CreateMutex

[Frabbing]

Zitat:

Zitat von p. specht

Gut: Daß Faltungen erhalten bleiben.
Schlecht: Daß sie nach Neuladen nicht mehr aufgehen...
Nicht so gut: Daß beim zuklicken zu lange Zeit nix passiert...
Versucht sich das Ding bei deiner Update-Seite abzumelden?
Auch nicht so gut: Die Trojanermeldung lässt sich nun gar nicht mehr abstellen... Ich steig zurück auf die Vorversion - dafür aber Danke!
Gruss

Mit der Faltung gab es in einer Version Probleme, weil ich da Änderungen am Lexer vorgenommen hatte, und eine Kleinigkeit nicht beachtet hatte. Ist aber behoben, ich hab hier keinerlei Probleme mehr.

Nein, keine Abmeldung bei der Update-Seite.

Für die Trojaner-Falschwarnung kann ich nichts! Eine Rückmail von Avira von gestern besagt:

Zitat:

The file 'xpeuptodate.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Crypt.XPACK.Gen3. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.This file is detected by a special detection routine from the engine module.

Dann sind noch einige Analyse-Links dabei, die aber alle ins Leere laufen.

Die halten die Datei tatsächlich für Malware, was sie definitiv nicht ist, wie ja auch über 90 Prozent der Antiviren-Programme richtig erkennen. Soll jeder selber entscheiden, wie kompetent das ist...

Meiner Meinung nach kann fast jeder Laie mit einem Disassembler einen so kleinen Code untersuchen und erkennen, dass da nichts Bedrohliches ist.
Hab keine Problerme damit, den Code hier zu posten und man braucht wirklich kein Asm-Fachmann zu sein um zu sehen, dass die benutze API (und nur die wird fast ausschliesslich benutzt) harmlos ist:

Code:

start:

  invoke RtlZeroMemory,addr para1, 510
  invoke RtlZeroMemory,addr para2, 510
  invoke RtlZeroMemory,addr para3, 510
  invoke RtlZeroMemory,addr buffer, 1020

  invoke GetCL,1, addr para1
  invoke ReadFileQuick,addr para1,addr buffer,0,1024

  ;
  ; para1 = Verzeichnis der entzippten Dateien
  ; para2 = Zielverzeichnis

  invoke GetCL,1, addr para1
  .if eax == 1
    invoke GetCL,2, addr para2
    .if eax == 1
      invoke GetCL,3, addr para3
      .if eax == 1
        mov buffer,0

        mov buffer,0
        invoke lstrcat,addr buffer,addr para1
        invoke lstrcat,addr buffer,addr self
        invoke DeleteFile,addr buffer

        invoke CreateMutex, 0, 1, addr rz2
        invoke WaitForSingleObject, eax, INFINITE

        invoke lstrcat, addr para1, addr asterix
        lea ebx,para1
        lea edx,para2
        mov ecx,0
        schleife:
        mov al,[ebx]
        .if al==0
          mov [ebx+1],al
        .endif
        mov [ebx],al
        inc ebx
        mov al,[edx]
        .if al==0
          mov [edx+1],al
        .endif
        mov [edx],al
        inc edx
        inc ecx
        cmp ecx,254
        jne schleife

        invoke RtlZeroMemory,addr shfos, sizeof shfos
        mov shfos.hwnd, 0
        mov shfos.wFunc, FO_COPY
        lea eax,para1
        mov shfos.pFrom, eax
        lea eax,para2
        mov shfos.pTo, eax
        mov shfos.fFlags, FOF_NOCONFIRMATION or FOF_NOCONFIRMMKDIR or FOF_SILENT or FOF_NOERRORUI
        mov shfos.fAnyOperationsAborted, FALSE
        mov shfos.hNameMappings, 0
        mov shfos.lpszProgressTitle, 0
        invoke SHFileOperation, addr shfos

        mov buffer,0
        invoke lstrcat,addr buffer,addr anfuehr
        invoke lstrcat,addr buffer,addr para3
        invoke lstrcat,addr buffer,addr anfuehr
        invoke CreateProcess,0,addr buffer,0,0,0,DETACHED_PROCESS,0,0,offset startinfo, offset processinfo
      .endif
    .endif
  .endif

  invoke ExitProcess,0

end start

GetCL() ist eine Proc, um die übergebenen Parameter zu parsen. Die Proc ReadFileQuick() liest die Textdatei mit noch mehr übergebenen Parametern ein, weil die nicht alle in einen Übergabestring passen (Limit ist 283 Zeichen).
Dann wird gewartet, bis der Editor sich beendet hat, die neuen Update-Dateien zurück kopiert und der Editor schliesslich wieder gestartet. Hui, was für ein Hexenwerk!

[Bangkok]

Hallo Frank,

wenn die das für Malware halten wird es nie gelöst werden. Ich würde folgendes machen, was ich ebenfalls schon getan habe um kleine Profanprogramme zu bekommen. Nimm eine Runtime von Profan 5 ohne irgendwelche Resource und packe die. Dann kommt dein Programm auf um die 150 kb. Da du alles mit API machst sollte das kein Problem sein.
Ich denke das ist der einzige Weg um das Problem zu lösen.

[Frabbing]

Das PPF-Malware-TEAM hier hat gute Kontakte zu AVIRA und mir einen Direktkontakt vermittelt. Das probiere ich jetzt mal.

[Frabbing]

Ok, hab aus Neugierde mal bestimmte API in der Datei auskommentiert und dann die Exe wieder bei VirusTotal untersuchen lassen und bin der Sache auf die Spur gekommen.
Auslöser ist die API CreateMutex. Damit überprüfe ich, ob die Editor-Exe schon beendet wurde und der Kopiervorgang starten kann. Bau ich den aus, bemängelt plötzlich kein Antivirenprogramm die Exe mehr (Avira mal außer Acht gelassen, weil die Exe dort schon offiziel als Malware eingestuft wurde). Anscheinend wird die API von Malware oft dazu benutzt zu erkennen, ob bestimmte Programme aktiv sind.

Nächster Test war, CreateMutex nicht wie üblich über die Export-Tabelle aufzurufen, sondern per GetProcAdresse die Adresse zu ermitteln und dann direkt per Call anzuspringen. Und siehe da, alle Antivirenprogramme lassen sich bluffen und haben nichts zu meckern. Für mich also klar, dass die Falschmelder-Antivirenprogramme nur die Exportsprünge untersuchen und bestimmte API damit kathegorisch auszugrenzen, ohne weiter nachzudenken.
Ja, alle bis auf Panda, das bislang keinerlei Falschmeldung produziert hatte. Das meldet jetzt plötzlich mal ganz dezent ein "Suspicious File". Hat also gemerkt, dass die Exe versucht, direkt in eine Dll zu springen, und weiß nicht genau was da vor sich geht.

[Bangkok]

Ich denke CreateMutex wird nur beanstandet wenn damit fremde Programme überwacht werden, oder es sich um Assembler handelt. Ich habe das schon öfter verwendet um einen Doppelstart meines Programmes zu überprüfen. Bisher wurde noch nichts angemeckert.

[Frabbing]

Zitat:

Zitat von Bangkok

Ich denke CreateMutex wird nur beanstandet wenn damit fremde Programme überwacht werden, oder es sich um Assembler handelt. Ich habe das schon öfter verwendet um einen Doppelstart meines Programmes zu überprüfen. Bisher wurde noch nichts angemeckert.

Das ist auf XProfan-Codes alles nicht anwendbar, Dieter. Die werden doch gar nicht nativ ausgeführt. Ich glaube, du hast ein wenig zu viel Vertrauen in AV-Software. Das schafft nichtmal ein Debugger zu 100 Prozent genau zu "sagen", was eine Anwendung gerade macht.

Ein Process, der einen anderen Process aufruft, ist sogesehen auch gar kein fremdes Programm.

[Jac de Lad]

Seltsam, ich verwende CreateMutex in vielen Programmen und habe noch nie Antivirenprobleme damit gehabt.

[Frabbing]

Wieviele native Programme hast du denn damit schon geschrieben? Siehe ein Posting höher von mir.
Kann natürlich auch alles nur Zufall sein. Hatte mal aufgeschrieben, was ich versucht hatte und was mir aufgefallen war.

Klappt das Autoupdate bei dir denn zufriedenstellend? Hab noch nicht ein positives Feedback dazu erhalten.

[Jac de Lad]

Weil ichs noch nicht gemacht habe.

Ich benutze die API natürlich nur in XProfan und nicht nativ. :P Wollte nur darauf hinweisen.