VirusError

#Einleitung

Es sieht immer schlecht aus, wenn ein Virenscanner was in der eigenen Software findet.
Daher hab ich mich ausgiebiger mit den letzten Virusfunden beschäftigt.

Ein Virus ist letztendlich ja nichts weiter als ein Programm. Um Viren, Trojaner und Würmer zu finden, werden unter anderem Bytesequenzen nach bestimmten Mustern durchsucht.
Das kann einerseits bedeuten, das Dinge gefunden werden, die nicht da sind (wie bei mir), oder Dinge nicht gefunden werden, obwohl sie da sind.
Darum muss ein Virenscanner auch immer möglichst aktuell gehalten werden.

Beispielsweise gibt es Programme wie Teamviewer oder VNC, die zur Fernsteuerung von Computern sehr nützlich sind.
Aber es gibt eben auch Trojaner, die die gleiche Funktionalität haben, sie aber ohne Wissen des PC-Nutzers anderen, unbekannten zur Verfügung stellen.
Ein Virenscanner kann eine gewisse Funktionalität erkennen, aber nicht (oder nur teilweise), was dahinter steckt.

#Analyse

  • Es ist bei einigen meiner letzten Softwareversionen vorgekommen, das die hochgeladenen Datein gelöscht oder geblockt wurden.
  • Bei Google drive geblockt und bei meiner Webseite vom Anbieter gelöscht

keiner von beiden hielt es für nötig, mich zu Informieren

Zum einen wirft es natürlich ein schlechtes Licht auf mich, als würde ich Schadsoftware verbreiten wollen.
Zum anderen ist es schlecht, wenn sich mal jemand selbst vom Gegenteil überzeugen will, es aber nicht kann, weil er an angebotene Datein nicht ran kommt.
Darum habe ich mich dazu entschlossen so lange Funktionen von meinem Programm zu entfernen, bis ich weiß, welche Funktionen zu Virenfunden führen.

Hier ist ein OnlineScanner mit scheinbar sehr ausgeprägter Erkennung: https://www.virustotal.com/de/ Da kann man hochladen was man möchte und scannen lassen.
Ab sofort werden neue Versionen vor der Veröffentlichung geprüft. Leider ist damit nicht sicher, das mit einem der nächsten Virenscan updates nicht doch irgendwelche "false positives" erzeugt werden.

#Reduziertes Programm

Bei einer Kopie der letzten Version (1.4.4.2) hab ich begonnen. Ich habe also immer weiter Inhalte entfernt, aber die Virenmeldungen blieben, bis letztendlich nichts mehr zu entferen war. Das letzte Programm machte nur noch ein Fenster auf... das wars.

Eigentlich hoffte ich eine Funktion zu entdecken, die Probleme macht. Einerseits könnte ich versuchen es so abzuändern, dass es nicht mehr als Virus/Trojaner oder sonst was erkannt wird.

Alternativ kann ich eine Version ohne die Funktion anbieten... eine "Clean" Version mit weniger Funktionalität und eine normale, wo aber der eine oder andere Scanner Falschfunde meldet.

#Icon als Virus

Nachdem das Programm schon bis auf das Skelett runter war, hab ich mir die verbliebenden Datein angesehen.
In der Resourcedatei hab ich letztendlich erkannt, das das geladene Icon dort als Bytesequenz hinterlegt ist. Diese führte zu folgenden Funden:

  • HEUR:Trojan.Win32.Generic
  • Gen:Variant.Strictor.131700
  • malicious (moderate confidence)
  • Trojan.Strictor.D20274
  • Troj.W32.Generic!c

Ich vermute, das mein Icon zufälligerweise eine Bytesequenz hervorrief, die mit denen von gewissen Trojanern übereinstimmte.
Letztendlich ist es aber nur ein Bild... eine Sammlung an Bytes die in eine Farbinformation umgerrechnet werden, welche dann auf dem Bildschirm wieder zum Bild werden.

Dieses Programm basiert auf dem Thermoviewer und ist nicht nur zum Betrachten und umwandeln von Bildern, sondern auch für den Betrieb von einigen Wärmebildkameras.
Daher wurden auch weitere Messmethoden wie der Plot integriert.

Ich hatte wohl einfach nur Pech. Die nächste Version wird ein neues Icon bekommen, ich hoffe dann bin ich die Probleme los.


© by joe-c, 2023 - 2024. All Rights Reserved. Built with Typemill.