Seite 2 von 5

Verfasst: 04.05.2008 14:55
von AND51
ts-soft hat geschrieben:Das nutzen der DownloadURL API löst sowas schon aus
Das stimmt, das Nutzen des Befehls URLDownloadToFile_() ergibt selbst bei AntiVir einen heuristischen Treffer ("HEUR/Downloader").

Fazit: AntiVir ist kein deut besser als Kaspersky und umgekehrt; außerdem gibt's diesen FUnd nur bei eingestelleter Heuristik auf "hoch".

Verfasst: 04.05.2008 16:42
von marco2007
Hi,

ein gutes Beispiel aus dem Codearchiv:

Code: Alles auswählen

; German forum: http://www.purebasic.fr/german/viewtopic.php?t=2680&highlight=
; Author: MVXA (updated for PB 4.00 by Andre)
; Date: 28. March 2005
; OS: Windows
; Demo: No

Procedure.s ConnectToIPServer(strURL.s) 
    Define.l hINet, hData, Byte 
    Define.s Agent, NetBuffer 
    
    Agent     = "Mozilla/4.0 (compatible; ST)" 
    hINet     = InternetOpen_   (@Agent.s, 0, 0, 0, 0) 
    hData     = InternetOpenUrl_( hINet, @strURL, "", 0, $8000000, 0 ) 
    NetBuffer = Space(256) 
    
    If hData > 0: InternetReadFile_(hData, @NetBuffer, 255, @Byte ): EndIf 
    NetBuffer = Trim(NetBuffer) 
    
    InternetCloseHandle_ (hINet) 
    InternetCloseHandle_ (hFile) 
    InternetCloseHandle_ (hData)        
    
    ProcedureReturn Trim(NetBuffer) 
EndProcedure

Procedure.s GetNetworkIP() 
    Define.s strIP 
    
    strIP = ConnectToIPServer("http://easteregg.dyndns.biz:4664/littlefurz/IP.php") 
    If Len(strIP) = 0: strIP = ConnectToIPServer("http://www.panten.org/ip.php3"): EndIf 
    
    If Len(strIP) = 0 Or Len(strIP) > 15 
        ExamineIPAddresses() 
        strIP = IPString(NextIPAddress()) 
    EndIf 
    
    ProcedureReturn Trim(strIP) 
EndProcedure 

InitNetwork()
Debug GetNetworkIP()


Antivir meldet:

Trojanisches Pferd: TR/Crypt.XPACK.Gen - Trojan

lg
Marco

Verfasst: 04.05.2008 17:12
von ts-soft
Antiviren Programme sind doch nur Helferlein. Perfekt ist keines dieser
Helferlein. Sobald ein Alarm kommt, einfach Brain.exe starten und die
wahrscheinlichkeiten abwägen. Sollten Zweifel bleiben, dann Quarantäne, ist
es sicher, das ein Virus vorliegt, dann löschen und in den allermeisten Fällen
feststellen, das die Wahrscheinlichkeit eines Virusfunds unwahrscheinlich ist
und diesen Fund ignorieren.

Verfasst: 04.05.2008 18:44
von Little John
Ich kann dem, was Thomas schreibt, nur zustimmen.
Und vielleicht an dieser Stelle wieder einmal der Hinweis auf Virus Total, wo man eine verdächtige Datei kostenlos von mehreren Engines auf Viren, Würmer, Trojaner und andere Malware prüfen lassen kann. Das sollte ein realistischeres Bild ergeben als das Ergebnis von nur einem Test-Programm.

Gruß, Little John

Verfasst: 04.05.2008 20:34
von pebo
ts-soft hat geschrieben:>> Grund genug für mich das UpdateTool vorerst nicht zu benutzen
Blödsinn, von einer glaubwürdigen Seite wie PureBasic.com kann man IMHO
solche Falschalarme ignorieren.:
Meinen Entschluss das UpdateTool vorerst nicht zu benutzen als "Blödsinn" zu bezeichnen, finde ich doch etwas, sagen wir mal "übertrieben". Viel eher finde ich deine Aussage " .... kann man solche Meldungen ignorieren" für "Bl......" ähm, ich meine natürlich "leichtsinnig" :wink: Ich habe schon Anwendungssoftware gekauft, da war auf der Diskette ein Virus drauf und das war damals auch keine 0815 Soft und von einem "seriösen" Hersteller. Also ich traue niemandem, noch nicht mal mir selbst :mrgreen:
AND51 hat geschrieben:Du weißt schon, dass das Ding im Grund eine selbstextrahierende EXE ist?
Entpacke es mit WinRAR, WinZIP oder wie ich mit 7z und sortier die Dateien manuell in denen PB-Ordner und gut ist.
Das Programm "UpdateTool.exe" ist ein Archiv? Ich wollte es mit IZArc öffnen, bekam aber keine Dateien angezeigt :|
Little John hat geschrieben:Und vielleicht an dieser Stelle wieder einmal der Hinweis auf Virus Total, wo man eine verdächtige Datei kostenlos von mehreren Engines auf Viren, Würmer, Trojaner und andere Malware prüfen lassen kann. Das sollte ein realistischeres Bild ergeben als das Ergebnis von nur einem Test-Programm.
Danke für den Link zu dieser Website, kannte ich noch nicht :allright: Ich habe das File dort mal überprüfen lassen, hier das Ergebnis:

Bild

Also ist es nicht nur 1 "Helferlein" der an dieser Datei etwas auszusetzen hat.

