Page 2 of 2 FirstFirst 1 2
Results 16 to 22 of 22

Thread: Delphi 7 virus

  1. #16
    Win32.Trojan.Heur.Herby
    Join Date
    Dec 2003
    Location
    Nuenen of all places
    Posts
    289
    Ik zal eens kijken aar XE10 maar als ik het zo lees weet ik nu al dat ik mogelijk niet vrolijk ga worden :-)
    Wellicht ben ik wel verwend geweest met D7

  2. #17
    Stijn Sanders develyoy's Avatar
    Join Date
    Jun 2008
    Location
    GentBrugge, Belgi?½
    Posts
    1,046
    Ik kom wat laat op deze thread uit, maar heb het geprobeerd zoals de eerste post. Ik krijg 5 op 56...
    https://virustotal.com/nl/file/256a9...is/1477765188/

  3. #18
    ClamAV noemt dit "virus" "PUA.Win32.Packer.BorlandDelphi-2"
    Zie hier:
    http://stackoverflow.com/questions/2...lphi-7-project

    Het is dus een bekend probleem voor Delphi 7.

  4. #19
    Win32.Trojan.Heur.Herby
    Join Date
    Dec 2003
    Location
    Nuenen of all places
    Posts
    289
    Gelukkig, weet ik in ieder geval zeker dat het probleem niet bij mij zit. Thanks

  5. #20
    Win32.Trojan.Heur.Herby
    Join Date
    Dec 2003
    Location
    Nuenen of all places
    Posts
    289
    Hoi, daar ben ik weer.

    Inmiddels weer te horen gekregen dat Delphi bestem zou zijn.
    Voorheen was het mijn vooroorlogse versie 7, maar ook XE8 heeft hier last van.

    Wederom twee apps gemaakt die beide geen enkele vorm van code hebben.

    Delphi Code:
    1. [B]Lege console app:[/B]
    2. Baidu Win32.Trojan.WisdomEyes.16070401.9500.9586    20170318
    3. Comodo  Heur.Packed.Unknown 20170318
    4. Invincea    generic.a   20170203
    5. Qihoo-360   HEUR/QVM05.1.0000.Malware.Gen   20170318
    6. SentinelOne (Static ML) static engine - malicious   20170315

    Delphi Code:
    1. [B]Lege VCL app:[/B]
    2. Antiy-AVL   Trojan[Ransom]/Win32.CryFile    20170318
    3. Qihoo-360   HEUR/QVM05.1.0000.Malware.Gen   20170318
    4. SentinelOne (Static ML) static engine - malicious   20170315

    Versie machine gebouwd (VM workstation), niets geinstalleerd, XE8 erop en voila, virus
    Ligt het nu aan mij of zijn die anti virus boeren gewoon niet in staat fatsoenlijke detectie te maken.
    Ik krijg sterk de indruk dat zodra men ziet dat de compiler van Delphi is het automatisch de stempel krijgt van virus.

    Delphi code:
    Delphi Code:
    1. program CONSOLEProject1;
    2.  
    3. {$APPTYPE CONSOLE}
    4.  
    5. {$R *.res}
    6.  
    7. uses
    8.   System.SysUtils;
    9.  
    10. begin
    11.   try
    12.     { TODO -oUser -cConsole Main : Insert code here }
    13.   except
    14.     on E: Exception do
    15.       Writeln(E.ClassName, ': ', E.Message);
    16.   end;
    17. end.


    Gr
    Herby

  6. #21
    mov rax,marcov; push rax marcov's Avatar
    Join Date
    Apr 2004
    Location
    Ehv, Nl
    Posts
    10,357
    Quote Originally Posted by Herby View Post
    Ligt het nu aan mij of zijn die anti virus boeren gewoon niet in staat fatsoenlijke detectie te maken.
    Het laatste, en deze waarschuwingen zijn waarschijnlijk zelfs dat niet. Het feit dat er veel "heur" in de detecties zit is genoeg reden om niet eens verder te kijken en het in de prullebak te gooien.

    Heur(istics) zijn de laagste vorm van detectie. Ze matchen stringetjes, en andere relatief simpele en brede detecties die erop wijzen dat het een atypische exe is. Meer niet.

    Omdat met malware vaak wordt geprobeerd de afkomst te versluieren en in grootte te reduceren, is atypisch gedrag een (heel) vaag teken dat er wat aan de hand zou kunnen zijn. Met wat whitelisting/uitzonderingen worden dan de grootste groepen klagers van falsepositives snel rechtgetrokken.

    Maar de meeste van deze rules flaggen nog steeds veel meer terechte EXEs dan malware. De meeste corporate antivirussen gebruiken heuristic detectie niet eens (bedrijven gebruiken vaak nogal oude/unieke applicaties en elke foute voorspelling kost support uren, komt meerdere malen voor, en het beschermend effect is gering)

    Verder is het waarschijnlijk sowieso niks als niet driekwart van virustotaal aanslaat, en er verder niks verdachts aan de bron van de exe is. (lees, hij komt niet van een torrent oid) qihoo lijkt op zowat alles aan te slaan.

    Ik krijg sterk de indruk dat zodra men ziet dat de compiler van Delphi is het automatisch de stempel krijgt van virus.
    De avirus boeren hebben een systeem van eerst verbieden, en dan evt rechttrekken. Dat betekent dat bij kleinere gebruikers gemeenschappen je hier eerder tegenaan loopt.

    Met b.v. Lazarus, (en open source compilers in het algemeen) heb je dit dus nog vaker. Niet alleen is de groep kleiner, maar het aantal verschillende lazarus versies is veel groter, en er moeten dus nog meer uitzonderingen gemaakt worden.
    Last edited by marcov; 18-Mar-17 at 16:43.

  7. #22
    Win32.Trojan.Heur.Herby
    Join Date
    Dec 2003
    Location
    Nuenen of all places
    Posts
    289
    Je zou maar een professionele app bouwer zijn en als eenmaal bekend wordt dat je een virus in je applicatie hebt (waar of niet) en geen mens installeert dan nog je software, daar gaat je business.

    Overigens is die Qihoo-360 helemaal een verschrikkele toko, bij mijn D7 issue had ik de 5 bedrijven middels mail laten weten dat ze een false positive hadden, de arrogantie daar was op en top.
    Ik moest eerst maar even aantonen dat ik een bedrijf was en mijn KvK gegevens doorsrturen, anders nemen ze klachten niet in behandeling.... Dat was even een WTF momentje.

    Maar goed, blij dat het wederom niet aan mij ligt, thanks voor je antwoord.

    Groeten,
    Win32.Trojan.Heur.Herby :-)

Page 2 of 2 FirstFirst 1 2

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Tags for this Thread

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •