Autor Téma: Vir v EXE  (Přečteno 3941 krát)

Offline Fala

  • Plnoletý
  • ***
  • Příspěvků: 168
  • Karma: 2
    • Verze Delphi: XE2
    • Software pro poskytování technické podpory
Vir v EXE
« kdy: 10-09-2012, 13:17:06 »
nevím, jestli jsem tohle dobře zařadil, ale stalo se mi to u FM aplikace.

Jeden uživatel mi nahlásil, že AVAST mu hlásí zavirovanou aplikaci. Na kompu mám MS Essential, projde to i přes AVG a bez viru. Zkoušel jsem i nainstalovat Avast Free a tam to také nehlásilo. Nicméně uživatel může mít placenou verzi, která bude zřejmě dělat nějakou heurelistickou analýzu.

Myslíte, že by Delphi mohlo generovat kód, který by mohl antivir vyhodnotit jako vir?

Avast je sice dost známý, ale asi bude hlásit také planý poplach.

Stalo se vám někdy něco podobného?

Offline pepak

  • Guru
  • *****
  • Příspěvků: 1436
  • Karma: 34
    • Pepak.net
Re:Vir v EXE
« Odpověď #1 kdy: 10-09-2012, 13:23:17 »
Myslíte, že by Delphi mohlo generovat kód, který by mohl antivir vyhodnotit jako vir?
Samozřejmě. Antiviry obecně vyhodnotí jako virus kde co, bez ohledu na to, jestli to škodlivé je nebo není.

Citace
Avast je sice dost známý, ale asi bude hlásit také planý poplach.
Skoro s jistotou.

Citace
Stalo se vám někdy něco podobného?
Jasně. Třeba BitDefender mi v YTD hlásí planý poplach každého půl roku. Já jim vždycky nahlásím false positive, vysvětlím jim, v čem spočívá, oni to "opraví" a za půl roku to zase zavedou do detekce, protože stejnou dekompresní rutinu (7z SFX zkomprimované UPXem) použije některý virus...

Offline pf1957

  • Padawan
  • ******
  • Příspěvků: 2595
  • Karma: 133
    • Verze Delphi: D2007, XE3, DX10
Re:Vir v EXE
« Odpověď #2 kdy: 10-09-2012, 14:15:02 »
Jasně. Třeba BitDefender mi v YTD hlásí planý poplach každého půl roku. Já jim vždycky nahlásím false positive, vysvětlím jim, v čem spočívá, oni to "opraví" a za půl roku to zase zavedou do detekce, protože stejnou dekompresní rutinu (7z SFX zkomprimované UPXem) použije některý virus...

Ja to zpravidla zkontroluju na www.virustotal.com a podivam se, co je zac ten virtus, co to reportuje. Zatim to bylo vzdycky false positive.

Offline < z >

  • Administrátoři
  • Guru
  • *****
  • Příspěvků: 1127
  • Karma: 42
    • Verze Delphi: 7, 2010
Re:Vir v EXE
« Odpověď #3 kdy: 10-09-2012, 20:56:56 »
ano, potvrzuji, antiviry jsou zlo :)

Offline pf1957

  • Padawan
  • ******
  • Příspěvků: 2595
  • Karma: 133
    • Verze Delphi: D2007, XE3, DX10
Re:Vir v EXE
« Odpověď #4 kdy: 10-09-2012, 22:20:12 »
ano, potvrzuji, antiviry jsou zlo :)
Vubec nejshorsi jsou ty, ktere se povesi do I/O systemu a strkaji nos do veci, do kterych jim nic neni, napr. do casto se menicich logu :-(

Offline Mi.Chal.

  • Guru
  • *****
  • Příspěvků: 574
  • Karma: 25
Re:Vir v EXE
« Odpověď #5 kdy: 10-09-2012, 23:09:31 »
Vubec nejshorsi jsou ty, ktere se povesi do I/O systemu a strkaji nos do veci, do kterych jim nic neni, napr. do casto se menicich logu :-(

u slušného antiviru se dají nastavit výjimky, které soubory/adresáře nebo procesy to má ignorovat

Offline < z >

  • Administrátoři
  • Guru
  • *****
  • Příspěvků: 1127
  • Karma: 42
    • Verze Delphi: 7, 2010
Re:Vir v EXE
« Odpověď #6 kdy: 10-09-2012, 23:14:09 »
to jsou, ale vysvetluj uzivatelovi, jak najit nastaveni a ze je to opravdu nutne a ze to vir neni :D

Offline pf1957

  • Padawan
  • ******
  • Příspěvků: 2595
  • Karma: 133
    • Verze Delphi: D2007, XE3, DX10
Re:Vir v EXE
« Odpověď #7 kdy: 11-09-2012, 07:35:58 »
to jsou, ale vysvetluj uzivatelovi, jak najit nastaveni a ze je to opravdu nutne a ze to vir neni :D
No a ne vzdycky mas sanci nastaveni ovlivnit: zejmena kdyz je to enteprise prostredi s centralne urcenou security policy. Zazil jsem na vlastni kuzi, co dalo usili vydrzkovat vyjimku pro server, na ktery jsme meli dodat nas soft, aby nam AV nelezl po trace logach.

Offline leonell

  • Mladík
  • **
  • Příspěvků: 99
  • Karma: 3
Re:Vir v EXE
« Odpověď #8 kdy: 09-10-2012, 17:47:01 »
Zrovna v neděli se mně to stalo. Přidal jsem jeden řádek a ESET šup - virus!
Tak jsem to rozdělil na dva řádky, což zřejmě kompilátor přeložil jinak a ESET to sežral i s navijákem k mé spokojenosti :) Stalo se mi to za rok asi třikrát.

Offline < z >

  • Administrátoři
  • Guru
  • *****
  • Příspěvků: 1127
  • Karma: 42
    • Verze Delphi: 7, 2010
Re:Vir v EXE
« Odpověď #9 kdy: 09-10-2012, 20:14:23 »
zrovna ted jsem narazil taky na zajimavou vec,
zmensoval jsem EXE a odstranil jsem RTTI ... hned vir

a nejzajimavejsi je, ze sem pres virustotal poslal soubor, kam jsem dam maly volani domu :)
to bych neveril, kolik serveru antivirovych spolecnosti je zapsano v blacklistu pro spam (hledano pres whois) - vsechny