Gruss
Peter

Verfasst: 04.05.2008 21:07
von hardfalcon
Wie du siehst, bemängeln sämtliche AV-Scanner da einen heuristischen Fund (zu erkennen am Kürzel "gen" für "generic" im "Virus"-Namen). Bei Ikarus hat man sich das "gen" zwar gespart, allerdings lässt sich aus dem Namen des angeblich gefundenen "Virus" trotzdem ableiten, dass es sich wieder nur um einen heuristischen Treffer handelt.

Die Benutzung eines bestimmten API-Befehls macht noch lange kein Virus aus, dazu braucht es etwas mehr. Schick doch mal den Updater ans Kaspersky-Lab, und frag sie, ob das Ding gefährlich ist oder nicht.

Mich würde allerdings mal interessieren, welcher API-Befehl genau dafür sorgt, dass die Kaspersky-Heuristik das Programm als "monder" (was auch immer das sein soll) einstuft.

Verfasst: 04.05.2008 21:44
von AND51
pebo hat geschrieben:
AND51 hat geschrieben:Du weißt schon, dass das Ding im Grund eine selbstextrahierende EXE ist?
Entpacke es mit WinRAR, WinZIP oder wie ich mit 7z und sortier die Dateien manuell in denen PB-Ordner und gut ist.
Das Programm "UpdateTool.exe" ist ein Archiv? Ich wollte es mit IZArc öffnen, bekam aber keine Dateien angezeigt :|
Sorry, mein Fehler. Ich meinte, entpacke das ganze ZIP File, indem auch die EXE liegt. Du kannst (wie gesagt) die Dateien ja auch manuell kopiere, und so das UpdateTool umgehen.

Verfasst: 04.05.2008 21:50
von ts-soft
Das Update-Tool benennt aber auch Files um und löscht evtl. welche!
Ist also nur den "Bastlern" zu empfehlen.

Verfasst: 04.05.2008 21:54
von Falko
>>> Das Programm "UpdateTool.exe" ist ein Archiv? Ich wollte es mit IZArc öffnen, bekam aber keine Dateien angezeigt Neutral

Nein, ist kein Archiv. Du kannst auch die Dateien manuell in dein frisch
installiertes PB-Original aus den Update-Ordner kopieren.

Oder du kopierst dein Update-Ordner in einen anderen Pfad, machst
daraus PureBasic_4 und kopierst dort aus deinen Original
PB-Compiler-Verzeichnis Deinen DataKey hinein. Evtl. musst du noch den
Schreibschutz vorher vom Ordner Update entfernen.


Kaspersky macht viel Wind um nichts. Irgendwo hatte ich mal einen Source (ts-soft pbosl) übernommen und nach dem Compilieren bekam ich von Kaspersky einen Trojaner gemeldet.

Gruß Falko

Verfasst: 04.05.2008 21:57
von Little John
Ich habe 'mal den von Marco geposteten Beispielcode mit PB 4.10 compiliert. Die Überprüfung von Virus-Total ergab:

Ergebnis: 3/32 (9.38%)

Code: Alles auswählen

Antivirus          Ergebnis
---------------------------------------------------------------
AhnLab-V3          -
AntiVir	         -
Authentium         Possibly a new variant of W32/Threat-HLLSI-based!Maximus
Avast              -
AVG                -
BitDefender        -
CAT-QuickHeal      -
ClamAV             -
DrWeb              -
eSafe              -
eTrust-Vet         -
Ewido              -
F-Prot             W32/Threat-HLLSI-based!Maximus
F-Secure           -
FileAdvisor        -
Fortinet	        -
Ikarus             -
Kaspersky          -
McAfee             -
Microsoft          -
NOD32v2            -
Norman             -
Panda              -
Prevx1             -
Rising             -
Sophos             -
Sunbelt            -
Symantec           -
TheHacker          -
VBA32              -
VirusBuster	     -
Webwasher-Gateway  Virus.Win32.FileInfector.gen!80 (suspicious)
Manche Anti-Malware-Programme sind anscheinend wie die Affen im Urwald: Sie kreischen sobald sich etwas bewegt, egal ob das ein Tiger oder ein Kaninchen ist. :D

2pebo:
Wurde die Datei bei Dir nur von 19 Engines geprüft, oder hast Du die anderen Ergebnisse nur nicht hier gepostet?

Gruß, Little John