|
AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool
Liste der Anhänge anzeigen (Anzahl: 1)
Moin zusammen,
ich habe mal ein kleines Tool geschrieben, dass die aktuelle IP-Adresse unseres Servers in der Schule von der Schulwebsite herunterlädt und in die Zwischenablage kopiert. Nun habe ich mir gerade die aktuelle Version von Aviras AntiVir Personal Edition Classic installiert und mein harmloses Tool wird als  TR/Delphi.Downloader.Gen erkannt.Was da steht klingt ja auch alles ganz richtig: Es handelt sich um ein Delphi-Programm, das etwas aus dem Internet herunterlädt, aber doch nicht um ein Trojanisches Pferd! AntiVir bietet mir nur an, mein Tool zu löschen oder mich regelmäßig wieder zu nerven. Was kann ich da tun? Hat so was schon mal jemand gehabt? Das Tool:
Delphi-Quellcode:
Gruß
program SchulServerIP;
{$R *.res} uses WinInet, WinSock, Windows; function LoadURL(URL: String): String; var IOpen, IURL: HINTERNET; Read: Cardinal; Msg: array[0..4096] of Char; begin Result := ''; try IOpen := InternetOpen('Delphi-PRAXiS', INTERNET_OPEN_TYPE_PRECONFIG, '', '', INTERNET_FLAG_NEED_FILE); if IOpen <> nil then try IURL := InternetOpenUrl(IOpen, PAnsiChar(URL), nil, 0, INTERNET_FLAG_NO_UI, 0); if IURL <> nil then try repeat FillChar(Msg, SizeOf(Msg), 0); if InternetReadFile(IURL, @Msg[0], Pred(SizeOf(Msg)), Read) then Result := Result + Msg else Break; until Read = 0; finally InternetCloseHandle(IURL); end; finally InternetCloseHandle(IOpen); end; except end; end; //http://www.delphipraxis.net/topic6323_http+seite+einlesen+nonvcl.html procedure CopyTextToClipboard(aWnd: HWND; aText: PChar); var Data: THandle; DataPtr: Pointer; Size: Integer; oldWND: HWND; begin Size := Length(aText) + 1; OpenClipboard(aWnd); //Open Clipboard try EmptyClipboard; // Clear Clipboard oldWND := SetClipboardViewer(aWnd); // Clipboard für Programm registr. Data := GlobalAlloc(GMEM_MOVEABLE or GMEM_DDESHARE, Size); // Get Memory try DataPtr := GlobalLock(Data); try Move(aText^, DataPtr^, Size); SetClipboardData(CF_TEXT, Data); // Clpbrd-Format as Text & send Text finally GlobalUnlock(Data); end; except GlobalFree(Data); // Free res. Memory raise; // Get global Memory Err end; ChangeClipboardChain(aWnd, oldWND); finally CloseClipboard; //Close Clipboard end; end; //http://www.delphipraxis.net/topic73806_nonvcl+send+to+clipboard+as+name+eigenbau.html var s: String; begin s := LoadURL('http://www.lms-sh.de/ip/ip'); while s[Length(s)] in [' ', #13, #10, #0] do SetLength(s, Length(s) - 1); CopyTextToClipboard(0, PChar(s)); end. Malte |
Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool
schick die Exe an die Entwickler damit sie die Virendefinition anpassen können.
|
Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool
Moin,
das Thema gabs hier schon öfter in der DP ;) Bösartige Software, die in Delphi geschrieben wurde, verwendet die gleichen Units wie du. Wenn also die Virenlabs eine Signatur erstellen, kann es durchaus vorkommen dass da zufällig die gleichen Code-Teile (verm. WinSock) verwendet werden. Somit ist dein Programm "bösartig"... Suche in der DP lohnt sich ;) |
Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool
Zitat:
Avira-Website ein Formular gefunden, mit dem man Fehlalarme melden kann. Ich habe das jetzt einfach mal ausgefüllt und die Exe mitgeschickt. Zusätzlich habe ich sie hier an den ersten Beitrag angehängt und diesen Threat als URL mit angegeben. Bin gespannt was passiert...Gruß Malte |
Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool
Bei Avira reichts schon wenn du die reihenfolge der units unter uses änderst, oder eifnach zwischen dem code ein nop einfügst.
Ist zwar nicht schön aber eine Übergangslösung. Einfach mal alles zwischen begin und eind auskommentieren und dann immer wieder hinzunehmen bis du weißt was erkennt wird. das dann eifnach bisl umschreiben. |
Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool
Moin Moin,
nachdem ich das Tool bei Avira gemeldet habe als Fehlalarm, habe ich heute die Antwort bekommen, dass die Datei tatsächlich als Fehlalarm eingestuft wurde und die Definition angepasst wird: der Bericht von AviraWenn jetzt mit dem nächsten Update der Fehlalarm weg ist, bin ich rundum zufrieden mit dem Service :thumb: Gruß Malte |
Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool
hast du denen auch den Quellcode gezeigt?
|
Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool
Wieso sollte er?
PS: Avira ist sehr schnell. Hab bei denen mein Schul-Praktikum gemacht ;-) |
Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool
Hehe, ich hab da auch mal ein paar Monate im Virenlabor gearbeitet. :-)
|
Re: AntiVir erkennt TR/Delphi.Downloader.Gen in meinem Tool
Zitat:
Zitat:
Gruß Malte |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:12 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz