Page 1 of 2 1 2 LastLast
Results 1 to 15 of 22

Thread: Delphi 7 virus

  1. #1
    Win32.Trojan.Heur.Herby
    Join Date
    Dec 2003
    Location
    Nuenen of all places
    Posts
    289

    Angry Delphi 7 virus

    Hoi

    Ik gebruik al jaren Delphi 7 maar kreeg een opmerking op een executable van mij die besmet zou zijn.
    Getest op virustotal.com en dit blijkt inderdaad het geval.

    Zouden jullie ook eens een test willen uitvoeren op virustotal.com want ik twijfel of het wel echt is.
    Indien iemand de exe wil debuggen dan kan ik je deze toesturen.

    Ik complieer de volgende code (kleiner kan het volgens mij niet) (compiled 13824 bytes)
    Code:
    program AppNoConsole;
    
    begin
    end.
    • Ik heb alle DCU's weggegooid en de RTL volledig opnieuw gecomplieerd, helaas geen succes.

    • Delphi verwijderd, mappen weggegooid, delphi opnieuw geinstalleerd. De install files komen van mijn werkgever van een originele CD.

    • McAfee full scan = clean.

    • Malware Bytes geinstalleerd en een FULL scan = clean.



    Nu is het wel zo dat de virusscanners die iets roepen wel allemaal wat minder bekend zijn (althans bij mij), maar 6 van de 56, zijn er wat mij betreft 6 teveel.

    https://virustotal.com/en/file/8ac84...is/1477659642/

    HTML Code:
    SHA256:	8ac84a6a9d2fe6caf02aa9f64351ecd3ff14e57a05253a82971db7ff63d8c7fd
    File name:	AppNoConsole.exe
    Detection ratio:	6 / 56
    Analysis date:	2016-10-28 13:00:42 UTC ( 1 minute ago )
    
    Bkav	W32.GenericBuzLnrB.Trojan	20161028
    Comodo	TrojWare.Win32.TrojanDownloader.CS.~0	20161028
    Cyren	W32/Emudbot.A.gen!Eldorado	20161028
    F-Prot	W32/Emudbot.A.gen!Eldorado	20161028
    Jiangmin	TrojanDownloader.Small.adux	20161028
    Qihoo-360	HEUR/QVM05.1.0000.Malware.Gen	20161028
    ALYac		20161028
    AVG		20161028
    AVware		20161028
    Ad-Aware		20161028
    AegisLab		20161028
    AhnLab-V3		20161027
    Alibaba		20161028
    Antiy-AVL		20161028
    Arcabit		20161028
    Avast		20161028
    Avira (no cloud)		20161028
    Baidu		20161028
    BitDefender		20161028
    CAT-QuickHeal		20161028
    CMC		20161028
    ClamAV		20161027
    CrowdStrike Falcon (ML)		20161024
    DrWeb		20161028
    ESET-NOD32		20161028
    Emsisoft		20161028
    F-Secure		20161028
    Fortinet		20161028
    GData		20161028
    Ikarus		20161028
    Invincea		20161018
    K7AntiVirus		20161028
    K7GW		20161028
    Kaspersky		20161028
    Kingsoft		20161028
    Malwarebytes		20161028
    McAfee		20161028
    McAfee-GW-Edition		20161028
    eScan		20161028
    Microsoft		20161028
    NANO-Antivirus		20161028
    Panda		20161028
    Rising		20161028
    SUPERAntiSpyware		20161028
    Sophos		20161028
    Symantec		20161028
    Tencent		20161028
    TheHacker		20161028
    TrendMicro		20161028
    TrendMicro-HouseCall		20161028
    VBA32		20161028
    VIPRE		20161028
    ViRobot		20161028
    Yandex		20161027
    Zillya		20161027
    Zoner		20161028
    nProtect		20161028
    Alvast bedankt
    Herby
    Last edited by Herby; 28-Oct-16 at 16:43.

  2. #2
    Win32.Trojan.Heur.Herby
    Join Date
    Dec 2003
    Location
    Nuenen of all places
    Posts
    289
    Als je PEstudio hierop los laat (die checked ook tegen virustotal) dan worden de volgende zaken gehighlight.

    Click image for larger version. 

Name:	Capture1.JPG 
Views:	205 
Size:	72.8 KB 
ID:	7405
    Click image for larger version. 

Name:	Capture2.JPG 
Views:	153 
Size:	87.7 KB 
ID:	7406
    Click image for larger version. 

Name:	Capture3.JPG 
Views:	154 
Size:	98.3 KB 
ID:	7407
    Click image for larger version. 

