Onlinescanner zeigt Verdächtiges an!

Für allgemeine Fragen zur Programmierung mit PureBasic.
Led Zep
Beiträge: 7
Registriert: 08.01.2023 14:40

Onlinescanner zeigt Verdächtiges an!

Beitrag von Led Zep »

Hallo Leute,

habe folgendes Programm mit einem nagelneu runtergeladenen PureBasic kompiliert

Code: Alles auswählen

window = OpenWindow(#PB_Any, 0, 0, 800, 800, "", #PB_Window_SystemMenu | #PB_Window_ScreenCentered)
Repeat
Until WaitWindowEvent() = #PB_Event_CloseWindow
End
und mit dem Online-Scanner www.virustotal.com getestet. Dabei wurde folgendes gefunden:

Cybereason: Malicious.495850
Jiangmin: TrojanSpy.Carberp.eut
MaxSecure: Trojan.Malware.300983.susgen
SecureAge: Malicious
Trapmine: Malicious.high.ml.score

Bei allen anderen Scannern blieb das Programm unauffällig. Ist das normal? Sind das Fehlalarme?
Benutzeravatar
NicTheQuick
Ein Admin
Beiträge: 8675
Registriert: 29.08.2004 20:20
Computerausstattung: Ryzen 7 5800X, 32 GB DDR4-3200
Ubuntu 22.04.3 LTS
GeForce RTX 3080 Ti
Wohnort: Saarbrücken
Kontaktdaten:

Re: Onlinescanner zeigt Verdächtiges an!

Beitrag von NicTheQuick »

Ja, das sind einfach nur schlechte Heuristiken dieser Scanner. Du musst dir keine Sorgen machen.
Bild
Benutzeravatar
Mijikai
Beiträge: 754
Registriert: 25.09.2016 01:42

Re: Onlinescanner zeigt Verdächtiges an!

Beitrag von Mijikai »

Ist normal, es gibt nur ganz wenige AVs die 'zuverlässig' arbeiten.
Einfach ignorieren, es ist kein Fehler von PB sondern der AV.
Benutzeravatar
NicTheQuick
Ein Admin
Beiträge: 8675
Registriert: 29.08.2004 20:20
Computerausstattung: Ryzen 7 5800X, 32 GB DDR4-3200
Ubuntu 22.04.3 LTS
GeForce RTX 3080 Ti
Wohnort: Saarbrücken
Kontaktdaten:

Re: Onlinescanner zeigt Verdächtiges an!

Beitrag von NicTheQuick »

Als Faustregel kann man sagen: Je kleiner eine Executable ist, desto höher ist die Wahrscheinlichkeit, dass irgendwelche Heuristiken anspringen.
Bild
Benubi
Beiträge: 186
Registriert: 22.10.2004 17:51
Wohnort: Berlin, Wedding

Re: Onlinescanner zeigt Verdächtiges an!

Beitrag von Benubi »

Oft zicken die rum wenn man IPGadget benutzt, oder die zlib. Ich hatte mir eine mini Zip-Lib geschrieben, um auch z.B. selbst extrahierende Zips zu erstellen. Die Exe ging wegen des AV's nicht zu starten; erst als ich die Extraktions-Prozedur, welche die zlib Befehle nutzt, von Procedure zu ProcedureDLL umdeklariert hatte lies der AV die Datei unbeanstandet laden. Eine weitere Sache sind Programme ohne GUI und ohne Konsole; z.B. wenn man sich vertut in dem man ohne Debugger startet und nur 5 Debugs untereinander schreibt (oder so ähnlich), mit ein bisschen Initialisierungscode oder so.

Wenn Du Netzwerk und/oder Zlib/Packer im Programm benutzt wird die Heuristik schnell paranoid.
Benutzeravatar
Skywalker
Beiträge: 77
Registriert: 22.09.2004 23:35

Re: Onlinescanner zeigt Verdächtiges an!

Beitrag von Skywalker »

Ich habe seit langer Zeit mal wieder mit PB angefangen und stehe gerade vor dem gleichen Problem.
Ein Tool, welches ich eigentlich auf eine bestimmte Webseite stellen wollte, wird bei Virustotal von zwei Virenscanner bemängelt:
MaxSecure - Trojan.Malware.300983.susgen
SecureAge - Malicious
Leider erlaubt diese Webseite nur Dateien welche von Virustotal als "Sauber" klassifiziert wird.

Wenn ich in den Compiler-Optionen hier und da einen Haken anders setze, ändern sich auch meist die angeblich gefundenen Virenarten.
Ich habe dann eine EXE mit einfach nur einem ";" im Sourcode kompiliert und nur dann, wenn in den Compiler-Optionen der Haken !NUR! bei "Create threadsafe executable" gesetzt ist, dann sind alle Virenscanner glücklich.
Mit diesem Wissen habe ich dann mein Programm analysiert und z.B. den "UsePNGImageEncoder" entfernt und das verwendete PNG gegen ein BMP getauscht. Dann noch die Haken bei "Create threadsafe executable" und "Request User mode for Windows Vista and obove" gesetzt.
Danach meckerte kein Scanner mehr.

Hat also wohl viel mit den Compileroptionen zu tun. Aber ich hoffe dennoch, das diese Tricks bald nicht mehr nötig sein werden.
Zuletzt geändert von Skywalker am 22.02.2023 00:06, insgesamt 1-mal geändert.
Benutzeravatar
mk-soft
Beiträge: 3695
Registriert: 24.11.2004 13:12
Wohnort: Germany

Re: Onlinescanner zeigt Verdächtiges an!

Beitrag von mk-soft »

Leider übernehmen die AV Hersteller die Fehlmeldungen Virus-Total in ihren AV Listen.
Also um mehr auf Virus-Total getestet wird um so mehr Fehlmeldungen gibt es.

Ich selber verwendet Avira (und in der Firma). Diesen kann man als Fehlmeldungen an Avira schicken und meisten ist es nach dem nächsten Update vom AV erledigt.

Also Fehlmeldungen unbedingt an die AV-Hersteller melden ...
Alles ist möglich, fragt sich nur wie...
Projekte ThreadToGUI / EventDesigner V3 / OOP-BaseClass-Modul
Downloads auf MyWebspace / OneDrive
Benutzeravatar
Skywalker
Beiträge: 77
Registriert: 22.09.2004 23:35

Re: Onlinescanner zeigt Verdächtiges an!

Beitrag von Skywalker »

Tja, an den AV-Hersteller melden!

Ich habe eben in meinem kleinen Tool zwei Grafiken mit "IncludeBinary" eingeladen, so habe ich am Ende nur eine EXE-Datei.
Schon heulen wieder diverse Scanner bei virustotal herum. Also musste ich es erstmal wieder rückgängig machen.

Was soll man da an die AV-Hersteller melden? Kaum eine Änderung und schon zicken die herum.
Besonders "MaxSecure" und "SecureAge", noch nie gehört davon.
Sind die jetzt besonders schlecht oder besonders gut?

Oder liegt der ganze Mist am PB-Compiler? Ich vermute es stark!
Benutzeravatar
Bisonte
Beiträge: 2427
Registriert: 01.04.2007 20:18

Re: Onlinescanner zeigt Verdächtiges an!

Beitrag von Bisonte »

Skywalker hat geschrieben: 22.02.2023 02:21 Oder liegt der ganze Mist am PB-Compiler? Ich vermute es stark!
:-? Definitiv nicht.

Die Heuristik ist bei den Scannern extrem empfindlich, zudem kommt noch erschwerend hinzu das viele kompletter Mist sind.
Diese Firmen verdienen ihr Geld mit Werbung und Angst. Daher ist es nicht verwunderlich das viele einfach irgendwas anmeckern.

Es gibt diverse, die wirklich nur Alarm schlagen wenn tatsächlich was da ist, aber da diese Geld kosten, werden sie von der breiten Masse
nicht genutzt, und deswegen schreien immer gleich alle "ALARM!".

Wenn man bei VirusTotal testen lässt, sieht man, das "renommierte" Scanner seltener anschlagen.
Darauf verweise ich die Kunden, und in 90% aller Fälle wird dann einer dieser Scanner installiert,
da man einem Nerd mehr vertraut als der Werbung ;)
PureBasic 6.04 LTS (Windows x86/x64) | Windows10 Pro x64 | Asus TUF X570 Gaming Plus | R9 5900X | 64GB RAM | GeForce RTX 3080 TI iChill X4 | HAF XF Evo | build by vannicom​​
Benutzeravatar
NicTheQuick
Ein Admin
Beiträge: 8675
Registriert: 29.08.2004 20:20
Computerausstattung: Ryzen 7 5800X, 32 GB DDR4-3200
Ubuntu 22.04.3 LTS
GeForce RTX 3080 Ti
Wohnort: Saarbrücken
Kontaktdaten:

Re: Onlinescanner zeigt Verdächtiges an!

Beitrag von NicTheQuick »

Skywalker hat geschrieben: 22.02.2023 02:21Besonders "MaxSecure" und "SecureAge", noch nie gehört davon.
Sind die jetzt besonders schlecht oder besonders gut?
Offensichtlich sind die besonders schlecht. Das sollte klar sein. Generell sind Heuristiken bei Virenscannern das schlimmste. Die sind dafür da Viren im Voraus zu erkennen, d.h. die finden irgendeine Kleinigkeit, die mal irgendein Virus früher benutzt hat, und gehen dann davon aus, dass der das wieder ist. Super ätzend. Und deswegen muss man Falschmeldungen auch immer melden, damit die Programme auf die Whitelist kommen, die dann eine höhere Priorität als die Heuristik hat.

Dieses Problem hast du auch nicht nur mit Purebasic, sondern mit allen möglichen Sprachen, die in Maschinencode kompilieren.
Bild
Antworten