Форум: "Прочее";
Текущий архив: 2017.01.15;
Скачать: [xml.tar.bz2];
Вниз
“Delphi-ий” вирус – TrojWare.Win32Downloader.Bandload.arh Найти похожие ветки
← →
Konstantin-78 (2016-02-03 01:06) [0]Доброе время суток форумчане,
Я уже несколько недель не пользовался Delphi 7, но вот решил его запустить и скомпилировать обычную форму.
После компиляции, при создании «Project1.exe», у меня заругалось ПО «Comodo» (антивирус и фаервол), с названием вируса: «TrojWare.Win32Downloader.Bandload.arh»,
С начало я решил, что оно «шутит», но при загрузке этого файла на сайт "virustotal.com", образовался по нему отчет ("https://www.virustotal.com/ru/file/48c3b1851b079556ad01a1830196f97114b22dcd8af1e2c314c79d56dc00a9c2/analysis/1454428390/"), оказалось, что еще 14 антивирусника, заподозрили в этом не файле, что-то не ладное
картинка отчета ("https://www.dropbox.com/s/hpk1hn09ou962w0/virus_delphi.png?dl=0").
Т.к. у меня «Comodo» - freeware, то конечно оно его не может вылечить.
Хотя, как видно из отчета, тот же «Avast», «DrWeb», «Kaspersky» и другие известные антивирусы, в этом файле не чего не нашли.
Из Internet узнал, что создание этого вируса примерно 2010г.
У меня вопросы:
1) Сталкивался с этой бедой кто-нибудь и как от него избавиться?
2) Почему, "Comodo", не видит вирус, вне "Project1.exe"?
Заранее спасибо за ответ.
← →
Германн © (2016-02-03 01:18) [1]
> У меня вопросы:
> 1) Сталкивался с этой бедой кто-нибудь и как от него избавиться?
>
Я лично не сталкивался, но по Дельфийским форумам слышал много раз. Дешевые/бесплатные антивирусные поделки типа Аваст, Комодо и иже с ними не любят программы на Дельфи. Они их просто боятся и поэтому объявляют вредоносными.
← →
Германн © (2016-02-03 01:21) [2]Хотя В Д7 может и индюк сидеть.
← →
Konstantin-78 (2016-02-03 02:14) [3]типа этого - http://habrahabr.ru/post/136841/ ? Но как с ним справиться?
← →
Konstantin-78 (2016-02-03 13:09) [4]Прикольно то, что НЕ пустая форма, т.е. форма на которую положить например button, работает нормально и comodo уже НЕ ругается. (Как посоветовали на одном из форумов). Вот теперь как это ПОНЯТЬ? Но при загрузке его на VT, уже не 14/53, а 17/52 ("https://www.virustotal.com/ru/file/a739c0c0366876402a72fa98b4d17c5337363bae17b49ea7168762b1d346996d/analysis/"), кроме "Comodo", определили его как вирус. Что вообще происходит?
← →
pavelnk © (2016-02-03 15:03) [5]> Германн © (03.02.16 01:18) [1]
> Я лично не сталкивался, но по Дельфийским форумам слышал
> много раз. Дешевые/бесплатные антивирусные поделки типа
> Аваст, Комодо и иже с ними не любят программы на Дельфи.
> Они их просто боятся и поэтому объявляют вредоносными.
У меня была похожая ситуация. Оказалось что дешёвые антивирусы Indy компоненты применяемые в программе автоматически помечают как трояны.
← →
SergeyIT © (2016-02-03 17:01) [6]Это ваше комодо - https://www.opennet.ru/opennews/art.shtml?num=43805
← →
Konstantin-78 © (2016-02-03 17:25) [7]pavelnk ©, Не, ну если в них есть такие промахи, и они помечали их как трояны, то эти антивирусники одинаково наверное ругались бы как на файл скомпилированный сегодня 03.02.2016
Project1.exe ("https://www.virustotal.com/ru/file/a739c0c0366876402a72fa98b4d17c5337363bae17b49ea7168762b1d346996d/analysis/"),
так и на файл программы ("https://www.virustotal.com/ru/file/d7739b4f02ebc1adb9925c866811010435932521d18dace6a5081f769b089e98/analysis/1454506855/"), сделанный мной 26.12.2015.
А в результате, "результат проверки" - разный
Значит, что-то ко мне, за это время что-то пришло
Как бы "comodo"не плохой, я не слышал о нем что-то плохое, но результат-то та разный. "Etalon.exe", я могу на ПК запустить без ругани, а вот с "Project1.exe" – проблемы
← →
Konstantin-78 © (2016-02-03 17:27) [8]SergeyIT ©,
согласен, но как бы пугает количество антивирусников (от 14 до 17), определивших какую-то хрень
← →
кгшзх © (2016-02-03 17:43) [9]1. возьми чистую машину, собери на ней exe.
2. убедись что антивирусы продолжают ругаться на этот exe.
3. забудь об этом.
4. если ругань в п2 прекратится, переустанови систему.
5. забудь об этом.
← →
Rouse_ © (2016-02-03 17:53) [10]
> Konstantin-78 © (03.02.16 17:25) [7]
заархивируй вот это: https://www.virustotal.com/ru/file/a739c0c0366876402a72fa98b4d17c5337363bae17b49ea7168762b1d346996d/analysis/
Поставь пароль "virus" без кавычек и скинь ко мне на rouse79@yandex.ru
Посмотрю что там у тебя за печаль.
← →
Rouse_ © (2016-02-03 17:55) [11]Но сразу могу сказать, что большинство срабатываний - сигнатурные, так что сильно большого доверия всяким там nProtect и китайским киху - быть не должно.
← →
SergeyIT © (2016-02-03 18:03) [12]Konstantin-78 ©,
У сына была проблема с антивирусом в программе на D7 при вызове каких то апи функций - решилось дополнительной оберткой с вызовами через их адреса (GetProcAddres).
← →
Konstantin-78 © (2016-02-03 18:29) [13]> Rouse_ ©
Отправил
← →
Rouse_ © (2016-02-03 18:32) [14]Точно отправил? Нема ничего что-то.
← →
Konstantin-78 © (2016-02-03 18:33) [15]> SergeyIT ©
Посмотрим, что Rouse_ ©, скажет, может быть правда это все выеденного яйца не стоит.
Но всеже не очень хотелось "правое ухо, левой рукой, через одно место доставать".
Тем боле люди спрашивать будут... нужно ещее думать, что сказать :)
← →
Rouse_ © (2016-02-03 18:34) [16]Ладно - на обменник какой выложи, с него заберу.
Видать из-за имени вложения прямо на яндексе потерли (если ты имена файлов не шифровал)
← →
Rouse_ © (2016-02-03 18:37) [17]все в кэше удаленных нашел - можно не перевыкладывать - через мин 30 скажу что там такое
← →
Konstantin-78 © (2016-02-03 18:47) [18]Попробуйте
https://www.dropbox.com/s/pm51k6wfa1rw1y3/VIRUSE_Project1.zip?dl=0
← →
Rouse_ © (2016-02-03 18:55) [19]Прогнал в песочнице - по поведенческому анализу чисто, потом посмотрел под отладчиком - тоже все вроде нормально (сильно не сникал - буквально инициализация модулей и пара обработчиков после InitExe).
Нормальный файл - можешь отправлять им с примечанием - FalseAlarm
← →
Rouse_ © (2016-02-03 18:59) [20]А знаешь что тут я подумал, у тебя там судя по некоторым сигнатурам - семерка используется с минимальной секцией инициализации - а вот на ней пишут кучу всякой малвари и эти псевдоавири видать просто занесли сигнатуру семерки и смотрят что табличка -то у тебя маловата будет (а занчит это плохо - нема таких программ нормальных) вот и ругаются.
← →
Konstantin-78 © (2016-02-03 19:00) [21]Спасибо
← →
Rouse_ © (2016-02-03 19:00) [22]Обращайся :)
← →
Konstantin-78 © (2016-02-03 19:02) [23]Сейчас попробую еще, на чистой виртуалке, поставить Delphi и сделать "exe" - посмотрю
← →
Konstantin-78 © (2016-02-03 19:09) [24]>Rouse_ ©
Но это же не "Induc"?
http://habrahabr.ru/post/136841/
← →
Rouse_ © (2016-02-03 19:25) [25]Не должен - сработки на него небыло в песочнице.
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2017.01.15;
Скачать: [xml.tar.bz2];
Память: 0.5 MB
Время: 0.067 c
