een trojan tijdens het debuggen

[hanonymouss]

Hallo allemaal,

als ik een lege form met als formborderstyle(none) en als windowstate(maximized)
en ik debug hem nadien dan krijg ik een melding van avg dat er een trojan in mijn
exe bestand zit terwijl norton niets vind?

als ik een lege form met als formborderstyle(none) en als windowstate(maximized) en een button, dan zegt hij niets, als ik de button weer wegdoe en ik debug hem dan krij ik weer de melding.

Heb ik misschien te maken met een false positive?


foto:

 

[hanonymouss]

Ik heb 2 bestanden geupload eentje dat zogezegd geinfecteerd is en een andere met een button

1) zogezegd geinfecteerd

http://dl.dropbox.com/u/38016137/Fotos/test.zip

1) niet geincfeceerdhttp://dl.dropbox.com/u/38016137/Fotos/virusvrije%20bestand.zip

 

[Ragdoll]

Hallo hanonymouss,

Ja dat is een probleem die je nu eenmaal heb met dat soort dingen als malware scanners.
Je vertrouwd nu hierbij AGV niet helemaal en je raadpleeg een tweede om te kijken wat die van zegt, en dat is dan nu de mening van Norton.
En wil daarmee natuurlijk zeggen dat je dat al vast goed doet.:thumb:

Maar waarom zou je niet even naar de mening van 36 verschillende scanners kijken.
Ik heb jou zogezegd geinfecteerd bestand upgeload naar VirScan.org
Heb de naam veranderd in TestFile1.exe om niet zo'n lange bestandnaam te hebben.
De bedoeling hiervan is natuurlijk om zo voor je zelf een betere mening er over te hebben of iets goed of iets verkeerd is.

Kan nog wel een heel verhaal gaan tiepen hoor maar meschien dat dit al zo genoeg voor je is.

 

[hanonymouss]

Ik begrijp echt niet waarom het bestand besmet is. Dat is een gewone lege form zonder code. Ik heb da bij c# gedaan en daar krijg ik geen melding.

Eenmaal dat trojan verwijderd is en klik op weer op debuggen dan krijg ik weer de melding?

Wat kan ik tegen doen ?

Help

 

[Ragdoll]

Dat is helemaal verloren daar niks meer tegen doen.:d:d

Maar ik bedoel daarmee natuurlijk dat je dat met een korreltje zout moet nemen.
Dat daar geen paard van trojan in kan zitten en zelfs nog niet eens een kleine jonge ponny van madurodam is je ergens natuurlijk ook wel duidelijk.
Maargoed het is natuurlijk wel iets vreemds als je daar zomaar ineens mee geconfronteerd word terwijl je meschien dan ook nog zo'n goed vertrouwen heb in een malware scanner die je heb.

Ik kwam ooit eens een sciptkiddie tegen die zomaar ineens door een ingeving een geniaal idee had gekregen.
Wat hij dan zo kon vertelden dat als je in een EXE bestand altijd de initialen "MZ" een keer moet gebruiken die staan voor de ontwerper van het bestand Mark Zbikowski.
Wat maar één keer voorkomt dan kan in een EXE niet 2 voorkomen.
Als dat wel zo is dan zijn er ook 2 EXE filles die dan in 1 bestand zitten en dan zou het wel eens meschien zo kunnen zijn dat de ene EXE met een andere EXE geinfecteerd wat dan meschien net zo goed een virus of een trojan horse kan zijn.
Daar is hij mee aan de gang gegaan en had een tooltje daarvoor gemaakt de naam jumper.
Die dus als het ware een EXE uit een andere EXE kon laten jumpen waarmee je dus ook een EXE bestand kon desinfecteren.

Ik vond het een mooi tooltje waar veel plezier van had maar wat ze toen nog AV scanners noemde na een lange tijd daarna dachten daar heel anders over.
En hadden de grootste hekel aan dat tooltje dus op een gegeven moment ging ik eens met die zo genaamde security gasten van zo'n AV bedrijf een in discussie wat dat nou weer eens voor de groote onzin was en waarom je dat buiten de AV scanner kon houden.
Het komt er dus hier op neer dat volgens die mensen het tooltje inderdaad niks verkeerd doet en ook niet schadelijk is maar omdat het iets is wat door hackers wordt gebruikt en alleen door hackers is gemaakt is op zich zelf alleen al genoeg om het als iets wat verkeerd is te zien.

En in dat geval zat hem dat dus in de software die er is gebruikt om het tooltje in elkaar te zetten.
Maar ze reageren ook op een bepaalde handeling van software die ze bij een gewoone normale computer gebruker niet verwachten.

Dus zoiets zal er bij jou wel aan de hand zijn het is of de debugger of het is en dat denk ik iets meer door dat de debugger iets doet wat ze als bedreigend hebben aangemerkt.

Dit komt bijvoorbeeld ook veel vaker voor als je een optie van een malware scanner gebruikt die de meeste malware scanners de heuristic scanner is.
Sophos gebruikt bij hun scanners een iets andere optie dan een heuristic scan maar ook hierbij zal dat vaker voorkomen dan met alleen de normale scan methode van de scanner.

Nou is het dus toch nog een heel verhaal geworden zeg.
Maargoed als je het daarmee meschien wat meer door gaat krijgen dat het niet gaat dat er iets tegen kan doen maar meer dat je daardoor er iets mee kan doen door even naar je instelling van je scanner te kijken en die aan te passen warbij je natuurlijk wel moet opletten dat je daardoor je scanner niet te wel gaat verzwakken als je die instelling voor je persoonlijk van een beveilings belang is voor als iemand zou zijn die normaal altijd veel risico loopt.
En ben natuurlijk dan blij als het hele verhaal je toch kan helpen.

Succes :thumb:

 

[hanonymouss]

1. Het bestand is nog geen 12 kb. Het gaat mij dan ook verbazen als er een trojan in zou zitten.

2. Dit gebeurd alleen als ik een blanco form heb met als bordelstyle (none) en als windowstate(maximized). Als ik bv: een button toevoeg of een label, of eender wat component, dan krijg ik deze melding niet.

3. Uit die test blijkt dat alleen avg het virus herkent met hetzelfde resultaat as bij mij.

 

[Ragdoll]

Nou niet de zelfde fout gaan maken als zo'n scanner natuurlijk, want AGV heeft een trojan gevonden waar ze ook eens de term Generic voor gebruiken, (ooit was er een tijd in deze wereld waar je iets als generic onder de kenmerken van een catagorie trojans kon onderbrengen, en dat niet andersom door alles maar in zijn betekenis en waardes gaan zitten te verkrachten)
Kijk dat zijn zo van dingen die een probleem veroorzaken die uiteigenlijk nog niet eens te overzien is.
Maar om dat zo kort en maar zo duidelijk mogelijk te houden, een trojan dat zou niet kunnen en een virus kan wel.
En dat kan dan eventueel worden onderbouwd door zo iets als b.v deze Virus:Win32/Induc.A

 

[hanonymouss]

Waarom gebeurd dit alleen bij een blanco form? (none), (maximized)?

En waarom komt dit virus altijd terug ?

 

[Ragdoll]

Ik ben nog steeds niet overtuigd dat AGV het bij jou goed heeft en je inderdaad een infectie heb wat daarmee te heeft.
Maar ja de vragen die je daardoor heb gekregen hebben wel een antwoord nodig.
Alleen krijg je al die antwoorden niet zomaar daar moet je even wat voor doen.

Het tooltje Process Monitor kan je daarbij behulpzaam zijn.
Om daarmee in real time de processen van AGV in de gaten te houden en te gaan kijken door welke andere processen als je weer op debuggen klikt het veroorzaakt wordt.

Voor het antwoord op je vraag daarna, daar had ik je nou net die link in mijn post daarvoor gegeven.
Om je daar dus ook een idee over te geven hoe zoiets nou in zo zijn werk zou kunnen gaan, kijk maar eens goed wat er staat.

Spreads via…
File infection
Virus:Win32/Induc.A copies source\rtl\sys\SysConst.pas (Delphi library source file), in the found Delphi root directory to lib\SysConst.pas. Then it appends malicious source code to the copied file.

Virus:Win32/Induc.A renames the original Delphi library file lib\SysConst.dcu to lib\SysConst.bak and then invokes the Delphi compiler (bin\dcc32.exe) to compile a new copy of SysConst.dcu with the replaced copy (lib\sysConst.pas) of the source file. Finally, Virus:Win32/Induc.A deletes the file lib\SysConst.pas and sets the new compiled lib\Sysconst.dcu to the same date/time as the original copy.

After a computer is infected by Virus:Win32/Induc.A, ALL files compiled/linked by the Delphi compiler on that computer will be infected.

 

[hanonymouss]

Ik heb dat ook nagezien, volgens mij heeft die virus daar niets mee te maken.

Ik heb hier een kleine video voorbeeld:

http://dl.dropbox.com/u/38016137/Fotos/voorbeeld.avi