Index
Zurück zur Übersicht
Einleitung
zurück zum Index
Es sieht immer schlecht aus, wenn ein Virenscanner was in der eigenen Software findet.
Daher hab ich mich ausgiebiger mit den letzten Virusfunden beschäftigt.
Ein Virus ist letztendlich ja nichts weiter als ein Programm. Um Viren, Trojaner und Würmer zu finden, werden unter anderem Bytesequenzen nach bestimmten Mustern durchsucht.
Das kann einerseits bedeuten, das Dinge gefunden werden, die nicht da sind (wie bei mir), oder Dinge nicht gefunden werden, obwohl sie da sind.
Darum muss ein Virenscanner auch immer möglichst aktuell gehalten werden.
Beispielsweise gibt es Programme wie Teamviewer oder VNC, die zur Fernsteuerung von Computern sehr nützlich sind.
Aber es gibt eben auch Trojaner, die die gleiche Funktionalität haben, sie aber ohne Wissen des PC-Nutzers anderen, unbekannten zur Verfügung stellen.
Ein Virenscanner kann eine gewisse Funktionalität erkennen, aber nicht (oder nur teilweise), was dahinter steckt.
Analyse
zurück zum Index
Es ist bei einigen meiner letzten Softwareversionen vorgekommen, das die hochgeladenen Datein gelöscht oder geblockt wurden.
(Bei Google drive geblockt und bei meiner Webseite vom Anbieter gelöscht...keiner von beiden hielt es für nötig, mich zu Informieren)
Zum einen wirft es natürlich ein schlechtes Licht auf mich, als würde ich Schadsoftware verbreiten wollen.
Zum anderen ist es schlecht, wenn sich mal jemand selbst vom Gegenteil überzeugen will, es aber nicht kann, weil er an angebotene Datein nicht ran kommt.
Darum habe ich mich dazu entschlossen so lange Funktionen von meinem Programm zu entfernen, bis ich weiß, welche Funktionen zu Virenfunden führen.
Hier ist ein OnlineScanner mit scheinbar sehr ausgeprägter Erkennung: https://www.virustotal.com/de/
Da kann man hochladen was man möchte und scannen lassen.
Ab sofort werden neue Versionen vor der Veröffentlichung geprüft. Leider ist damit nicht sicher, das mit einem der nächsten Virenscan updates nicht doch irgendwelche "false positives" erzeugt werden.
Reduziertes Programm
Reduziertes Programm
Bei einer Kopie der letzten Version (1.4.4.2) hab ich begonnen. Ich habe also immer weiter Inhalte entfernt, aber die Virenmeldungen blieben, bis letztendlich nichts mehr zu entferen war. Das letzte Programm machte nur noch ein Fenster auf... das wars.
Eigentlich hoffte ich eine Funktion zu entdecken, die Probleme macht. Einerseits könnte ich versuchen es so abzuändern, dass es nicht mehr als Virus/Trojaner oder sonst was erkannt wird.
Alternativ kann ich eine Version ohne die Funktion anbieten... eine "Clean" Version mit weniger Funktionalität und eine normale, wo aber der eine oder andere Scanner Falschfunde meldet.
Icon als Virus
Icon als Virus
Nachdem das Programm schon bis auf das Skelett runter war, hab ich mir die verbliebenden Datein angesehen.
In der Resourcedatei hab ich letztendlich erkannt, das das geladene Icon dort als Bytesequenz hinterlegt ist.
Diese führte zu folgenden Funden:
- HEUR:Trojan.Win32.Generic
- Gen:Variant.Strictor.131700
- malicious (moderate confidence)
- Trojan.Strictor.D20274
- Troj.W32.Generic!c
Ich vermute, das mein Icon zufälligerweise eine Bytesequenz hervorrief, die mit denen von gewissen Trojanern übereinstimmte.
Letztendlich ist es aber nur ein Bild... eine Sammlung an Bytes die in eine Farbinformation umgerrechnet werden, welche dann auf dem Bildschirm wieder zum Bild werden.
Man könnte natürlich auch ein Schadprogramm erstellen und es beim speichern in ein Bild umrechnen, das man zur Laufzeit dann nicht nur anzeigt, sondern über eine Unterroutine wieder ausführt. Letztendlich sind Bilder, Videos und Programme nur Daten, die irgendwie eingelesen und angewendet werden.
Ich hatte wohl einfach nur Pech. Die nächste Version wird ein neues Icon bekommen, ich hoffe dann bin ich die Probleme los.
Zuletzt geändert am: Mai 07 2017 um 9:58 PM
Zurück zur Übersicht