Name:	Capture4.JPG 
Views:	176 
Size:	95.2 KB 
ID:	7408

  3. #3
    6 van de 56 is inderdaad wel wat veel.
    Bij een kale console in Delphi 10.1 Berlin krijg ik die van Qihoo-360 ook dus die kun je wel negeren:
    https://virustotal.com/en/file/01094...is/1477662732/

    Maar die andere krijg ik niet.
    Ik heb geen Delphi 7 meer draaien.
    Hij checkt er bij mij overigens maar 55.

    Heb je trouwens al een trial version van F-Prot of Comodo op je eigen computer geprobeerd?
    Misschien ben je wel geïnfecteerd.

  4. #4
    Win32.Trojan.Heur.Herby
    Join Date
    Dec 2003
    Location
    Nuenen of all places
    Posts
    289
    nee dat heb ik niet gedaan, heb mcafee draaien (zakelijk) en nu ook malwarebytes.
    heb andere online sites ook even gecheck en fprot + clamav mekkeren daar ook, daar heb ik maar even een support call bij aangemaakt (online melden eventuele false positive).

    bij jouw test stond er één van de scanners op "Antivirus engine does not scan this file type"

    Hoe dan ook, het lijken mij "false positives", zeker omdat mcafee/symantec/kaspersky etc niet reageren. Zeker Kaspersky loopt bijna altijd voorop qua scans.

    Maar goed, wil zeker weten dat ik niet iemand opzadel met een virus.
    En ben ik dan toch besmet, heel simpel..... --> Windows 10 USB stick erin en een verse install

    Gr
    Herby

  5. #5
    mov rax,marcov; push rax marcov's Avatar
    Join Date
    Apr 2004
    Location
    Ehv, Nl
    Posts
    10,357
    pestudio lijkt oudere identifiers te blacklisten, maar geen van alle is echt overduidelijk virus. Tsja, je hebt nu eenmaal een oude delphi versie.

    Zoals zoveel in antivirus, is antivirus beter in regeltjes volgen detecteren dan daadwerkelijk malware te detecteren. Als je niet voor ons bent, ben je tegen ons. En oude development tools gebruiken wordt niet als "voor" genomen.

  6. #6
    Win32.Trojan.Heur.Herby
    Join Date
    Dec 2003
    Location
    Nuenen of all places
    Posts
    289
    Daar heb je inderdaad wel een punt, het is inderdaad een oldie, maar het werkt nog steeds en heb nog steeds geen noodzaak gehad om te upgraden.
    Ik ben inderdaad niet voor de antivirus makers, maar om dan maar meteen te zeggen dat D7 en lager potentieel gevaarlijk is vind ik dan wat cru.

    Ik zal er eens over nadenken..... :-)

  7. #7
    mov rax,marcov; push rax marcov's Avatar
    Join Date
    Apr 2004
    Location
    Ehv, Nl
    Posts
    10,357
    Alles wat niet op het absolute nulpunt is, is potentieel gevaarlijk (en daarnaast is blootstelling aan het absolute nulpunt ook niet prettig)

    Het gaat dus om orde groottes. Je kan ook met de nieuwste Visual Studio zoiets krijgen, als je de verkeerde api functie gebruikt die toevallig net ook door een trojan gebruikt is.

    Als je klanten echter extreem gevoelig zijn voor random antivirus gemekker, is het gebruik van nieuwere of populairdere tools een mogelijke manier om een en ander te vermijden.

    Of anders moet je gewoon de bewijslast wat opdraaien. Niet voor elk ding reageren, en alleen voor echte signatures, niet voor heuristieken (die de bulk van alle false positives opleveren)

  8. #8
    Win32.Trojan.Heur.Herby
    Join Date
    Dec 2003
    Location
    Nuenen of all places
    Posts
    289
    je hebt ook gelijk, het is oud en aan vervanging toe. Het hele issue is dat ik nog nooit zoiets meegemaakt heb. Ik programeer al sinds turbo pascal, daarna met turbo vision en toen naar Delphi. Laatste jaren doe ik niet zoveel meer alleen af en toe wat onderhouden.

    Ik ben dan ook benieuwd wat het effect zal zijn als ik "oude meuk" ga omzetten naar XE, zal vast de nodige verassingen met zich meebrengen.

