Exe-uri Generate De Un Program Vazute Gresit Ca Infectate

a_catalin
editat decembrie 2011 în Raportare alarme false

Buna ziua.


Sunt un programator Delphi.


Printre programele care le-am facut e si acesta de aici: http://forums.mydigitallife.info/threads/2...or-Spoon-Studio


Acolo veti gasi programul (ExeBuilder), sursele cat si explicatii despre ceea ce face.


In esenta ia un exe standard stocat in resurse, il modifica ca sa incarce un anumit exe din programul virtualizat facut cu Spoon Studio respectiv ii adauga iconita si informatii din exe original.


Cam acelasi lucru il fac si alte programe precum VMWare Thinapp.


Diferenta e ca exe-urile facute de VMWare Thinapp nu sunt gasite virusate de BitDefender, precum se vede la VirusTotal:


211057166109027.jpg


Utilizatorii care au habar ceva de calculatoare evident vor intelege ca "Gen:Trojan.Heur.iK0@rWbCZJfO" = BitDefender presupune ca acel exe are un virus nu ca e sigur de asta.


Pe mine ma ingrijoreaza reactia celor care nu au aceste cunostinte si cred ca e infectat.


Acu, imi dau seama ca acest forum e destinat in general celor care au BitDefender instalat pe calculatorul lor nu pentru cel rulat la VirusTotal dar totusi va cer ajutorul - nu cred ca e corect ca aceste exe-uri sa fie catalogate ca infectate (chiar daca arata "Gen" si "Heur").


Aici aveti exemplu de 2 exe (inainte si dupa modificare): https://rapidshare.com/files/1692803546/Exemple_de_exe.zip


Dar, fiind si dumneavoastra programatori, cred ca veti intelege repede cum functioneaza din sursele acestui program.


Sper sa ma puteti ajuta.


Multumesc anticipat.


O zi placuta in continuare, Catalin

Comentarii

  • Salut Catalin


    Multumim pentru raportare.


    Am trimis toate datele la laboratorul nostru si astept un raspuns.


    Cand o sa il am, o sa postez aici rezultatele.


    Sarbatori fericite.

  • Buna seara Catalin.


    Detectia a fost inalturata si o exceptie generica a fost creata. Daca mai sunt situatii de genul asta pe viitor, te rog sa ne raportezi.


    O seara placuta si Sarbatori Fericite.

  • Multumesc.


    Sarbatori fericite

  • O mica problema.


    Acest fisier e inca aratat virusat: https://rapidshare.com/files/1829410845/problema.zip


    Parola la arhiva e "problema".


    Cum l-am gasit: eu si cativa prieteni ne gandim sa cumparam licente la un antivirus (ca ne expira ce avem acum) si bineinteles BitDefender e pe primul loc in preferinte. Am descarcat trial-ul si l-am instalat.


    Am scanat locatiile cu acele exe si acesta a fost gasit.


    A, in acel trial poate ar fi bine sa mute in carantina implicit (ca nu o face decat daca setez) + sa lase totusi utilizatorul sa copie manual inapoi fisierul in acel folder daca dezactiveaza cele 2 module. La mine a trebuit sa restartez calculatorul ca sa-l pot copia inapoi in folder. Pe urma am vazut ca merge si redenumind folderul...


    O zi buna, Catalin

  • Salut Catalin.


    Am raportat ca Alarma Falsa fisierul la laboratoarele noastre.


    Dupa cum poti vedea mai jos, fisierul este detectat euristic de mai multe motoare.


    http://www.virustotal.com/file-scan/report...f693-1325083096


    Revin cu un raspuns dupa ce primesc rezultatul.


    Multumim.

  • a_catalin
    editat decembrie 2011
    Salut Catalin.


    Am raportat ca Alarma Falsa fisierul la laboratoarele noastre.


    Dupa cum poti vedea mai jos, fisierul este detectat euristic de mai multe motoare.


    http://www.virustotal.com/file-scan/report...f693-1325083096


    Revin cu un raspuns dupa ce primesc rezultatul.


    Multumim.


    Da, stiu de acei antivirusi, am avut un Craciun de cosmar cautand unde sa raportez, raportand, discutand pe mail cu support-ul de la acei antivirusi - si inca tot n-am terminat :(


    Macar daca castigam ceva bani cu acest program ca sa se merite dar e freeware :rolleyes:

  • Bine ai revenit.


    Am inteles.


    O sa postez rezultatul de la analiza in curand aici.


    Multumim pentru rabdare. O seara placuta.

  • Salut Catalin


    Detectia o sa fie indepartata in cateva update-uri.


    Ne cerem scuze pentru situatia cauzata.


    O seara placuta.

  • Vad ca dupa 2 zile tot e detectat la VirusTotal ca "Trojan.Generic.7076714" (bineinteles am urcat fisierul manual + am dat sa rescaneze).

  • Salut Catalin


    Am intrebat la laboratoare cand este programat sa fie scos din definitii.


    Revin cu un raspuns in cel mai scurt timp posibil.


    Multumim pentru intelegere.

  • Am revenit Catalin


    Fisierul este curat si a fost programat sa fie scos la update in cateva ore.


    Initial a fost programat atunci cand am anuntat prima data, dar s-a schimbat data din cauza unor update-uri la motoarele noastre.


    Multumim pentru intelegere.


    La Multi Ani!

  • Am revenit Catalin


    Fisierul este curat si a fost programat sa fie scos la update in cateva ore.


    Initial a fost programat atunci cand am anuntat prima data, dar s-a schimbat data din cauza unor update-uri la motoarele noastre.


    Multumim pentru intelegere.


    La Multi Ani!


    Am inteles, multumesc.


    Oricum azi am mai gasit altele care fac aproximativ aceeasi problema (Trojan.Generic.7085261) dar nu mai conteaza...


    La multi ani

  • Salut Catalin


    Te rog nu ezita sa ne trimiti fisiere. Ideal ar fi sa ne trimiti / spui cu ce generezi fisierele ca sa vedem ce se poate face. Programul o sa fie folosit doar pentru analiza in laborator in vedea obtinerii unor excluderi generale.


    Multumim. O zi buna.

  • Salut Catalin


    Te rog nu ezita sa ne trimiti fisiere. Ideal ar fi sa ne trimiti / spui cu ce generezi fisierele ca sa vedem ce se poate face. Programul o sa fie folosit doar pentru analiza in laborator in vedea obtinerii unor excluderi generale.


    Multumim. O zi buna.


    Acestea sunt mai multe fisiere exe din care o parte sunt vazute infectate: https://rapidshare.com/files/3223911166/FalsPozitive.zip


    Parola la arhiva e "test".


    Sursele programului care le genereaza: https://rapidshare.com/files/1926978287/Surse_ExeBuilder.zip


    Surse la fisierele exe folosite ca "template": https://rapidshare.com/files/1856506021/Sur...xe_template.zip


    Daca doriti va pot trimie pe MP un link catre un program virtualizat care utilizeaza aceste tipuri de fisiere, ca sa va faceti o idee de ce sunt generate in acest mod.


    Un angajat de la alt support a zis asta:


    "Ah Delphi uses .itext for its entrypoint section.


    Guess not many people create Delphi executables that look like documents (VMware's Thinapp is probably not written in Delphi).


    I'll update the detection later today to consider .itext a good section name."


    Poate va ajuta...


    Multumesc pentru ajutor.


    O zi buna.

  • Salut


    Da, astept acel program virtualizat(sper ca nu e VMware Thinapp?!). O sa trimit toate datele pe tichetul deja existent in sistem de la fisierele celelalte ca sa fie toate datele la un loc.


    S-ar putea ca de data asta sa dureze putin mai mult analiza. Colegii de la laborator cred ca trebuie sa faca schimbari mai mari in motor pentru excluderi.


    Multumim pentru suport si sper sa rezolvam cat mai repede situatia curenta.


    O dupa amiaza placuta.

  • Salut :)


    Am trimis toate datele la laboratoare.


    Revin cand am date noi.


    Multumim.

  • Salut :)


    Am trimis toate datele la laboratoare.


    Revin cand am date noi.


    Multumim.


    Se pare ca niciunul nu mai e detectat ca fals pozitiv :)


    Multumesc mult pentru ajutor.


    O zi placuta in continuare, Catalin

  • Salut Catalin


    Inca nu am primit un mesaj de la laboratoare, dar e posibil sa fi intrat prin update unele exceptii.


    Revin cu rezultate.


    O zi placuta.

  • Salut Catalin


    Cei de la laboratoare spun ca au lucrat la exceptii si nu ar mai trebui sa fie detectate in viitor.


    Daca mai e ceva, te rog revino aici.


    Multumim.