Trojaner im PB420Beta-UpdateTool?

Fragen und Bugreports zur PureBasic 4.0-Beta.
Benutzeravatar
AND51
Beiträge: 5220
Registriert: 01.10.2005 13:15

Beitrag von AND51 »

ts-soft hat geschrieben:Das nutzen der DownloadURL API löst sowas schon aus
Das stimmt, das Nutzen des Befehls URLDownloadToFile_() ergibt selbst bei AntiVir einen heuristischen Treffer ("HEUR/Downloader").

Fazit: AntiVir ist kein deut besser als Kaspersky und umgekehrt; außerdem gibt's diesen FUnd nur bei eingestelleter Heuristik auf "hoch".
PB 4.30

Code: Alles auswählen

Macro Happy
 ;-)
EndMacro

Happy End
Benutzeravatar
marco2007
Beiträge: 895
Registriert: 26.10.2006 13:19
Kontaktdaten:

Beitrag von marco2007 »

Hi,

ein gutes Beispiel aus dem Codearchiv:

Code: Alles auswählen

; German forum: http://www.purebasic.fr/german/viewtopic.php?t=2680&highlight=
; Author: MVXA (updated for PB 4.00 by Andre)
; Date: 28. March 2005
; OS: Windows
; Demo: No

Procedure.s ConnectToIPServer(strURL.s) 
    Define.l hINet, hData, Byte 
    Define.s Agent, NetBuffer 
    
    Agent     = "Mozilla/4.0 (compatible; ST)" 
    hINet     = InternetOpen_   (@Agent.s, 0, 0, 0, 0) 
    hData     = InternetOpenUrl_( hINet, @strURL, "", 0, $8000000, 0 ) 
    NetBuffer = Space(256) 
    
    If hData > 0: InternetReadFile_(hData, @NetBuffer, 255, @Byte ): EndIf 
    NetBuffer = Trim(NetBuffer) 
    
    InternetCloseHandle_ (hINet) 
    InternetCloseHandle_ (hFile) 
    InternetCloseHandle_ (hData)        
    
    ProcedureReturn Trim(NetBuffer) 
EndProcedure

Procedure.s GetNetworkIP() 
    Define.s strIP 
    
    strIP = ConnectToIPServer("http://easteregg.dyndns.biz:4664/littlefurz/IP.php") 
    If Len(strIP) = 0: strIP = ConnectToIPServer("http://www.panten.org/ip.php3"): EndIf 
    
    If Len(strIP) = 0 Or Len(strIP) > 15 
        ExamineIPAddresses() 
        strIP = IPString(NextIPAddress()) 
    EndIf 
    
    ProcedureReturn Trim(strIP) 
EndProcedure 

InitNetwork()
Debug GetNetworkIP()


Antivir meldet:

Trojanisches Pferd: TR/Crypt.XPACK.Gen - Trojan

lg
Marco
Windows 7 - PB 4.51 RC2
4.30, 4.20, 4.10, 4.02, 4.01, 4.00, 3.94, 3.93, 3.92, 3.91, 3.90, 3.81, 3.72, 3.62, 3.51, 3.50, 3.30, 2.90, 2.60, 2.50, 2.40, 2.30, 2.20, 2.10, 2.00
_________________________________
Benutzeravatar
ts-soft
Beiträge: 22292
Registriert: 08.09.2004 00:57
Computerausstattung: Mainboard: MSI 970A-G43
CPU: AMD FX-6300 Six-Core Processor
GraKa: GeForce GTX 750 Ti, 2 GB
Memory: 16 GB DDR3-1600 - Dual Channel
Wohnort: Berlin

Beitrag von ts-soft »

Antiviren Programme sind doch nur Helferlein. Perfekt ist keines dieser
Helferlein. Sobald ein Alarm kommt, einfach Brain.exe starten und die
wahrscheinlichkeiten abwägen. Sollten Zweifel bleiben, dann Quarantäne, ist
es sicher, das ein Virus vorliegt, dann löschen und in den allermeisten Fällen
feststellen, das die Wahrscheinlichkeit eines Virusfunds unwahrscheinlich ist
und diesen Fund ignorieren.
PureBasic 5.73 LTS | SpiderBasic 2.30 | Windows 10 Pro (x64) | Linux Mint 20.1 (x64)
Nutella hat nur sehr wenig Vitamine. Deswegen muss man davon relativ viel essen.
Bild
Little John

Beitrag von Little John »

Ich kann dem, was Thomas schreibt, nur zustimmen.
Und vielleicht an dieser Stelle wieder einmal der Hinweis auf Virus Total, wo man eine verdächtige Datei kostenlos von mehreren Engines auf Viren, Würmer, Trojaner und andere Malware prüfen lassen kann. Das sollte ein realistischeres Bild ergeben als das Ergebnis von nur einem Test-Programm.

Gruß, Little John
pebo
Beiträge: 66
Registriert: 01.12.2006 21:08
Wohnort: 66450 Bexbach

Beitrag von pebo »

ts-soft hat geschrieben:>> Grund genug für mich das UpdateTool vorerst nicht zu benutzen
Blödsinn, von einer glaubwürdigen Seite wie PureBasic.com kann man IMHO
solche Falschalarme ignorieren.:
Meinen Entschluss das UpdateTool vorerst nicht zu benutzen als "Blödsinn" zu bezeichnen, finde ich doch etwas, sagen wir mal "übertrieben". Viel eher finde ich deine Aussage " .... kann man solche Meldungen ignorieren" für "Bl......" ähm, ich meine natürlich "leichtsinnig" :wink: Ich habe schon Anwendungssoftware gekauft, da war auf der Diskette ein Virus drauf und das war damals auch keine 0815 Soft und von einem "seriösen" Hersteller. Also ich traue niemandem, noch nicht mal mir selbst :mrgreen:
AND51 hat geschrieben:Du weißt schon, dass das Ding im Grund eine selbstextrahierende EXE ist?
Entpacke es mit WinRAR, WinZIP oder wie ich mit 7z und sortier die Dateien manuell in denen PB-Ordner und gut ist.
Das Programm "UpdateTool.exe" ist ein Archiv? Ich wollte es mit IZArc öffnen, bekam aber keine Dateien angezeigt :|
Little John hat geschrieben:Und vielleicht an dieser Stelle wieder einmal der Hinweis auf Virus Total, wo man eine verdächtige Datei kostenlos von mehreren Engines auf Viren, Würmer, Trojaner und andere Malware prüfen lassen kann. Das sollte ein realistischeres Bild ergeben als das Ergebnis von nur einem Test-Programm.
Danke für den Link zu dieser Website, kannte ich noch nicht :allright: Ich habe das File dort mal überprüfen lassen, hier das Ergebnis:

Bild

Also ist es nicht nur 1 "Helferlein" der an dieser Datei etwas auszusetzen hat.

Gruss
Peter
Alle sagten "das geht nicht!" .... und dann kam einer der nichts davon wusste und machte es einfach.
Benutzeravatar
hardfalcon
Beiträge: 3447
Registriert: 29.08.2004 20:46
Wohnort: Luxemburg
Kontaktdaten:

Beitrag von hardfalcon »

Wie du siehst, bemängeln sämtliche AV-Scanner da einen heuristischen Fund (zu erkennen am Kürzel "gen" für "generic" im "Virus"-Namen). Bei Ikarus hat man sich das "gen" zwar gespart, allerdings lässt sich aus dem Namen des angeblich gefundenen "Virus" trotzdem ableiten, dass es sich wieder nur um einen heuristischen Treffer handelt.

Die Benutzung eines bestimmten API-Befehls macht noch lange kein Virus aus, dazu braucht es etwas mehr. Schick doch mal den Updater ans Kaspersky-Lab, und frag sie, ob das Ding gefährlich ist oder nicht.

Mich würde allerdings mal interessieren, welcher API-Befehl genau dafür sorgt, dass die Kaspersky-Heuristik das Programm als "monder" (was auch immer das sein soll) einstuft.
„Warum siehst du den Splitter im Auge deines Bruders, aber den dicken fetten schwarzen Zensurbalken vor deinem Auge bemerkst du nicht?“
Benutzeravatar
AND51
Beiträge: 5220
Registriert: 01.10.2005 13:15

Beitrag von AND51 »

pebo hat geschrieben:
AND51 hat geschrieben:Du weißt schon, dass das Ding im Grund eine selbstextrahierende EXE ist?
Entpacke es mit WinRAR, WinZIP oder wie ich mit 7z und sortier die Dateien manuell in denen PB-Ordner und gut ist.
Das Programm "UpdateTool.exe" ist ein Archiv? Ich wollte es mit IZArc öffnen, bekam aber keine Dateien angezeigt :|
Sorry, mein Fehler. Ich meinte, entpacke das ganze ZIP File, indem auch die EXE liegt. Du kannst (wie gesagt) die Dateien ja auch manuell kopiere, und so das UpdateTool umgehen.
PB 4.30

Code: Alles auswählen

Macro Happy
 ;-)
EndMacro

Happy End
Benutzeravatar
ts-soft
Beiträge: 22292
Registriert: 08.09.2004 00:57
Computerausstattung: Mainboard: MSI 970A-G43
CPU: AMD FX-6300 Six-Core Processor
GraKa: GeForce GTX 750 Ti, 2 GB
Memory: 16 GB DDR3-1600 - Dual Channel
Wohnort: Berlin

Beitrag von ts-soft »

Das Update-Tool benennt aber auch Files um und löscht evtl. welche!
Ist also nur den "Bastlern" zu empfehlen.
PureBasic 5.73 LTS | SpiderBasic 2.30 | Windows 10 Pro (x64) | Linux Mint 20.1 (x64)
Nutella hat nur sehr wenig Vitamine. Deswegen muss man davon relativ viel essen.
Bild
Benutzeravatar
Falko
Admin
Beiträge: 3526
Registriert: 29.08.2004 11:27
Computerausstattung: PC: Asrock-Mainborad Z77 Pro4; Intel HD-Grafic Onboard
16GB-DDR3, ICore5; 3TB-SATA2; Intel ICore5 @ 3.4GHz (Win10 Pro. 64-Bit), MacBook(Retina-12", early 2016) macOS Sierra, Version 10.12.5
Acer Aspire E15 (Win10 Home X64). Purebasic 5.60, GFA-Basic, Emergence Basic und Powerbasic9.05-Windows, NS-Basic all Versions
Kontaktdaten:

Beitrag von Falko »

>>> Das Programm "UpdateTool.exe" ist ein Archiv? Ich wollte es mit IZArc öffnen, bekam aber keine Dateien angezeigt Neutral

Nein, ist kein Archiv. Du kannst auch die Dateien manuell in dein frisch
installiertes PB-Original aus den Update-Ordner kopieren.

Oder du kopierst dein Update-Ordner in einen anderen Pfad, machst
daraus PureBasic_4 und kopierst dort aus deinen Original
PB-Compiler-Verzeichnis Deinen DataKey hinein. Evtl. musst du noch den
Schreibschutz vorher vom Ordner Update entfernen.


Kaspersky macht viel Wind um nichts. Irgendwo hatte ich mal einen Source (ts-soft pbosl) übernommen und nach dem Compilieren bekam ich von Kaspersky einen Trojaner gemeldet.

Gruß Falko
Bild
Win10 Pro 64-Bit, PB_5.4,GFA-WinDOS, Powerbasic9.05-Windows, NSBasic/CE, NSBasic/Desktop, NSBasic4APP, EmergenceBasic
Little John

Beitrag von Little John »

Ich habe 'mal den von Marco geposteten Beispielcode mit PB 4.10 compiliert. Die Überprüfung von Virus-Total ergab:

Ergebnis: 3/32 (9.38%)

Code: Alles auswählen

Antivirus          Ergebnis
---------------------------------------------------------------
AhnLab-V3          -
AntiVir	         -
Authentium         Possibly a new variant of W32/Threat-HLLSI-based!Maximus
Avast              -
AVG                -
BitDefender        -
CAT-QuickHeal      -
ClamAV             -
DrWeb              -
eSafe              -
eTrust-Vet         -
Ewido              -
F-Prot             W32/Threat-HLLSI-based!Maximus
F-Secure           -
FileAdvisor        -
Fortinet	        -
Ikarus             -
Kaspersky          -
McAfee             -
Microsoft          -
NOD32v2            -
Norman             -
Panda              -
Prevx1             -
Rising             -
Sophos             -
Sunbelt            -
Symantec           -
TheHacker          -
VBA32              -
VirusBuster	     -
Webwasher-Gateway  Virus.Win32.FileInfector.gen!80 (suspicious)
Manche Anti-Malware-Programme sind anscheinend wie die Affen im Urwald: Sie kreischen sobald sich etwas bewegt, egal ob das ein Tiger oder ein Kaninchen ist. :D

2pebo:
Wurde die Datei bei Dir nur von 19 Engines geprüft, oder hast Du die anderen Ergebnisse nur nicht hier gepostet?

Gruß, Little John
Gesperrt