PureBoard

Hallo Leute,

habe folgendes Programm mit einem nagelneu runtergeladenen PureBasic kompiliert und mit dem Online-Scanner www.virustotal.com getestet. Dabei wurde folgendes gefunden:

Cybereason: Malicious.495850
Jiangmin: TrojanSpy.Carberp.eut
MaxSecure: Trojan.Malware.300983.susgen
SecureAge: Malicious
Trapmine: Malicious.high.ml.score

Bei allen anderen Scannern blieb das Programm unauffällig. Ist das normal? Sind das Fehlalarme?

Ja, das sind einfach nur schlechte Heuristiken dieser Scanner. Du musst dir keine Sorgen machen.

Ist normal, es gibt nur ganz wenige AVs die 'zuverlässig' arbeiten.
Einfach ignorieren, es ist kein Fehler von PB sondern der AV.

Als Faustregel kann man sagen: Je kleiner eine Executable ist, desto höher ist die Wahrscheinlichkeit, dass irgendwelche Heuristiken anspringen.

Oft zicken die rum wenn man IPGadget benutzt, oder die zlib. Ich hatte mir eine mini Zip-Lib geschrieben, um auch z.B. selbst extrahierende Zips zu erstellen. Die Exe ging wegen des AV's nicht zu starten; erst als ich die Extraktions-Prozedur, welche die zlib Befehle nutzt, von Procedure zu ProcedureDLL umdeklariert hatte lies der AV die Datei unbeanstandet laden. Eine weitere Sache sind Programme ohne GUI und ohne Konsole; z.B. wenn man sich vertut in dem man ohne Debugger startet und nur 5 Debugs untereinander schreibt (oder so ähnlich), mit ein bisschen Initialisierungscode oder so.

Wenn Du Netzwerk und/oder Zlib/Packer im Programm benutzt wird die Heuristik schnell paranoid.

Ich habe seit langer Zeit mal wieder mit PB angefangen und stehe gerade vor dem gleichen Problem.
Ein Tool, welches ich eigentlich auf eine bestimmte Webseite stellen wollte, wird bei Virustotal von zwei Virenscanner bemängelt:
MaxSecure - Trojan.Malware.300983.susgen
SecureAge - Malicious
Leider erlaubt diese Webseite nur Dateien welche von Virustotal als "Sauber" klassifiziert wird.

Wenn ich in den Compiler-Optionen hier und da einen Haken anders setze, ändern sich auch meist die angeblich gefundenen Virenarten.
Ich habe dann eine EXE mit einfach nur einem ";" im Sourcode kompiliert und nur dann, wenn in den Compiler-Optionen der Haken !NUR! bei "Create threadsafe executable" gesetzt ist, dann sind alle Virenscanner glücklich.
Mit diesem Wissen habe ich dann mein Programm analysiert und z.B. den "UsePNGImageEncoder" entfernt und das verwendete PNG gegen ein BMP getauscht. Dann noch die Haken bei "Create threadsafe executable" und "Request User mode for Windows Vista and obove" gesetzt.
Danach meckerte kein Scanner mehr.

Hat also wohl viel mit den Compileroptionen zu tun. Aber ich hoffe dennoch, das diese Tricks bald nicht mehr nötig sein werden.

Leider übernehmen die AV Hersteller die Fehlmeldungen Virus-Total in ihren AV Listen.
Also um mehr auf Virus-Total getestet wird um so mehr Fehlmeldungen gibt es.

Ich selber verwendet Avira (und in der Firma). Diesen kann man als Fehlmeldungen an Avira schicken und meisten ist es nach dem nächsten Update vom AV erledigt.

Also Fehlmeldungen unbedingt an die AV-Hersteller melden ...

Tja, an den AV-Hersteller melden!

Ich habe eben in meinem kleinen Tool zwei Grafiken mit "IncludeBinary" eingeladen, so habe ich am Ende nur eine EXE-Datei.
Schon heulen wieder diverse Scanner bei virustotal herum. Also musste ich es erstmal wieder rückgängig machen.

Was soll man da an die AV-Hersteller melden? Kaum eine Änderung und schon zicken die herum.
Besonders "MaxSecure" und "SecureAge", noch nie gehört davon.
Sind die jetzt besonders schlecht oder besonders gut?

Oder liegt der ganze Mist am PB-Compiler? Ich vermute es stark!

Skywalker hat geschrieben: 22.02.2023 02:21 Oder liegt der ganze Mist am PB-Compiler? Ich vermute es stark!

Definitiv nicht.

Die Heuristik ist bei den Scannern extrem empfindlich, zudem kommt noch erschwerend hinzu das viele kompletter Mist sind.
Diese Firmen verdienen ihr Geld mit Werbung und Angst. Daher ist es nicht verwunderlich das viele einfach irgendwas anmeckern.

Es gibt diverse, die wirklich nur Alarm schlagen wenn tatsächlich was da ist, aber da diese Geld kosten, werden sie von der breiten Masse
nicht genutzt, und deswegen schreien immer gleich alle "ALARM!".

Wenn man bei VirusTotal testen lässt, sieht man, das "renommierte" Scanner seltener anschlagen.
Darauf verweise ich die Kunden, und in 90% aller Fälle wird dann einer dieser Scanner installiert,
da man einem Nerd mehr vertraut als der Werbung

Skywalker hat geschrieben: 22.02.2023 02:21Besonders "MaxSecure" und "SecureAge", noch nie gehört davon.
Sind die jetzt besonders schlecht oder besonders gut?

Offensichtlich sind die besonders schlecht. Das sollte klar sein. Generell sind Heuristiken bei Virenscannern das schlimmste. Die sind dafür da Viren im Voraus zu erkennen, d.h. die finden irgendeine Kleinigkeit, die mal irgendein Virus früher benutzt hat, und gehen dann davon aus, dass der das wieder ist. Super ätzend. Und deswegen muss man Falschmeldungen auch immer melden, damit die Programme auf die Whitelist kommen, die dann eine höhere Priorität als die Heuristik hat.

Dieses Problem hast du auch nicht nur mit Purebasic, sondern mit allen möglichen Sprachen, die in Maschinencode kompilieren.