Virenmeldungen

[AHT]

Habe jetzt schon mehrere Fehlmeldungen von Virenscannern bei XProfan Programmen unterschiedlicher Versionen gehabt (nicht meine Programme).
Jedes mal hing das Erscheinen der Meldung auch vom Inhalt der Resource der Runtime ab. Ich rate jedem deshalb, die Versinsinformationen in der PRFRUN32.exe mit dem ResourceHacker vor dem Kompilieren auf eigene Werte zu ändern!

[horsthorn]

Da wäre es doch einfacher, wenn Roland in der kommenden Version den Inhalt ändert.
Du schreibst auch von "VirenScannern", das ist Plural.
Welche sind es denn ?
Mein AVAST meckert nämlich nicht !

[AHT]

Zitat:

Zitat von horsthorn

Du schreibst auch von "VirenScannern", das ist Plural.
Welche sind es denn ?
Mein AVAST meckert nämlich nicht !

Bei der per PM angesprochenen älteren Version des Programms wären das:

• AhnLab-V3
• AntiVir
• Antiy-AVL
• Avast
• Avast5
• CAT-QuickHeal
• Comodo
• Emsisoft
• GData
• Ikarus
• Kaspersky
• McAfee
• McAfee-GW-Edition
• NOD32
• Norman
• nProtect
• Panda
• Sophos
• Sunbelt
• Symantec
• TrendMicro
• TrendMicro-HouseCall
• VBA32
• VirusBuster

Zitat:

Zitat von horsthorn

Da wäre es doch einfacher, wenn Roland in der kommenden Version den Inhalt ändert.

Da unter anderem AntiVir die Resource zur Erkennung mit heranzieht, wäre es wichtig, die Resource (Versionsinformationen der Datei) individuell zu ändern - da ansonsten nicht feststeht, ob die Scanner die eigene Datei meinen oder eine bestimmte XPRofan Version insgesammt anmeckern.

[Frabbing]

Könnte gut sein, dass sich Viren schon auf XProfan-Programme eingeschossen haben. Denn auch in Hackerboards kursieren XProfan-Programme: Crackme [Profan Anwendung]

[AHT]

Wie oben schon steht hilft es manchmal, die Versionsinfos in Resource der PRFRUN32.exe vor der Compilierung individuell an sein Programm anzupassen und nicht auf den Werten von Roland zu belassen. Das sollte man generell so machen - egal ob man nun Probleme bemerkt hat oder nicht.

Horst's EXE habe ich Avira als Fehlscan gemeldet - das ist korrigiert (war sowieso eine ältere Version).

[GAST-0815]

Hier mal ein Kleiner Ausschnitt der Meldung von AVAST 5 mit aktueller Dantenbank nach Prüfung vom XprofanManager von MMJ-Hoyerswerda e.V ,Download Heute 20.09.2010 00.30 .





Mfg

[horsthorn]

Zum Thema passend hatte ich schon vor ein paar Wochen dem Leiter der XProfan-Gruppe in Hojerswerda (Dietmar Horn, nicht mit mir verwandt oder verschwägert ) eine Mail dazu geschrieben, aber keine Antwort erhalten !

[Jac de Lad]

Seltsam, Avira findet bei mir nichts.

@Horst: Dietmar wird sicher gerade ein Kilometerposting vorbereiten.

[AHT]

Alles generische Erkennungen und generelles Anmeckern von UPX -> vermutlich Fehlmeldungen, wie bei allen anderen XProfan-Programmen, die ich diesbezüglich bislang unter die Lupe genommen habe.
Lade mir das Zeug gerade runter und schaue mal etwas genauer.

[Dietmar Horn]

Siehe mein Posting im RGH-Forum:

phorum - 3 - Helfer & Tools - Re: Antivirenprogramme und Profan

@Horst: Ich kann mich nicht daran erinnern, von Dir dbzgl. eine Mail bekommen zu haben.

