PureBoard
http://forums.purebasic.com/german/

Trojaner im PB420Beta-UpdateTool?
http://forums.purebasic.com/german/viewtopic.php?f=19&t=16528
Seite 2 von 5

Autor:  AND51 [ 04.05.2008 14:55 ]
Betreff des Beitrags: 

ts-soft hat geschrieben:
Das nutzen der DownloadURL API löst sowas schon aus
Das stimmt, das Nutzen des Befehls URLDownloadToFile_() ergibt selbst bei AntiVir einen heuristischen Treffer ("HEUR/Downloader").

Fazit: AntiVir ist kein deut besser als Kaspersky und umgekehrt; außerdem gibt's diesen FUnd nur bei eingestelleter Heuristik auf "hoch".

Autor:  marco2007 [ 04.05.2008 16:42 ]
Betreff des Beitrags: 

Hi,

ein gutes Beispiel aus dem Codearchiv:

Code:
; German forum: http://www.purebasic.fr/german/viewtopic.php?t=2680&highlight=
; Author: MVXA (updated for PB 4.00 by Andre)
; Date: 28. March 2005
; OS: Windows
; Demo: No

Procedure.s ConnectToIPServer(strURL.s)
    Define.l hINet, hData, Byte
    Define.s Agent, NetBuffer
   
    Agent     = "Mozilla/4.0 (compatible; ST)"
    hINet     = InternetOpen_   (@Agent.s, 0, 0, 0, 0)
    hData     = InternetOpenUrl_( hINet, @strURL, "", 0, $8000000, 0 )
    NetBuffer = Space(256)
   
    If hData > 0: InternetReadFile_(hData, @NetBuffer, 255, @Byte ): EndIf
    NetBuffer = Trim(NetBuffer)
   
    InternetCloseHandle_ (hINet)
    InternetCloseHandle_ (hFile)
    InternetCloseHandle_ (hData)       
   
    ProcedureReturn Trim(NetBuffer)
EndProcedure

Procedure.s GetNetworkIP()
    Define.s strIP
   
    strIP = ConnectToIPServer("http://easteregg.dyndns.biz:4664/littlefurz/IP.php")
    If Len(strIP) = 0: strIP = ConnectToIPServer("http://www.panten.org/ip.php3"): EndIf
   
    If Len(strIP) = 0 Or Len(strIP) > 15
        ExamineIPAddresses()
        strIP = IPString(NextIPAddress())
    EndIf
   
    ProcedureReturn Trim(strIP)
EndProcedure

InitNetwork()
Debug GetNetworkIP()


Antivir meldet:

Trojanisches Pferd: TR/Crypt.XPACK.Gen - Trojan

lg
Marco

Autor:  ts-soft [ 04.05.2008 17:12 ]
Betreff des Beitrags: 

Antiviren Programme sind doch nur Helferlein. Perfekt ist keines dieser
Helferlein. Sobald ein Alarm kommt, einfach Brain.exe starten und die
wahrscheinlichkeiten abwägen. Sollten Zweifel bleiben, dann Quarantäne, ist
es sicher, das ein Virus vorliegt, dann löschen und in den allermeisten Fällen
feststellen, das die Wahrscheinlichkeit eines Virusfunds unwahrscheinlich ist
und diesen Fund ignorieren.

Autor:  Little John [ 04.05.2008 18:44 ]
Betreff des Beitrags: 

Ich kann dem, was Thomas schreibt, nur zustimmen.
Und vielleicht an dieser Stelle wieder einmal der Hinweis auf Virus Total, wo man eine verdächtige Datei kostenlos von mehreren Engines auf Viren, Würmer, Trojaner und andere Malware prüfen lassen kann. Das sollte ein realistischeres Bild ergeben als das Ergebnis von nur einem Test-Programm.

Gruß, Little John

Autor:  pebo [ 04.05.2008 20:34 ]
Betreff des Beitrags: 

ts-soft hat geschrieben:
>> Grund genug für mich das UpdateTool vorerst nicht zu benutzen
Blödsinn, von einer glaubwürdigen Seite wie PureBasic.com kann man IMHO
solche Falschalarme ignorieren.:

Meinen Entschluss das UpdateTool vorerst nicht zu benutzen als "Blödsinn" zu bezeichnen, finde ich doch etwas, sagen wir mal "übertrieben". Viel eher finde ich deine Aussage " .... kann man solche Meldungen ignorieren" für "Bl......" ähm, ich meine natürlich "leichtsinnig" :wink: Ich habe schon Anwendungssoftware gekauft, da war auf der Diskette ein Virus drauf und das war damals auch keine 0815 Soft und von einem "seriösen" Hersteller. Also ich traue niemandem, noch nicht mal mir selbst :mrgreen:

AND51 hat geschrieben:
Du weißt schon, dass das Ding im Grund eine selbstextrahierende EXE ist?
Entpacke es mit WinRAR, WinZIP oder wie ich mit 7z und sortier die Dateien manuell in denen PB-Ordner und gut ist.

Das Programm "UpdateTool.exe" ist ein Archiv? Ich wollte es mit IZArc öffnen, bekam aber keine Dateien angezeigt :|

Little John hat geschrieben:
Und vielleicht an dieser Stelle wieder einmal der Hinweis auf Virus Total, wo man eine verdächtige Datei kostenlos von mehreren Engines auf Viren, Würmer, Trojaner und andere Malware prüfen lassen kann. Das sollte ein realistischeres Bild ergeben als das Ergebnis von nur einem Test-Programm.

Danke für den Link zu dieser Website, kannte ich noch nicht :allright: Ich habe das File dort mal überprüfen lassen, hier das Ergebnis:

Bild

Also ist es nicht nur 1 "Helferlein" der an dieser Datei etwas auszusetzen hat.

Gruss
Peter

Autor:  hardfalcon [ 04.05.2008 21:07 ]
Betreff des Beitrags: 

Wie du siehst, bemängeln sämtliche AV-Scanner da einen heuristischen Fund (zu erkennen am Kürzel "gen" für "generic" im "Virus"-Namen). Bei Ikarus hat man sich das "gen" zwar gespart, allerdings lässt sich aus dem Namen des angeblich gefundenen "Virus" trotzdem ableiten, dass es sich wieder nur um einen heuristischen Treffer handelt.

Die Benutzung eines bestimmten API-Befehls macht noch lange kein Virus aus, dazu braucht es etwas mehr. Schick doch mal den Updater ans Kaspersky-Lab, und frag sie, ob das Ding gefährlich ist oder nicht.

Mich würde allerdings mal interessieren, welcher API-Befehl genau dafür sorgt, dass die Kaspersky-Heuristik das Programm als "monder" (was auch immer das sein soll) einstuft.

Autor:  AND51 [ 04.05.2008 21:44 ]
Betreff des Beitrags: 

pebo hat geschrieben:
AND51 hat geschrieben:
Du weißt schon, dass das Ding im Grund eine selbstextrahierende EXE ist?
Entpacke es mit WinRAR, WinZIP oder wie ich mit 7z und sortier die Dateien manuell in denen PB-Ordner und gut ist.

Das Programm "UpdateTool.exe" ist ein Archiv? Ich wollte es mit IZArc öffnen, bekam aber keine Dateien angezeigt :|
Sorry, mein Fehler. Ich meinte, entpacke das ganze ZIP File, indem auch die EXE liegt. Du kannst (wie gesagt) die Dateien ja auch manuell kopiere, und so das UpdateTool umgehen.

Autor:  ts-soft [ 04.05.2008 21:50 ]
Betreff des Beitrags: 

Das Update-Tool benennt aber auch Files um und löscht evtl. welche!
Ist also nur den "Bastlern" zu empfehlen.

Autor:  Falko [ 04.05.2008 21:54 ]
Betreff des Beitrags: 

>>> Das Programm "UpdateTool.exe" ist ein Archiv? Ich wollte es mit IZArc öffnen, bekam aber keine Dateien angezeigt Neutral

Nein, ist kein Archiv. Du kannst auch die Dateien manuell in dein frisch
installiertes PB-Original aus den Update-Ordner kopieren.

Oder du kopierst dein Update-Ordner in einen anderen Pfad, machst
daraus PureBasic_4 und kopierst dort aus deinen Original
PB-Compiler-Verzeichnis Deinen DataKey hinein. Evtl. musst du noch den
Schreibschutz vorher vom Ordner Update entfernen.


Kaspersky macht viel Wind um nichts. Irgendwo hatte ich mal einen Source (ts-soft pbosl) übernommen und nach dem Compilieren bekam ich von Kaspersky einen Trojaner gemeldet.

Gruß Falko

Autor:  Little John [ 04.05.2008 21:57 ]
Betreff des Beitrags: 

Ich habe 'mal den von Marco geposteten Beispielcode mit PB 4.10 compiliert. Die Überprüfung von Virus-Total ergab:

Ergebnis: 3/32 (9.38%)
Code:
Antivirus          Ergebnis
---------------------------------------------------------------
AhnLab-V3          -
AntiVir            -
Authentium         Possibly a new variant of W32/Threat-HLLSI-based!Maximus
Avast              -
AVG                -
BitDefender        -
CAT-QuickHeal      -
ClamAV             -
DrWeb              -
eSafe              -
eTrust-Vet         -
Ewido              -
F-Prot             W32/Threat-HLLSI-based!Maximus
F-Secure           -
FileAdvisor        -
Fortinet           -
Ikarus             -
Kaspersky          -
McAfee             -
Microsoft          -
NOD32v2            -
Norman             -
Panda              -
Prevx1             -
Rising             -
Sophos             -
Sunbelt            -
Symantec           -
TheHacker          -
VBA32              -
VirusBuster        -
Webwasher-Gateway  Virus.Win32.FileInfector.gen!80 (suspicious)

Manche Anti-Malware-Programme sind anscheinend wie die Affen im Urwald: Sie kreischen sobald sich etwas bewegt, egal ob das ein Tiger oder ein Kaninchen ist. :D

2pebo:
Wurde die Datei bei Dir nur von 19 Engines geprüft, oder hast Du die anderen Ergebnisse nur nicht hier gepostet?

Gruß, Little John

Seite 2 von 5 Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/