Exe-uri Generate De Un Program Vazute Gresit Ca Infectate

a_catalin

Buna ziua.

Sunt un programator Delphi.

Printre programele care le-am facut e si acesta de aici: http://forums.mydigitallife.info/threads/2...or-Spoon-Studio

Acolo veti gasi programul (ExeBuilder), sursele cat si explicatii despre ceea ce face.

In esenta ia un exe standard stocat in resurse, il modifica ca sa incarce un anumit exe din programul virtualizat facut cu Spoon Studio respectiv ii adauga iconita si informatii din exe original.

Cam acelasi lucru il fac si alte programe precum VMWare Thinapp.

Diferenta e ca exe-urile facute de VMWare Thinapp nu sunt gasite virusate de BitDefender, precum se vede la VirusTotal:

Utilizatorii care au habar ceva de calculatoare evident vor intelege ca "Gen:Trojan.Heur.iK0@rWbCZJfO" = BitDefender presupune ca acel exe are un virus nu ca e sigur de asta.

Pe mine ma ingrijoreaza reactia celor care nu au aceste cunostinte si cred ca e infectat.

Acu, imi dau seama ca acest forum e destinat in general celor care au BitDefender instalat pe calculatorul lor nu pentru cel rulat la VirusTotal dar totusi va cer ajutorul - nu cred ca e corect ca aceste exe-uri sa fie catalogate ca infectate (chiar daca arata "Gen" si "Heur").

Aici aveti exemplu de 2 exe (inainte si dupa modificare): https://rapidshare.com/files/1692803546/Exemple_de_exe.zip

Dar, fiind si dumneavoastra programatori, cred ca veti intelege repede cum functioneaza din sursele acestui program.

Sper sa ma puteti ajuta.

Multumesc anticipat.

O zi placuta in continuare, Catalin

rootkit

Salut Catalin

Multumim pentru raportare.

Am trimis toate datele la laboratorul nostru si astept un raspuns.

Cand o sa il am, o sa postez aici rezultatele.

Sarbatori fericite.

rootkit

Buna seara Catalin.

Detectia a fost inalturata si o exceptie generica a fost creata. Daca mai sunt situatii de genul asta pe viitor, te rog sa ne raportezi.

O seara placuta si Sarbatori Fericite.

a_catalin

Multumesc.

Sarbatori fericite

a_catalin

O mica problema.

Acest fisier e inca aratat virusat: https://rapidshare.com/files/1829410845/problema.zip

Parola la arhiva e "problema".

Cum l-am gasit: eu si cativa prieteni ne gandim sa cumparam licente la un antivirus (ca ne expira ce avem acum) si bineinteles BitDefender e pe primul loc in preferinte. Am descarcat trial-ul si l-am instalat.

Am scanat locatiile cu acele exe si acesta a fost gasit.

A, in acel trial poate ar fi bine sa mute in carantina implicit (ca nu o face decat daca setez) + sa lase totusi utilizatorul sa copie manual inapoi fisierul in acel folder daca dezactiveaza cele 2 module. La mine a trebuit sa restartez calculatorul ca sa-l pot copia inapoi in folder. Pe urma am vazut ca merge si redenumind folderul...

O zi buna, Catalin

rootkit

Salut Catalin.

Am raportat ca Alarma Falsa fisierul la laboratoarele noastre.

Dupa cum poti vedea mai jos, fisierul este detectat euristic de mai multe motoare.

http://www.virustotal.com/file-scan/report...f693-1325083096

Revin cu un raspuns dupa ce primesc rezultatul.

Multumim.

a_catalin

Salut Catalin.

Am raportat ca Alarma Falsa fisierul la laboratoarele noastre.

Dupa cum poti vedea mai jos, fisierul este detectat euristic de mai multe motoare.

http://www.virustotal.com/file-scan/report...f693-1325083096

Revin cu un raspuns dupa ce primesc rezultatul.

Multumim.

Da, stiu de acei antivirusi, am avut un Craciun de cosmar cautand unde sa raportez, raportand, discutand pe mail cu support-ul de la acei antivirusi - si inca tot n-am terminat

Macar daca castigam ceva bani cu acest program ca sa se merite dar e freeware

rootkit

Bine ai revenit.

Am inteles.

O sa postez rezultatul de la analiza in curand aici.

Multumim pentru rabdare. O seara placuta.

rootkit

Salut Catalin

Detectia o sa fie indepartata in cateva update-uri.

Ne cerem scuze pentru situatia cauzata.

O seara placuta.

a_catalin

Vad ca dupa 2 zile tot e detectat la VirusTotal ca "Trojan.Generic.7076714" (bineinteles am urcat fisierul manual + am dat sa rescaneze).

rootkit

Salut Catalin

Am intrebat la laboratoare cand este programat sa fie scos din definitii.

Revin cu un raspuns in cel mai scurt timp posibil.

Multumim pentru intelegere.

rootkit

Am revenit Catalin

Fisierul este curat si a fost programat sa fie scos la update in cateva ore.

Initial a fost programat atunci cand am anuntat prima data, dar s-a schimbat data din cauza unor update-uri la motoarele noastre.

Multumim pentru intelegere.

La Multi Ani!

a_catalin

Am revenit Catalin

Fisierul este curat si a fost programat sa fie scos la update in cateva ore.

Initial a fost programat atunci cand am anuntat prima data, dar s-a schimbat data din cauza unor update-uri la motoarele noastre.

Multumim pentru intelegere.

La Multi Ani!

Am inteles, multumesc.

Oricum azi am mai gasit altele care fac aproximativ aceeasi problema (Trojan.Generic.7085261) dar nu mai conteaza...

La multi ani

rootkit

Salut Catalin

Te rog nu ezita sa ne trimiti fisiere. Ideal ar fi sa ne trimiti / spui cu ce generezi fisierele ca sa vedem ce se poate face. Programul o sa fie folosit doar pentru analiza in laborator in vedea obtinerii unor excluderi generale.

Multumim. O zi buna.

a_catalin

Salut Catalin

Te rog nu ezita sa ne trimiti fisiere. Ideal ar fi sa ne trimiti / spui cu ce generezi fisierele ca sa vedem ce se poate face. Programul o sa fie folosit doar pentru analiza in laborator in vedea obtinerii unor excluderi generale.

Multumim. O zi buna.

Acestea sunt mai multe fisiere exe din care o parte sunt vazute infectate: https://rapidshare.com/files/3223911166/FalsPozitive.zip

Parola la arhiva e "test".

Sursele programului care le genereaza: https://rapidshare.com/files/1926978287/Surse_ExeBuilder.zip

Surse la fisierele exe folosite ca "template": https://rapidshare.com/files/1856506021/Sur...xe_template.zip

Daca doriti va pot trimie pe MP un link catre un program virtualizat care utilizeaza aceste tipuri de fisiere, ca sa va faceti o idee de ce sunt generate in acest mod.

Un angajat de la alt support a zis asta:

"Ah Delphi uses .itext for its entrypoint section.

Guess not many people create Delphi executables that look like documents (VMware's Thinapp is probably not written in Delphi).

I'll update the detection later today to consider .itext a good section name."

Poate va ajuta...

Multumesc pentru ajutor.

O zi buna.

rootkit

Salut

Da, astept acel program virtualizat(sper ca nu e VMware Thinapp?!). O sa trimit toate datele pe tichetul deja existent in sistem de la fisierele celelalte ca sa fie toate datele la un loc.

S-ar putea ca de data asta sa dureze putin mai mult analiza. Colegii de la laborator cred ca trebuie sa faca schimbari mai mari in motor pentru excluderi.

Multumim pentru suport si sper sa rezolvam cat mai repede situatia curenta.

O dupa amiaza placuta.

rootkit

Salut

Am trimis toate datele la laboratoare.

Revin cand am date noi.

Multumim.

a_catalin

Salut

Am trimis toate datele la laboratoare.

Revin cand am date noi.

Multumim.

Se pare ca niciunul nu mai e detectat ca fals pozitiv

Multumesc mult pentru ajutor.

O zi placuta in continuare, Catalin

rootkit

Salut Catalin

Inca nu am primit un mesaj de la laboratoare, dar e posibil sa fi intrat prin update unele exceptii.

Revin cu rezultate.

O zi placuta.

rootkit

Salut Catalin

Cei de la laboratoare spun ca au lucrat la exceptii si nu ar mai trebui sa fie detectate in viitor.

Daca mai e ceva, te rog revino aici.

Multumim.