not Kasperskys TDSKiller noch der McAffe Stinger finden auch nur irgendwas. Aber alles was ich mit Delphi kompiliere ist vrenverseucht....allerdings meist nur für die eher schlechteren Virenscanner.

Um auszuschließen, daß es sich um einen Fehlalarm handelt, möchte ich Euch bitten, einfach mal eine Form mit einem Button darauf mit Delphi 7 zu kompilieren und das von Virustotal überprüfen zu lassen. Falls die Ergebnisse dann ähnlich ausfallen, wissen wir, daß die Datenbanken einiger Virenscanner falsch anschlagen.

Eine Frage noch: Kann ich eigentlich ein zweites Delphi 7 neben dem ersten installieren? Ich würe mir das, falls das die einzige Möglichkeit ist, lieber erst komplett einrichten bevor ich die alte Installation entferne.

Danke und Grüße
Holger

AW: Virus im Projekt?
 

Hallo

vor ca.1 Jahr hatte ich auch laufend Virus-Warnungen wenn mein Projekt den Namen Projekt1.exe" hatte sobald ich den Namen änderte war alles ok. Eine Rückfrage bei Avira ergab dass "Projekt1" in irgendeiner Viren-Signatur enthalten sein und daher der Virenschutz ansprang.

- Probier einfach mal das Projekt1 auf Projekt oder einen anderen Namen umzubenennen.

Schlingel

AW: Virus im Projekt?
 

Vielen Dank für den Tipp.

Hat aber leider nicht geholfen
https://www.virustotal.com/de/file/2...is/1395481554/

AW: Virus im Projekt?
 

Kann man sehen, wie man will ...

86% Der Scanner sagen es ist OK
und vorallem die großen/bekannten Scanner haben da nichts zu bemängeln.

Lösung: Schick dein Programm an die Hersteller der Scanner, welche rummeckern, und bitte sie um Prüfung/Berichtigung.


Hatte das auch einmal bei Avira gemacht.
Programm und Quellcode (war eh OpenSource und nichts Hochgeheimes) an die geschickt und keine halbe Stunde späte war mein Programm plötzlich doch virenfrei, da der Fehlalarm repariert wurde.

AW: Virus im Projekt?
 

Unglaublich: Das Ergebnis wird besser wenn man das Programmicon auswechselt.

https://www.virustotal.com/de/file/c...is/1395481973/

Dagegen schein der Name nicht mal so wichtig zu sein.
Hier ein älteres Spielzeug von mir, einen "Telekinesetester", den ich nie umbenannt habe, dem ich aber ein anderes Programmicon gegeben habe:
https://www.virustotal.com/de/file/b...is/1395481821/

Erkennungsrate: 0

Langsam beginnt mein Herzchen wieder langsamer zu schagen...denn mir war zwischenzeitlich dann noch noch was Fieses aufgefallen. Einer der Viren, die immer wieder angezeigt wurden stammt laut f-secure von einer Seite namens cad-portal.com. Und...nunja....3D-Design ist neben Dephi mein zweites Steckenpferd. Nicht ausgeschlossen, daß ich auf der Seite schon mal war und nach Modellen gestöbert habe.

Ich möchte Euch trotzdem bitten, das mal zu verifizieren falls Ihr Delphi 7 habt.

AW: Virus im Projekt?
 

Neues leeres Projekt in einem virtuellen PC mit Delphi 7:
https://www.virustotal.com/de/file/d...is/1395484040/
mit XE5:
https://www.virustotal.com/de/file/b...is/1395484396/

AW: Virus im Projekt?
 

Das liegt an zu schlechten Signaturen, die auf Delphi 7 Programme anspringen.

Hier mein Ergebnis für ein Delphi 7 Projekt mit einem Button.

https://www.virustotal.com/de/file/f...is/1395484783/

Sogar mit Wiedererkennungswert, da ist dein Banload auch dabei. ;)

Definitiv False-Positives.

Edit:

Gleiches Projekt: Umbenannt, anders Icon und ohne Debug Infos.

https://www.virustotal.com/de/file/b...is/1395485457/

AW: Virus im Projekt?
 

Vielen Dank für Eure Hilfsbereitschaft.

Nun kann ich endlich wieder beruhigt schlafen. Ist also doch kein Virus. Daß mein eigener Virenscanner (Kaspersky) vorgestern bei dem Versuchsbeispiel angesprungen und einen Dropper gemeldet hatte, wird mit 99%iger Sicherheit daran geleen haben, daß Kaspersky in dieser speziellen Programmkonstellation dann eben auch was gefunden zu haben glaubte. Vielleicht hatte ein früheres Virus mal einen ähnlichen Code verwendet. Dieser Dropper wurde damals definitiv mit Delphi kompiliert.

Na denn....alle mal aufatmen :-D

AW: Virus im Projekt?
 

Erutan bei sieht es mit D7PE unter Win8.1 bei dem Button auf dem Formular ähnlich aus. https://www.virustotal.com/de/file/2...is/1395512881/

Habe hier Norton CBE als Virenscanner drauf. Der blockiert und löscht ab und zu ein Projekt. So auch die Demos zur Fritzboxkomponente. Mittlerweile scheint er gelernt zu haben, dass es kein Virus ist.

AW: Virus im Projekt?
 

Die meisten Probleme verursachen die Heuristikalgorithmen in Virenscannern. Bietet man eine Software an die für eine breite Masse gedacht ist, ist das besonders ärgerlich. Delphi 7 hat noch den Vorteil kleine Binaries zu erstellen und mit etwas Tricks bekommt man auch eine klitzekleine Binary raus.

Beispiel:
Liefert https://www.virustotal.com/de/file/8...is/1395648348/. Nutze ich anstelle eines Shellexecutes gleich mal Wininet gibts wohl kaum einen Scanner der nicht sofort anspringt:

Was dabei hilft und das klingt jetzt etwas blöd ist die Dateien künstlich aufzublähen. Ein riesen Icon einbinden, ein Bild als Ressource dranhängen oder irgendetwas ähnliches machen. Ein hochladen zu dem jeweiligen AV-Anbieter bringt meist nicht viel und es passiert dann oftmals das nach geraumer Zeit die Anwendung wieder als Virus erkannt wird. Ärgerlich ist das insbesondere, wenn dann Leute verbal entgleisen was einem einfällt. Gut Casualprodukte sind halt eher anfälliger für so etwas als Industrieanwendungen.

AW: Virus im Projekt?
 

Oder man wählt den offitizellen Weg, wendet sich an den Antivierenhersteller und lässt die fehlerhafte Signatur berichtigen.
Und das gerade wenn man sich an die breite Masse wenden will, denn es wäre noch ärgerlicher, wenn die breite Masse dein Programm dann hat und durch eine kleine Änderung die fehlerhafte Virensignatur wieder zuschlägt, weil sie z.B. gelernt haben das Icon zu ignorieren.