Aktuelle Zeit: 24.08.2019 13:00

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]




Forum gesperrt Dieses Thema ist gesperrt. Sie können keine Beiträge editieren oder weitere Antworten erstellen.  [ 43 Beiträge ]  Gehe zu Seite Vorherige  1, 2, 3, 4, 5  Nächste
Autor Nachricht
 Betreff des Beitrags:
BeitragVerfasst: 04.05.2008 14:55 
Offline
Benutzeravatar

Registriert: 01.10.2005 13:15
ts-soft hat geschrieben:
Das nutzen der DownloadURL API löst sowas schon aus
Das stimmt, das Nutzen des Befehls URLDownloadToFile_() ergibt selbst bei AntiVir einen heuristischen Treffer ("HEUR/Downloader").

Fazit: AntiVir ist kein deut besser als Kaspersky und umgekehrt; außerdem gibt's diesen FUnd nur bei eingestelleter Heuristik auf "hoch".

_________________
PB 4.30
Code:
Macro Happy
 ;-)
EndMacro

Happy End


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 04.05.2008 16:42 
Offline
Benutzeravatar

Registriert: 26.10.2006 13:19
Hi,

ein gutes Beispiel aus dem Codearchiv:

Code:
; German forum: http://www.purebasic.fr/german/viewtopic.php?t=2680&highlight=
; Author: MVXA (updated for PB 4.00 by Andre)
; Date: 28. March 2005
; OS: Windows
; Demo: No

Procedure.s ConnectToIPServer(strURL.s)
    Define.l hINet, hData, Byte
    Define.s Agent, NetBuffer
   
    Agent     = "Mozilla/4.0 (compatible; ST)"
    hINet     = InternetOpen_   (@Agent.s, 0, 0, 0, 0)
    hData     = InternetOpenUrl_( hINet, @strURL, "", 0, $8000000, 0 )
    NetBuffer = Space(256)
   
    If hData > 0: InternetReadFile_(hData, @NetBuffer, 255, @Byte ): EndIf
    NetBuffer = Trim(NetBuffer)
   
    InternetCloseHandle_ (hINet)
    InternetCloseHandle_ (hFile)
    InternetCloseHandle_ (hData)       
   
    ProcedureReturn Trim(NetBuffer)
EndProcedure

Procedure.s GetNetworkIP()
    Define.s strIP
   
    strIP = ConnectToIPServer("http://easteregg.dyndns.biz:4664/littlefurz/IP.php")
    If Len(strIP) = 0: strIP = ConnectToIPServer("http://www.panten.org/ip.php3"): EndIf
   
    If Len(strIP) = 0 Or Len(strIP) > 15
        ExamineIPAddresses()
        strIP = IPString(NextIPAddress())
    EndIf
   
    ProcedureReturn Trim(strIP)
EndProcedure

InitNetwork()
Debug GetNetworkIP()


Antivir meldet:

Trojanisches Pferd: TR/Crypt.XPACK.Gen - Trojan

lg
Marco

_________________
Windows 7 - PB 4.51 RC2
4.30, 4.20, 4.10, 4.02, 4.01, 4.00, 3.94, 3.93, 3.92, 3.91, 3.90, 3.81, 3.72, 3.62, 3.51, 3.50, 3.30, 2.90, 2.60, 2.50, 2.40, 2.30, 2.20, 2.10, 2.00
_________________________________


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 04.05.2008 17:12 
Offline
Benutzeravatar

Registriert: 08.09.2004 00:57
Wohnort: Berlin
Antiviren Programme sind doch nur Helferlein. Perfekt ist keines dieser
Helferlein. Sobald ein Alarm kommt, einfach Brain.exe starten und die
wahrscheinlichkeiten abwägen. Sollten Zweifel bleiben, dann Quarantäne, ist
es sicher, das ein Virus vorliegt, dann löschen und in den allermeisten Fällen
feststellen, das die Wahrscheinlichkeit eines Virusfunds unwahrscheinlich ist
und diesen Fund ignorieren.

_________________
PureBasic 5.70 | SpiderBasic 2.21 | Windows 10 Pro (x64) | Linux Mint 19.2 (x64)
"Die Jugend von heute mit ihren Ballerspielen, hocken nur in der Bude - wir haben früher die Leute noch draußen erschossen!"
Bild


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 04.05.2008 18:44 
Ich kann dem, was Thomas schreibt, nur zustimmen.
Und vielleicht an dieser Stelle wieder einmal der Hinweis auf Virus Total, wo man eine verdächtige Datei kostenlos von mehreren Engines auf Viren, Würmer, Trojaner und andere Malware prüfen lassen kann. Das sollte ein realistischeres Bild ergeben als das Ergebnis von nur einem Test-Programm.

Gruß, Little John


Nach oben
  
 
 Betreff des Beitrags:
BeitragVerfasst: 04.05.2008 20:34 
Offline

Registriert: 01.12.2006 21:08
Wohnort: 66450 Bexbach
ts-soft hat geschrieben:
>> Grund genug für mich das UpdateTool vorerst nicht zu benutzen
Blödsinn, von einer glaubwürdigen Seite wie PureBasic.com kann man IMHO
solche Falschalarme ignorieren.:

Meinen Entschluss das UpdateTool vorerst nicht zu benutzen als "Blödsinn" zu bezeichnen, finde ich doch etwas, sagen wir mal "übertrieben". Viel eher finde ich deine Aussage " .... kann man solche Meldungen ignorieren" für "Bl......" ähm, ich meine natürlich "leichtsinnig" :wink: Ich habe schon Anwendungssoftware gekauft, da war auf der Diskette ein Virus drauf und das war damals auch keine 0815 Soft und von einem "seriösen" Hersteller. Also ich traue niemandem, noch nicht mal mir selbst :mrgreen:

AND51 hat geschrieben:
Du weißt schon, dass das Ding im Grund eine selbstextrahierende EXE ist?
Entpacke es mit WinRAR, WinZIP oder wie ich mit 7z und sortier die Dateien manuell in denen PB-Ordner und gut ist.

Das Programm "UpdateTool.exe" ist ein Archiv? Ich wollte es mit IZArc öffnen, bekam aber keine Dateien angezeigt :|

Little John hat geschrieben:
Und vielleicht an dieser Stelle wieder einmal der Hinweis auf Virus Total, wo man eine verdächtige Datei kostenlos von mehreren Engines auf Viren, Würmer, Trojaner und andere Malware prüfen lassen kann. Das sollte ein realistischeres Bild ergeben als das Ergebnis von nur einem Test-Programm.

Danke für den Link zu dieser Website, kannte ich noch nicht :allright: Ich habe das File dort mal überprüfen lassen, hier das Ergebnis:

Bild

Also ist es nicht nur 1 "Helferlein" der an dieser Datei etwas auszusetzen hat.

Gruss
Peter

_________________
Alle sagten "das geht nicht!" .... und dann kam einer der nichts davon wusste und machte es einfach.


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 04.05.2008 21:07 
Offline
Benutzeravatar

Registriert: 29.08.2004 20:46
Wohnort: Luxemburg
Wie du siehst, bemängeln sämtliche AV-Scanner da einen heuristischen Fund (zu erkennen am Kürzel "gen" für "generic" im "Virus"-Namen). Bei Ikarus hat man sich das "gen" zwar gespart, allerdings lässt sich aus dem Namen des angeblich gefundenen "Virus" trotzdem ableiten, dass es sich wieder nur um einen heuristischen Treffer handelt.

Die Benutzung eines bestimmten API-Befehls macht noch lange kein Virus aus, dazu braucht es etwas mehr. Schick doch mal den Updater ans Kaspersky-Lab, und frag sie, ob das Ding gefährlich ist oder nicht.

Mich würde allerdings mal interessieren, welcher API-Befehl genau dafür sorgt, dass die Kaspersky-Heuristik das Programm als "monder" (was auch immer das sein soll) einstuft.

_________________
„Warum siehst du den Splitter im Auge deines Bruders, aber den dicken fetten schwarzen Zensurbalken vor deinem Auge bemerkst du nicht?“


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 04.05.2008 21:44 
Offline
Benutzeravatar

Registriert: 01.10.2005 13:15
pebo hat geschrieben:
AND51 hat geschrieben:
Du weißt schon, dass das Ding im Grund eine selbstextrahierende EXE ist?
Entpacke es mit WinRAR, WinZIP oder wie ich mit 7z und sortier die Dateien manuell in denen PB-Ordner und gut ist.

Das Programm "UpdateTool.exe" ist ein Archiv? Ich wollte es mit IZArc öffnen, bekam aber keine Dateien angezeigt :|
Sorry, mein Fehler. Ich meinte, entpacke das ganze ZIP File, indem auch die EXE liegt. Du kannst (wie gesagt) die Dateien ja auch manuell kopiere, und so das UpdateTool umgehen.

_________________
PB 4.30
Code:
Macro Happy
 ;-)
EndMacro

Happy End


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 04.05.2008 21:50 
Offline
Benutzeravatar

Registriert: 08.09.2004 00:57
Wohnort: Berlin
Das Update-Tool benennt aber auch Files um und löscht evtl. welche!
Ist also nur den "Bastlern" zu empfehlen.

_________________
PureBasic 5.70 | SpiderBasic 2.21 | Windows 10 Pro (x64) | Linux Mint 19.2 (x64)
"Die Jugend von heute mit ihren Ballerspielen, hocken nur in der Bude - wir haben früher die Leute noch draußen erschossen!"
Bild


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 04.05.2008 21:54 
Offline
Admin
Benutzeravatar

Registriert: 29.08.2004 11:27
>>> Das Programm "UpdateTool.exe" ist ein Archiv? Ich wollte es mit IZArc öffnen, bekam aber keine Dateien angezeigt Neutral

Nein, ist kein Archiv. Du kannst auch die Dateien manuell in dein frisch
installiertes PB-Original aus den Update-Ordner kopieren.

Oder du kopierst dein Update-Ordner in einen anderen Pfad, machst
daraus PureBasic_4 und kopierst dort aus deinen Original
PB-Compiler-Verzeichnis Deinen DataKey hinein. Evtl. musst du noch den
Schreibschutz vorher vom Ordner Update entfernen.


Kaspersky macht viel Wind um nichts. Irgendwo hatte ich mal einen Source (ts-soft pbosl) übernommen und nach dem Compilieren bekam ich von Kaspersky einen Trojaner gemeldet.

Gruß Falko

_________________
Bild
Win10 Pro 64-Bit, PB_5.4,GFA-WinDOS, Powerbasic9.05-Windows, NSBasic/CE, NSBasic/Desktop, NSBasic4APP, EmergenceBasic


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 04.05.2008 21:57 
Ich habe 'mal den von Marco geposteten Beispielcode mit PB 4.10 compiliert. Die Überprüfung von Virus-Total ergab:

Ergebnis: 3/32 (9.38%)
Code:
Antivirus          Ergebnis
---------------------------------------------------------------
AhnLab-V3          -
AntiVir            -
Authentium         Possibly a new variant of W32/Threat-HLLSI-based!Maximus
Avast              -
AVG                -
BitDefender        -
CAT-QuickHeal      -
ClamAV             -
DrWeb              -
eSafe              -
eTrust-Vet         -
Ewido              -
F-Prot             W32/Threat-HLLSI-based!Maximus
F-Secure           -
FileAdvisor        -
Fortinet           -
Ikarus             -
Kaspersky          -
McAfee             -
Microsoft          -
NOD32v2            -
Norman             -
Panda              -
Prevx1             -
Rising             -
Sophos             -
Sunbelt            -
Symantec           -
TheHacker          -
VBA32              -
VirusBuster        -
Webwasher-Gateway  Virus.Win32.FileInfector.gen!80 (suspicious)

Manche Anti-Malware-Programme sind anscheinend wie die Affen im Urwald: Sie kreischen sobald sich etwas bewegt, egal ob das ein Tiger oder ein Kaninchen ist. :D

2pebo:
Wurde die Datei bei Dir nur von 19 Engines geprüft, oder hast Du die anderen Ergebnisse nur nicht hier gepostet?

Gruß, Little John


Nach oben
  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Forum gesperrt Dieses Thema ist gesperrt. Sie können keine Beiträge editieren oder weitere Antworten erstellen.  [ 43 Beiträge ]  Gehe zu Seite Vorherige  1, 2, 3, 4, 5  Nächste

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu:  

 


Powered by phpBB © 2008 phpBB Group | Deutsche Übersetzung durch phpBB.de
subSilver+ theme by Canver Software, sponsor Sanal Modifiye