  9. #9

  10. #10
    Win32.Trojan.Heur.Herby
    Join Date
    Dec 2003
    Location
    Nuenen of all places
    Posts
    289
    Ja dat Virus herinner ik me dan ook nog wel (Win32.Induc) die de SysConst.pas aanpaste, maar dat is hier niet het geval. Ik heb de complete lib map hernoemd en nieuwe RTL DCU's gemaakt maar dat lost niets op.
    Ik zie ook in de debug binary niet geks, maar zoals Marco al vertelde, het zou zo maar kunnen dat de antivirus boys gewoon een oude compiler als BAD markeren, niet dat dat het daadwerkelijk besmet is.
    6 van de 56 scanners zeuren erover, en dat zijn er wat mij betreft 6 teveel.

  11. #11
    ik heb hetzelfde voor met bepaalde functies in programma's die ik schrijf in Delphi 2/3 of Delphi 7. Dat zijn vooral kleine updaters, die checken of er een nieuwe versie beschikbaar is van mijn programma, downloaden deze en installeren die dan. Sommige anti-virus scanners geven een false-positive omdat ze denken dat het een virus is.. Denk omdat oudere delphi's veel gebruikt zijn voor trojans/droppers/spyware etc de av mensen de meeste programmas gecompileerd met die compilers als virus bestempelen...

  12. #12
    mov rax,marcov; push rax marcov's Avatar
    Join Date
    Apr 2004
    Location
    Ehv, Nl
    Posts
    10,357
    Quote Originally Posted by Herby View Post
    het zou zo maar kunnen dat de antivirus boys gewoon een oude compiler als BAD markeren, niet dat dat het daadwerkelijk besmet is.
    Tis niet zo direct. Een oudere RTL gebruikt oudere windows calls is per windows Vista, dus doet dingen die vanaf Vista in onbruik zijn geraakt. Denk ook aan oude indy versies die in het verleden veel voor trojans e.d. zijn gebruikt. Daarnaast zijn er ook minder gebruikers om evt false positives de kop in te drukken dan b.v. een recente VS runtime.

    Wat XE migratie betreft, dat hangt sterk af van de staat van de codebase. Ikzelf had met D2006 enorm veel opgeschoond (alleen componenten met source, liever nieuwere dan oudere componenten, alleen geminimalizeerde units van JEDI gebruiken ipv de complete suites, minimalizatie van assembler e.d. ) deels met het oog op delen samengebruiken met Lazarus.

    Daar heb ik enorm profijt van gehad tijdens de D2009 migratie. Daarnaast zijn mijn applicaties niet echt string verwerkend, en dat is toch de grootste verandering van XE. Het enige wat me veel tijd gekost heeft is een setje XML units die ik aangepast had om niet standaard conformerende XMLs van een klant en SDK te lezen en schrijven, en wat tstringlist gebruik dat gebruikt werkt in combinatie met opslag van data (en dus ansistring moest blijven) de rest was in 2-3 dagen voor elkaar.

    De XE2 migratie heb ik echter nooit voltooid. Ik schakel nog steeds standaard namespaces uit, en verwijder winapi. en system. enz van de uses clauses.

  13. #13
    Win32.Trojan.Heur.Herby
    Join Date
    Dec 2003
    Location
    Nuenen of all places
    Posts
    289
    same here, het is meer wat updaten van bestaande dingen (test tooltjes) dan iets nieuws programeren in Delphi.
    Ik denk persoonlijk dat het maken van trojans ook vrij makkelijk is in CSharp/C++/VB/etc.

    Net even getest met lazarus, wat een trage ide is dat, doe mij dan maar Delphi.
    En een leeg project maken zoals ik gedaan heb in D7 zorgde voor een 13.8KB file en in Lazarus 41.4KB (beide zonder debugging informatie). Ben benieuwd wat dat doet met Form based applicaties.

  14. #14
    Win32.Trojan.Heur.Herby
    Join Date
    Dec 2003
    Location
    Nuenen of all places
    Posts
    289
    marco

    Alle testapps stammen uit de tijd D2 t/m D7 dus het zal het nodige geknutsel worden om dit om te zetten.
    Zal eens wat gaan testen en kijken wat het effect is.

    Bedankt voor de antwoorden.

  15. #15
    Quote Originally Posted by Herby View Post
    Net even getest met lazarus, wat een trage ide is dat, doe mij dan maar Delphi.
    Lazarus traag??? Tsja... misschien vergeleken met D7 maar dat is alweer zo lang geleden. Pak een recentere Delphi versie en ik weet wel waar je dan voor kiest

    En een leeg project maken zoals ik gedaan heb in D7 zorgde voor een 13.8KB file en in Lazarus 41.4KB (beide zonder debugging informatie).
    Haha... moet je ook eens proberen in Delphi XE of hoger. Dan krijg je pas grote executables. Maar goed... D7 is dan inderdaad lean and mean.

Page 1 of 2 1 2 LastLast

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Tags for this Thread

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •