Exe-uri Generate De Un Program Vazute Gresit Ca Infectate Options

[a_catalin]

Buna ziua.
Sunt un programator Delphi.
Printre programele care le-am facut e si acesta de aici: http://forums.mydigitallife.info/threads/2...or-Spoon-Studio
Acolo veti gasi programul (ExeBuilder), sursele cat si explicatii despre ceea ce face.
In esenta ia un exe standard stocat in resurse, il modifica ca sa incarce un anumit exe din programul virtualizat facut cu Spoon Studio respectiv ii adauga iconita si informatii din exe original.
Cam acelasi lucru il fac si alte programe precum VMWare Thinapp.
Diferenta e ca exe-urile facute de VMWare Thinapp nu sunt gasite virusate de BitDefender, precum se vede la VirusTotal:
(IMG:http://thumbnails55.imagebam.com/16611/211057166109027.jpg)
Utilizatorii care au habar ceva de calculatoare evident vor intelege ca "Gen:Trojan.Heur.iK0@rWbCZJfO" = BitDefender presupune ca acel exe are un virus nu ca e sigur de asta.
Pe mine ma ingrijoreaza reactia celor care nu au aceste cunostinte si cred ca e infectat.
Acu, imi dau seama ca acest forum e destinat in general celor care au BitDefender instalat pe calculatorul lor nu pentru cel rulat la VirusTotal dar totusi va cer ajutorul - nu cred ca e corect ca aceste exe-uri sa fie catalogate ca infectate (chiar daca arata "Gen" si "Heur").

Aici aveti exemplu de 2 exe (inainte si dupa modificare): https://rapidshare.com/files/1692803546/Exemple_de_exe.zip
Dar, fiind si dumneavoastra programatori, cred ca veti intelege repede cum functioneaza din sursele acestui program.

Sper sa ma puteti ajuta.
Multumesc anticipat.

O zi placuta in continuare, Catalin

This post has been edited by a_catalin: Dec 24 2011, 07:34 AM

[Christian]

Salut Catalin

Multumim pentru raportare.

Am trimis toate datele la laboratorul nostru si astept un raspuns.

Cand o sa il am, o sa postez aici rezultatele.

Sarbatori fericite.

[Christian]

Buna seara Catalin.

Detectia a fost inalturata si o exceptie generica a fost creata. Daca mai sunt situatii de genul asta pe viitor, te rog sa ne raportezi.

O seara placuta si Sarbatori Fericite.

[a_catalin]

Multumesc.

Sarbatori fericite

[a_catalin]

O mica problema.
Acest fisier e inca aratat virusat: https://rapidshare.com/files/1829410845/problema.zip
Parola la arhiva e "problema".
Cum l-am gasit: eu si cativa prieteni ne gandim sa cumparam licente la un antivirus (ca ne expira ce avem acum) si bineinteles BitDefender e pe primul loc in preferinte. Am descarcat trial-ul si l-am instalat.
Am scanat locatiile cu acele exe si acesta a fost gasit.
A, in acel trial poate ar fi bine sa mute in carantina implicit (ca nu o face decat daca setez) + sa lase totusi utilizatorul sa copie manual inapoi fisierul in acel folder daca dezactiveaza cele 2 module. La mine a trebuit sa restartez calculatorul ca sa-l pot copia inapoi in folder. Pe urma am vazut ca merge si redenumind folderul...


O zi buna, Catalin

[Christian]

Salut Catalin.

Am raportat ca Alarma Falsa fisierul la laboratoarele noastre.

Dupa cum poti vedea mai jos, fisierul este detectat euristic de mai multe motoare.

http://www.virustotal.com/file-scan/report...f693-1325083096

Revin cu un raspuns dupa ce primesc rezultatul.

Multumim.

[a_catalin]

Salut Catalin.

Am raportat ca Alarma Falsa fisierul la laboratoarele noastre.

Dupa cum poti vedea mai jos, fisierul este detectat euristic de mai multe motoare.

http://www.virustotal.com/file-scan/report...f693-1325083096

Revin cu un raspuns dupa ce primesc rezultatul.

Multumim.

Da, stiu de acei antivirusi, am avut un Craciun de cosmar cautand unde sa raportez, raportand, discutand pe mail cu support-ul de la acei antivirusi - si inca tot n-am terminat (IMG:style_emoticons/default/sad.gif)
Macar daca castigam ceva bani cu acest program ca sa se merite dar e freeware (IMG:style_emoticons/default/rolleyes.gif)

This post has been edited by a_catalin: Dec 28 2011, 02:42 PM

[Christian]

Bine ai revenit.

Am inteles.

O sa postez rezultatul de la analiza in curand aici.

Multumim pentru rabdare. O seara placuta.

[Christian]

Salut Catalin

Detectia o sa fie indepartata in cateva update-uri.

Ne cerem scuze pentru situatia cauzata.

O seara placuta.

[a_catalin]

Vad ca dupa 2 zile tot e detectat la VirusTotal ca "Trojan.Generic.7076714" (bineinteles am urcat fisierul manual + am dat sa rescaneze).

[Christian]

Salut Catalin

Am intrebat la laboratoare cand este programat sa fie scos din definitii.

Revin cu un raspuns in cel mai scurt timp posibil.

Multumim pentru intelegere.

[Christian]

Am revenit Catalin

Fisierul este curat si a fost programat sa fie scos la update in cateva ore.

Initial a fost programat atunci cand am anuntat prima data, dar s-a schimbat data din cauza unor update-uri la motoarele noastre.

Multumim pentru intelegere.

La Multi Ani!

[a_catalin]

Am revenit Catalin

Fisierul este curat si a fost programat sa fie scos la update in cateva ore.

Initial a fost programat atunci cand am anuntat prima data, dar s-a schimbat data din cauza unor update-uri la motoarele noastre.

Multumim pentru intelegere.

La Multi Ani!

Am inteles, multumesc.
Oricum azi am mai gasit altele care fac aproximativ aceeasi problema (Trojan.Generic.7085261) dar nu mai conteaza...

La multi ani

[Christian]

Salut Catalin

Te rog nu ezita sa ne trimiti fisiere. Ideal ar fi sa ne trimiti / spui cu ce generezi fisierele ca sa vedem ce se poate face. Programul o sa fie folosit doar pentru analiza in laborator in vedea obtinerii unor excluderi generale.

Multumim. O zi buna.

[a_catalin]

Salut Catalin

Te rog nu ezita sa ne trimiti fisiere. Ideal ar fi sa ne trimiti / spui cu ce generezi fisierele ca sa vedem ce se poate face. Programul o sa fie folosit doar pentru analiza in laborator in vedea obtinerii unor excluderi generale.

Multumim. O zi buna.

Acestea sunt mai multe fisiere exe din care o parte sunt vazute infectate: https://rapidshare.com/files/3223911166/FalsPozitive.zip
Parola la arhiva e "test".
Sursele programului care le genereaza: https://rapidshare.com/files/1926978287/Surse_ExeBuilder.zip
Surse la fisierele exe folosite ca "template": https://rapidshare.com/files/1856506021/Sur...xe_template.zip
Daca doriti va pot trimie pe MP un link catre un program virtualizat care utilizeaza aceste tipuri de fisiere, ca sa va faceti o idee de ce sunt generate in acest mod.

Un angajat de la alt support a zis asta:
"Ah Delphi uses .itext for its entrypoint section.
Guess not many people create Delphi executables that look like documents (VMware's Thinapp is probably not written in Delphi).
I'll update the detection later today to consider .itext a good section name."
Poate va ajuta...

Multumesc pentru ajutor.
O zi buna.

[Christian]

Salut

Da, astept acel program virtualizat(sper ca nu e VMware Thinapp?!). O sa trimit toate datele pe tichetul deja existent in sistem de la fisierele celelalte ca sa fie toate datele la un loc.

S-ar putea ca de data asta sa dureze putin mai mult analiza. Colegii de la laborator cred ca trebuie sa faca schimbari mai mari in motor pentru excluderi.

Multumim pentru suport si sper sa rezolvam cat mai repede situatia curenta.

O dupa amiaza placuta.

[Christian]

Salut (IMG:style_emoticons/default/smile.gif)

Am trimis toate datele la laboratoare.

Revin cand am date noi.

Multumim.

[a_catalin]

Salut (IMG:style_emoticons/default/smile.gif)

Am trimis toate datele la laboratoare.

Revin cand am date noi.

Multumim.

Se pare ca niciunul nu mai e detectat ca fals pozitiv (IMG:style_emoticons/default/smile.gif)
Multumesc mult pentru ajutor.

O zi placuta in continuare, Catalin

[Christian]

Salut Catalin

Inca nu am primit un mesaj de la laboratoare, dar e posibil sa fi intrat prin update unele exceptii.

Revin cu rezultate.

O zi placuta.

[Christian]

Salut Catalin

Cei de la laboratoare spun ca au lucrat la exceptii si nu ar mai trebui sa fie detectate in viitor.

Daca mai e ceva, te rog revino aici.

Multumim.