Falls doch, dann muß das im Trubel im Zusammenhang mit meinen Krankenhausaufenthalten und anschließender Reha-Kur bei mir untergegangen sein (ca. Ende September 2009 bis Ende März 2010, mit Unterbrechungen).

In solchen Fällen (keine Reaktion meinerseits) bitte ich zukünftig um freundliche Erinnerung, denn es ist absolut nicht meine Art auf Hinweise, Fragen usw. nicht zu reagieren - unabhängig davon, wer mir eine solche Mail schickt.

Gruß
Dietmar

[horsthorn]

@Dietmar

Zitat:

@Horst: Ich kann mich nicht daran erinnern, von Dir dbzgl. eine Mail bekommen zu haben.

Vor ca. 2 Wochen auf eurer HP unter Kontakt geschrieben. Ist aber nicht weiter schlimm, du hast ja jetzt reagiert !

Zitat:

Meinen Leuten empfehle ich immer, den Ordner des Managers von der Überprüfung auszunehmen, dann ist wenigstens Ruhe.

Deinen Rat aus dem PROFAN-Forum habe ich dann beherzigt und jetzt ist Ruhe im Manager

[GAST-0815]

Zitat:

Zitat von AHT

Wie oben schon steht hilft es manchmal, die Versionsinfos in Resource der PRFRUN32.exe vor der Compilierung individuell an sein Programm anzupassen und nicht auf den Werten von Roland zu belassen. Das sollte man generell so machen - egal ob man nun Probleme bemerkt hat oder nicht.

Horst's EXE habe ich Avira als Fehlscan gemeldet - das ist korrigiert (war sowieso eine ältere Version).

Kann nicht wirklich stimmen,da einige EXE Dateien mit unterschiedlichen oder gar keine daherkommen.
Habe die angemeckerten Dateien in eine RAR gepackt und ONLINE scannen lassen.

BERICHT:
AhnLab-V3 2010.09.20.00 2010.09.20 Win-Trojan/Agent.1098320
AntiVir 8.2.4.58 2010.09.20 TR/Agent.dgpr
Antiy-AVL 2.0.3.7 2010.09.20 Trojan/Win32.Agent.gen
Authentium 5.2.0.5 2010.09.20 W32/MalwareS.AMQZ
Avast 4.8.1351.0 2010.09.20 Win32:Malware-gen
Avast5 5.0.594.0 2010.09.20 Win32:Malware-gen
AVG 9.0.0.851 2010.09.20 I-Worm/Stration.IRF
BitDefender 7.2 2010.09.20 Trojan.Generic.4615964
CAT-QuickHeal 11.00 2010.09.20 Trojan.Agent.dgpa
ClamAV 0.96.2.0-git 2010.09.20 -
Comodo 6143 2010.09.20 TrojWare.Win32.Agent.dgpa
DrWeb 5.0.2.03300 2010.09.20 BackDoor.Poison.6717
Emsisoft 5.0.0.37 2010.09.20 Trojan.Win32.Agent!IK
eSafe 7.0.17.0 2010.09.20 Win32.TrjCI.A
eTrust-Vet 36.1.7866 2010.09.20 -
F-Prot 4.6.2.117 2010.09.19 W32/MalwareS.AMQZ
F-Secure 9.0.15370.0 2010.09.20 Trojan.Generic.4615964
Fortinet 4.1.143.0 2010.09.20 -
GData 21 2010.09.20 Trojan.Generic.4615964
Ikarus T3.1.1.88.0 2010.09.20 Trojan.Win32.Agent
Jiangmin 13.0.900 2010.09.20 Trojan/Agent.ehml
K7AntiVirus 9.63.2561 2010.09.20 Riskware
Kaspersky 7.0.0.125 2010.09.20 Trojan.Win32.Agent.dgpa
McAfee 5.400.0.1158 2010.09.20 Artemis!23961ED54137
McAfee-GW-Edition 2010.1C 2010.09.20 BackDoor-CEP!yn
Microsoft 1.6201 2010.09.20 Backdoor:Win32/Bisar!rts
NOD32 5465 2010.09.20 probably a variant of Win32/Agent.GTGUEGF
nProtect 2010-09-20.02 2010.09.20 Trojan.Generic.4649267
Panda 10.0.2.7 2010.09.20 Trj/CI.A
PCTools 7.0.3.5 2010.09.20 Trojan.ADH
Prevx 3.0 2010.09.20 -
Rising 22.66.00.03 2010.09.20 Worm.Stration.aw
Sophos 4.57.0 2010.09.20 Mal/Generic-A
Sunbelt 6900 2010.09.20 Trojan.Win32.Agent.abzlz
SUPERAntiSpyware 4.40.0.1006 2010.09.20 -
Symantec 20101.1.1.7 2010.09.20 Trojan.ADH
TheHacker 6.7.0.0.025 2010.09.20 Trojan/Agent.dgpa
TrendMicro 9.120.0.1004 2010.09.20 TROJ_AGENT.AWQX
TrendMicro-HouseCall 9.120.0.1004 2010.09.20 TROJ_GEN.R15C3GD
VBA32 3.12.14.0 2010.09.20 Trojan.Win32.Agent.dgpa
ViRobot 2010.9.20.4051 2010.09.20 -
VirusBuster 12.65.16.0 2010.09.20 Trojan.Agent.SYWI

Ich habe alle Dateien die angeckert wurden in eine ZIP gepackt, könnte jemand prüfen, der mehr Ahnung von dieser Materie hat.

http://matthes.bplaced.de/prog/virus-meldungen.zip

Mfg

EDIT: Vergessen ! Mein AVIRA 5 läuft auf den Standart Einstellungen !

[AHT]

Wie gesagt, es hilft manchmal.
Ändere ich zum Beispiel ein Byte in der Versionsinfo der bombx11.exe, erkennen die Antivir, Nod32, BitDefender, K7AntiVirus und Panda nicht mehr als Virus.

Es wird hier also teilweise die Resource zur Erzeugung der Signatur mit herangezogen. Wichtig ist es also, die Resource zu ändern und überhaupt eine zu integrieren, ansonsten stehen die Chancen recht hoch, das irgendwann AntiVir anfängt zu meckern.

Panda erzeugt scheinbar eine MD5 der ganzen Datei - wobei ich bei Panda den Verdacht habe, das Panda sehr schnell auf die Meckerei von anderen Scannern reagiert und dann ebenfalls meckert, wenn man die Datei als "positiv" einsendet.

[AHT]

Etwas, was ein Virus ist, müsste ja auch Sachen tun, die ein Virus tut. Ich habe mal bombx11.exe unter anderem mit Anubis etwas unter die Lupe - da tut sich gar nichts.

Bei bombx11.exe finden scheinbar alle Scanner die Virensignatur in der Runtime - kein einziger alleine im angehängten Profancode.

Mir sieht das so aus, als würde der ein oder andere XProfaner wirklich Viren schreiben (unter anderem wohl mit XProfan 8, 10 und 11) - da die Runtime aber bei vielen Programmen gleich ist und auch viele Codes getauscht werden, halten das die Scanner scheinbar nicht immer auseinander.
Bei einem Programm, das du hier hochgeladen hast, scheint das eine Fehldeutung des Virenlabors zu sein, da das Ding etwas tut, was man innerhalb einer Sandbox falsch deuten kann. Habe das aber noch nicht weiter ausgetestet.

Wie gesagt, ich schau mir die anderen Sachen noch etwas genauer an.

[AHT]

Ich bräuchte zum Testen mal eine original Runtime von XProfan 11. Die Runtime muss eine bestimmte Versionsnummer haben. Vielleicht kann der ein oder andere mal in seiner Kiste kramen.
Wer noch eine hat, einmal per PM melden.

PS: 10.0a könnte ich auch gebrauchen.