Entwickler-Ecke
Sonstiges (Delphi) - Berlin 10.1 erzeugt EXE Virus
gerd33 - Sa 31.12.22 10:29
Titel: Berlin 10.1 erzeugt EXE Virus
Hallo,
als ich meinen Freund mein Programm gegeben habe, hat der Bitdefender einen Virus festgestellt. (Das Problem besteht schon seit längerm)
Beim erzeugen der exe Datei (ich habe wie empfohlen die Optimierung auf false gesetzt) besteht weiterhin der Virus, der bei virustotal von mehreren erkannt wird.
Nachdem ich den Virus nicht rausbekomme, obwohl ich auch schon GSA Delphi induc cleaner benutzt habe überlege ich mir alles auf lazarus umzuschreiben.
Aber ob ich das hinbekomme. (Kann mir da evt. jemand helfen?)
Als ehrlicher Programmierer steht man immer schlecht da, wenn ein Virus drin ist.
Gerd
Moderiert von 
Th69: Titel geändert (Großschreibung).
Gausi - Sa 31.12.22 12:43
gerd33 hat folgendes geschrieben  : |
| Beim erzeugen der exe Datei (ich habe wie empfohlen die Optimierung auf false gesetzt) besteht weiterhin der Virus, der bei virustotal von mehreren erkannt wird. |
Was heißt denn "von mehreren"? Bei VirusTotal kommen ja in der Regel 60-70 Virenscanner zum Einsatz. Wenn davon ein paar (sagen wir 5, 6, 7?) Alarm schlagen, kann man noch mit ziemlicher Sicherheit von einem Fehlalarm ausgehen. Die Dinger arbeiten praktisch alle mit irgendwelchen Heuristiken, und einige davon sind bekannt dafür, dass sie massiv False Positives ausgeben. Nur deswegen die Entwicklungsumgebung zu wechseln, wäre Unsinn in meinen Augen.
Wenn es deutlich mehr sind (20 und mehr?), dann hast du ggf. ein Problem auf deinem System und solltest das angehen. Und zwar nicht mit Antiviren-Software (dieses GSA-Dings ist für Berlin ja eh irrelevant, wenn ich das richtig überflogen habe), sondern mit einer kompletten Neuinstallation des Systems.
jaenicke - So 01.01.23 15:09
Du kannst hier auch einfach den Virustotal Link posten. Dann lässt sich das leichter beurteilen.
Welchen Virenscanner setzt du selbst denn ein?
Es besteht die Möglichkeit, False Positives zu melden. Das kannst du beim jeweiligen Hersteller tun, z.B. hier:
https://www.bitdefender.de/consumer/support/answer/53382/
Wenn es ein echter Virus ist, bekommst du dann vom Support eine entsprechende Antwort.
gerd33 - So 01.01.23 17:23
Hallo,
Ich habe erstmal das System bereinigt wie Gausi es vorgeschlagen hat. Dabei START, dann Einstellungen
und Update und Sicherheit. Wiederherstellung und zurücksetzen.
Dann habe ich ein paar Virenscanner die ich temporär auf meiner Festplatte hatte drüber laufen lassen.
Anschliessend erlebte ich eine Überraschung mit dem Delphi 10.1, denn nach einer Neuinstallation erkannte er
das nicht an (abgelaufen). Ok, dann habe ich mir mehr oder weniger durch Zufall Delphi 10.4 geholt. (1 Jahr lang)
Dann habe ich alles noch mal compiliert und die Datei virustotal.com zum Prüfen gegeben. Wieder das gleiche Spiel:
16/71 Virenscanner sagen, dass "Gen:Variant.Zusy.357619" das Problem ist.
Jetzt ist die Frage, warum produziert er in meine exe Datei diesen Virus?
Wie kann ich das beheben?
Gerd
jaenicke - So 01.01.23 18:40
Dein Programm verbindet sich aber nicht zufällig zum Internet, oder? Denn das handelt sich um eine generische Erkennung, die das typische Verhalten eines bestimmten Trojaners erkannt hat.
Wie gesagt: Melde dein Programm einfach als False Positive bei den betroffenen Herstellern.
Wir können hier aus der Ferne kaum etwas konkret dazu sagen, es sei denn du möchtest mir z.B. den Quelltext schicken. Dann kann ich es gerne bei mir kompilieren und bei Virustotal testen, um auszuschließen, dass dein PC infiziert ist.
gerd33 - So 01.01.23 19:08
Hallo Jaenicke,
ich habe Deinen Link benutzt. Das kam raus:
| Zitat: |
Thank you for your file submission.
The file has been automatically sent to our laboratories for specialized analysis. If the file is indeed a False Positive, the detection will be removed in the next 72 hours and the modification will be implemented in the product through a Signature Update. Please keep your Bitdefender up-to-date.
Please be informed that this is an automated process. Reply to this email if you have any other issues regarding your Bitdefender product and one of our engineers will take over.
Have a nice day!
|
Die Datei ist 3.5 MB gross. Ich weiss nicht, wie ich die zuschicken sollte?
Gerd
gerd33 - Mo 02.01.23 20:15
Hallo Jaenicke,
am liebsten waere es mir auch gewesen, ich hätte meine Festplatte komplett gelöscht und Windows 10 drauf gespielt. Das Problem ich hatte mal Win7 (die CD finde ich auch nicht mehr) und danach kam automatisch win 10 (damals kostenlos) drauf.
Aber habe mir aber vorgenommen dieses Jahr wirklich einen neuen Laptop zu kaufen. Mein alter (wo ich gerade schreibe) ist auch schon 10 Jahre alt.
Vielleicht löst das alle Probleme.
Danke für die saubere Datei, die ich gleich an meinen Freund weitergeleitet habe.
Achso, wenn man den virustotal link kopiert ist er noch für andere ersichtlich. Das wusste ich nicht, ich dachte, dass er das löscht.
Ich habe mir alle 3 Dateien angesehen. Mit Berlin 10.1 waren aber auch ein paar Meldungen dabei.
Hoffentlich ist das mit Deiner Hand nicht so schlimm und gute Besserung.
Nochmals besten Dank für Deine Mühe.
Gerd
Sinspin - Mo 09.01.23 09:39
Hallo,
ich frage mich wie Du darauf kommst das dein System daran schuld sein könnte dass die exe von einigen Scannern als Virus erkannt wird. Solange da nicht 3/4 aller Scanner was sagen, würde ich mir da keinen Kopf machen.
Ich hatte schon einige Progamme die direkt beim compilieren von Avira als Virus erkannt wurden. Früher waren es oft die Indy Internet Komponenten. Jetzt sind es oft Komponenten die eingebetteten Binärcode haben.
Verwendest du Fremdkomponenten die nicht bei Delphi dabei sind?
gerd33 - Mo 09.01.23 10:11
Das mit dem System hat Gausi gesagt und vielleicht hat er auch recht ?
| Zitat: |
Wenn es deutlich mehr sind (20 und mehr?), dann hast du ggf. ein Problem auf deinem System und solltest das angehen
|
Nein, ich neheme keine Fremdkomponenten her.
Ich nehme das web und den mediaplayer her.
Delphi-Quelltext
1:
2:
3:
4:
| uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, ExtCtrls, StdCtrls, Menus, MMSystem, buttons, ComCtrls, shellapi, MPlayer, jpeg,
OleCtrls, SHDocVw; |
Gerd
jaenicke - Mo 09.01.23 13:36
| Sinspin hat folgendes geschrieben : |
| ich frage mich wie Du darauf kommst das dein System daran schuld sein könnte dass die exe von einigen Scannern als Virus erkannt wird. Solange da nicht 3/4 aller Scanner was sagen, würde ich mir da keinen Kopf machen. |
Dass (aktuell) 38 von 70 Scannern einen Virus anzeigen (nicht nur Heuristik!!), ist aber nicht normal für False Positives, ebenso wenig dass diverse namhafte Anbieter darunter sind.
| Sinspin hat folgendes geschrieben : |
| Ich hatte schon einige Progamme die direkt beim compilieren von Avira als Virus erkannt wurden. |
Avira bzw. Antivir war früher ein zuverlässiger False Positive Generator. Ich habe da früher ständig False Positives gemeldet. Heute ist es deutlich besser geworden, taucht aber trotzdem häufig in dem Zusammenhang auf.
Ralf Jansen - Mo 09.01.23 13:51
| jaenicke hat folgendes geschrieben : |
| Avira bzw. Antivir war früher ein zuverlässiger False Positive Generator. Ich habe da früher ständig False Positives gemeldet. Heute ist es deutlich besser geworden, taucht aber trotzdem häufig in dem Zusammenhang auf. |
Das betraff vor ~ einer Dekade fast alle AVs. Da wurde jede bisher unbekannte Signatur als ein potentielles Problem gemeldet. Wenn man ein neues Kompilat hatte mußte man warten bis eine gewisse Verbreitung erreicht war(oder allen AVs Bescheid sagen was eher aufwendig war) und das beim AV Hersteller dann unter "bekannt" läuft und nicht nur aus diesem Grund als potentielles Problem gemeldet wurde. Das konnte man eine zeitlang durch Code Signing umgehen aber irgendwann ist denen wohl aufgefallen das bezüglich dieser Probleme Code Signing auch nur Schlangenöl ist und kein guter Indikator und haben dieses Verhalten dann weitestgehend gestrichen.
Gausi - Mo 09.01.23 14:09
Da schlagen mittlerweile auch 32 Scanner Alarm. Von daher wird das eine Kombination der verwendeten (ggf. veralteten?) Komponenten sein, die die Probleme verursachen. Ein Problem auf Gerd's System würde ich damit trotz der sehr vielen Meldungen für eher unwahrscheinlich halten, wenn das auch bei deinem Kompilat auftritt.
Oder ist der Quellcode vielleicht wirklich bösartig? :suspect: :lol:
Sinspin - Mo 09.01.23 18:15
| jaenicke hat folgendes geschrieben : |
| Sinspin hat folgendes geschrieben : | | ich frage mich wie Du darauf kommst das dein System daran schuld sein könnte dass die exe von einigen Scannern als Virus erkannt wird. Solange da nicht 3/4 aller Scanner was sagen, würde ich mir da keinen Kopf machen. |
Dass (aktuell) 38 von 70 Scannern einen Virus anzeigen (nicht nur Heuristik!!), ist aber nicht normal für False Positives, ebenso wenig dass diverse namhafte Anbieter darunter sind. |
Du hast recht, das ist beachtlich. Auch die von dir erzeugte Version haut ordentlich rein. Was dann aber bedeutet das es nicht sein Rechner sein kann.
Ich denke
Gausi liegt da schon näher dran.
Was mich ein bisschen wundert, Virustotal zeigt da unter Details was an was nicht kommen sollte wenn Du das erzeugt hast. Du hast sicher keinen Packer verwendet?
| Zitat: |
| PEiD packer BobSoft Mini Delphi -> BoB / BobSoft |
Oder kommt das durch dich? Ist ja nur bei den beiden Uploads von dir.
jaenicke - Mo 09.01.23 23:22
Traurig daran:
Neu kompiliert erkennen es nur noch 10 Scanner, obwohl kaum Unterschiede existieren...
Da bleibt wirklich nur, die Exe überall als False Positive zu melden.
gerd33 - Di 10.01.23 14:55
Warum das bei mir so viele Fehler auslöst würde ich auch gerne wissen.
Bei jaenicke hat es mit Berlin 4.1 fehlerfrei funktioniert.
Ich kaufe mir bald einen neuen Laptop dann probiere ich es nochmal aus.
Erschreckend gross finde ich auch die exe Datei. Aber mir hat mal jemand gesagt, dass es dafür keine dll Dateien wie bei C gibt.
Einmal ist die exe Datei etwas groesser beim compilieren (nicht nur ein paar bytes sondern schon ordentlich) manchmal bisschen weniger.
Bei 2 Unterschiedlichen Delphi Versionen.
Gerd
Sinspin - Di 10.01.23 18:24
| gerd33 hat folgendes geschrieben : |
Warum das bei mir so viele Fehler auslöst würde ich auch gerne wissen.
Bei jaenicke hat es mit Berlin 4.1 fehlerfrei funktioniert. |
Sach mal, bist du blind oder schwer von begriff???
Es ist ganz klar und deutlich in den Links zu sehen dass auch die Version die
jaenicke erzeugt hat eine große Anzahl von Virus Erkennungen bekommen hat. Es liegt also NICHT AN DEINEM RECHNER.
Es ist nunmal so dass unterschiedliche Versionen von Delphi unterschiedlich große exe'en erzeugen.
Da du aber offensichtlich Informationsresistent bist, bringt es nichts da jetzt näher drauf einzugehen.
gerd33 - Di 10.01.23 18:43
Hallo Sinspin,
da war ich wohl blind. :)
Ich sehe gerade, dass die mit 10.4 kompilierten source Dateien von jaenicke auch Fehler haben. Dachte wirklich, die sei i. O.
Puh, das ist ja wirklich ärgerlich. Besonders für die Delphi-Fans.
Aber trotzdem kaufe ich mir einen neuen Laptop, der alte ist schon 10 Jahre alt.
Vielleicht mal den embacadero Firma auf das Problem aufmerksam machen, statt die ganzen Virencanner das Problem melden.
Schönen Abend
Gerd
Sinspin - Di 10.01.23 22:41
Das ist ja kein neues Problem. Delphi scheint bei Vierenschreibern schon lange sehr beliebt zu sein.
Somit landen Programme die die gleichen Biblioteken benutzen halt auch unter Viren, auch wenn es keine sind.
Unit MPlayer scheint in vielen Viren verwendet zu werden. Haste die drinne gibt es überdurchschnittlich oft Probleme.
jaenicke - Di 10.01.23 22:43
| gerd33 hat folgendes geschrieben : |
| Vielleicht mal den embacadero Firma auf das Problem aufmerksam machen, statt die ganzen Virencanner das Problem melden. |
Die können da gar nichts machen. False Positives in eigenen Exen melden sie ja, aber das können sie für deine nicht übernehmen.
kurt59 - Di 23.04.24 07:34
Ich habe die Community Edition 11.3, da geht bei virustotal nichts ohne Fehlermeldung.
Zum Testen habe ich neues Projekt mit nur einem Button angelegt und der macht dann nur application.terminate.
Was mich wundert: Exe ist 11798381 Bytes groß
und virustotal meldet:
Antiy-AVL - Trojan/Win32.PossibleThreat
MaxSecure - Trojan.Malware.300983.susgen
Bkav Pro - W32.AIDetectMalware
Rising -
Trojan.Generic@AI.95 (RDML:P9kLQzpbvCH..
Mein letztes Projekt zur Simulation einer Energiegemenschaft wollte ein Bekannter von mir nicht
ausführen. Windows 10 hat beim Download schon einen Virus erkannt.
Ich hab dann den Quellcode auf meinen alte XP-Rechner mit Delphi 5 compiliert.
Virustotal meldet dann überhaupt keinen Fehler.
Sinspin - Di 23.04.24 12:22
Es kann dir mit jedem Programm passieren das es mal als Virus erkannt wird. Je nachdem wie blöd der Virenscanner ist.
Was Melden die anderen 50 oder 200 oder 1000 Scanner bei Virustotal? Ich habe den Überblick verloren ...
Das was da erkannt wird ist die Vermutung das da ein Virus sein könnte. Steht ja schon da "Generic".
| kurt59 hat folgendes geschrieben : |
Zum Testen habe ich neues Projekt mit nur einem Button angelegt und der macht dann nur application.terminate.
Was mich wundert: Exe ist 11798381 Bytes groß |
Und? Das ist nunmal so. Sicher auch noch Debug übersetzt.
Die Exe bekommt auch massen von Resourcen die eigentlich erstmal keiner braucht. Ist halt so wenn man Programme mit wenigen Clicks erstellen will.
jaenicke - Mi 24.04.24 08:05
Ich habe das mal an die betreffenden Hersteller gemeldet, das ist ja eine Sache von 2 Minuten.
Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2024 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!