PureBasic 4.40 beta6

[Falko]

Macht also nur Avira die Meldung. Norton 360 sagt nichts dazu.
Der Witz ist, das irgendein Javascipt installiert wird. Wenn man den abbricht, kommt
eine Fehlermeldung, aus zur Library.exe das das System die angegebene Datei nicht finden kann. Wenn man
wiederholt kommt eine neue Virenmeldung mit einem anderen Datei, dei wohl im Zusammenhang mit js-...
erzeugt wird. Buchstabenzufall. C:\Programme\PureBasic\Excamples\js-U6EFR.tmp, oder
C:\...JMVFE.tmp. Solange man den Zugriff verweigert, eben neue Namen.

Ist doch sehr seltsam, das man die Meldung ignorieren soll, wenn immer neue Code-Namen mit js-.. aus der Installation
erzeugt werden.

Gruß Falko

[Kiffi]

Ich denke

denken heißt nicht wissen.

Freak, Fred und Co. sind vertrauenswürdig genug

niemand unterstellt böse Absicht. Selbst großen (vertrauenswürdigen) Firmen
ist es in der Vergangenheit passiert, dass sie infizierte Software an die Kunden
ausgeliefert haben.

Beispielsweise:
http://www.heise.de/security/meldung/De ... 89508.html
http://www.heise.de/security/meldung/So ... 18985.html

Mir ist bekannt, dass eine übereifrige Heuristik den ein oder anderen
Fehlalarm auslösen kann. Grade bei PB-Programmen ist das keine Seltenheit.

Allerdings ist es hier das erste Mal, dass der Virenscanner bei einem PB-Setup anschlägt.

dass man es auch ohne "offizielle Bestätigung" installieren und testen kann...

ich gehe hier vor, wie bei allen Virenmeldungen (ob Fehlalarm oder nicht): ich führe
das Programm nicht aus. Normalerweise lade ich im Zweifelsfall die betroffene Datei
bei http://www.virustotal.com hoch, um zu schauen, was die anderen Virenscanner
meinen. In diesem Fall jedoch kann mein uniextract das Setup nicht entpacken.

BTW macht es keinen guten Eindruck auf (Neu-)Kunden, wenn ihnen bei der Installation
ein Virenalarm entgegen blinkt.

Grüße ... Kiffi

[Falko]

Ok, ich habs mal durchlaufen lassen. Hier die Liste dazu:

Code: Alles auswählen

  Datei Library.exe empfangen 2009.11.06 23:48:57 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 4/40 (10%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.41	2009.11.06	-
AhnLab-V3	5.0.0.2	2009.11.06	-
AntiVir	7.9.1.61	2009.11.06	TR/ATRAPS.Gen
Antiy-AVL	2.0.3.7	2009.11.05	-
Authentium	5.2.0.5	2009.11.06	-
Avast	4.8.1351.0	2009.11.06	-
AVG	8.5.0.423	2009.11.06	-
BitDefender	7.2	2009.11.06	-
CAT-QuickHeal	10.00	2009.11.06	-
ClamAV	0.94.1	2009.11.06	-
Comodo	2866	2009.11.07	-
DrWeb	5.0.0.12182	2009.11.06	-
eTrust-Vet	35.1.7108	2009.11.06	-
F-Prot	4.5.1.85	2009.11.06	-
F-Secure	9.0.15370.0	2009.11.04	-
Fortinet	3.120.0.0	2009.11.06	-
GData	19	2009.11.06	-
Ikarus	T3.1.1.74.0	2009.11.06	-
Jiangmin	11.0.800	2009.11.06	-
K7AntiVirus	7.10.890	2009.11.06	-
Kaspersky	7.0.0.125	2009.11.07	-
McAfee	5794	2009.11.06	-
McAfee+Artemis	5794	2009.11.06	Artemis!B324BBE744BA
McAfee-GW-Edition	6.8.5	2009.11.06	Trojan.ATRAPS.Gen
Microsoft	1.5202	2009.11.06	-
NOD32	4580	2009.11.06	-
Norman	6.03.02	2009.11.06	-
nProtect	2009.1.8.0	2009.11.06	-
Panda	10.0.2.2	2009.11.06	-
PCTools	7.0.3.5	2009.11.06	-
Prevx	3.0	2009.11.07	-
Rising	21.54.44.00	2009.11.06	Packer.Win32.Agent.bk
Sophos	4.47.0	2009.11.06	-
Sunbelt	3.2.1858.2	2009.11.06	-
Symantec	1.4.4.12	2009.11.07	-
TheHacker	6.5.0.2.063	2009.11.06	-
TrendMicro	9.0.0.1003	2009.11.06	-
VBA32	3.12.10.11	2009.11.06	-
ViRobot	2009.11.6.2025	2009.11.06	-
VirusBuster	4.6.5.0	2009.11.06	--

[Kiffi]

@Falko: Danke!

Wenn ich mir die zweite Fehlermeldung anschaue, dann steht da:

An error occured while trying to rename a file in the destination directory
[...]
Das System kann die angegebene Datei nicht finden.

das wäre ja in dem Fall die Datei, die mein Virenscanner geblockt hat und nicht die Library.exe

Grüße ... Kiffi

[Falko]

Diese Datei, die nicht gefunden wird, wird auch ausgelöst, wenn du die Library.exe ausführst. Wird sie gesperrt,
kommt die komische Fehlermeldung, das die Datei js-XXX.tmp nicht gefunden werden kann, wobei das X für irgendwelche Zahlen und Buchstaben stehen.

Ich habe die Bilder mal hochgeladen wo ich zwei mal geblockt habe. Zwar ist nach Ignorieren die Installation komplett. Aber die Library.exe macht dann beim Ausführen diese Probleme. Für mich ist das, eindeutig, das da was in der Library.exe vorhanden ist. Drei Virenscanner schlagen alarm.



Nach Bestätigung von Antivir kommt diese hier:



und wiederholen ein neu generierter js-XXXXX.tmp



Installieren kann man dann nur, wenn man diese Datei zulässt.
Habe das auf dem virtuellen Win2000 getestet.

Gruß Falko

[c4s]

niemand unterstellt böse Absicht. Selbst großen (vertrauenswürdigen) Firmen
ist es in der Vergangenheit passiert, dass sie infizierte Software an die Kunden
ausgeliefert haben.

Gut, da hast du mich jetzt überzeugt, wenn ich mich jetzt daran erinnere bei Heise.de letztens von einem Virus gelesen zu haben, dass sich in der Programmierumgebung von Delphi eingenistet hatte und jedes Kompilat gleich mitinfizierte. Und ich muss gestehen, dass ich die Idee von dem Viren-Ersteller ziemlich clever finde

Ich bekomme zwar keine Fehlermeldung aber nun mit Falkos Bericht sieht es doch nach etwas bedenklicherem aus.

[Thorium]

Gut, da hast du mich jetzt überzeugt, wenn ich mich jetzt daran erinnere bei Heise.de letztens von einem Virus gelesen zu haben, dass sich in der Programmierumgebung von Delphi eingenistet hatte und jedes Kompilat gleich mitinfizierte. Und ich muss gestehen, dass ich die Idee von dem Viren-Ersteller ziemlich clever finde

Alter Hut, solche Viren gibt es schon seid Ewigkeiten, nur erhalten sie meist keine große Verbreitung.

Ich glaube nicht das es sich tatsächlich um einen Trojaner handelt. Avast sagt nix zur Beta 6 und die angeblichen Namen deuten schon auf einen false positive hin. Gen steht meist für generic und weist darauf hin das etwas ähnliches gefunden wurde, keine exakte Signatur.

[Little John]

Ich bekomme zwar keine Fehlermeldung aber nun mit Falkos Bericht sieht es doch nach etwas bedenklicherem aus.

Falko hat dokumentiert, dass bei Virustotal von 40 Virenscannern 3-4 Stück eine Warnung ausgeben. Das ist jedenfalls nicht bedenklich für PureBasic.

Es sagt allerdings etwas aus über die falsch alarmierenden Virenscanner, v.a. jene die in solchen Fällen praktisch immer "mit von der Partie" sind. Antiviren-Programme sollten ja Problemen vorbeugen bzw. diese beheben, und nicht in erster Linie selbst welche verursachen. Ich wünsche mir, dass Leute die immer wieder hier im Forum über Probleme mit Antivirus-Programmen berichten, ihre Zeit und Energie darauf verwenden würden die Probleme an der richtigen Stelle anzusprechen. Das wäre die E-Mail-Adresse oder ein Forum des jeweiligen Antiviren-Software-Herstellers.

Wenn Ihr einen Feuermelder habt der 3x pro Woche Fehlalarm gibt, würdet Ihr dann Euren Vermieter anrufen weil ihr meint dass mit der Wohnung etwas nicht stimmt? Oder würdet Ihr Euch einen besseren Feuermelder besorgen?
Siehe auch c't-Artikel Erst schießen ...

Wer sich genauer mit dieser Thematik beschäftigen möchte, dem seien die Stichworte
Heuristik, Cutoff, falsch-positiv, falsch-negativ, Prävalenz, Vorhersagewert, ROC-Analyse
genannt.

Gruß,Little John

[c4s]

Falko hat dokumentiert, dass bei Virustotal von 40 Virenscannern 3-4 Stück eine Warnung ausgeben. Das ist jedenfalls nicht bedenklich für PureBasic.

Ich will Kiffi nur zeigen, dass ich nun etwas mehr Verständnis dafür habe, dass er die neue Beta nicht installieren will.
Nach wie vor komisch finde ich es trotzdem

[PMV]

Allerdings ist es hier das erste Mal, dass der Virenscanner bei einem PB-Setup anschlägt.

Sagt mal, ist eigentlich schon mal irgend wem aufgefallen, welche Datei
da bemängelt wird? ... Alleine der Pfad ... "\Examples\" muss doch bei
einigen schon klick machen. Es handelt sich hier um ein Beispielprogramm,
also um genau solche Fehlermeldungen, wie sie schon öfter vorgekommen
sind. Ein fertiges PB-Beispiel-Programm wird hier angemekert. Eine Datei,
die man also normal garnicht Ausführen wird, und schon garnicht
automatisch während der Installation.

Selbst wenn es hier tatsächlich ein Trojaner ist, kann man das Setup
trotzdem bedenkenlos installieren, lediglich dieses Beispiel darf man
nicht ausführen. (selber compilieren und gut ist )
Bei mir wird diese js-* Datei nicht erstellt, nichts gemeldet und auch
nichts ausgeführt, was nicht ausgeführt werden soll.
(Vista x64 mit PB4.40B6 x86) Virenscanner: AVAST!

Ach ja, lass ich die selbst kompilierte Library.exe testen, erhalte ich
3 Meldungen, bei der mitgelieferten Library.exe erhalten ich 6
Fehlermeldungen, also sogar ein anderes Ergebnis als das von Falko.

MFG PMV