Programm als Virus erkannt ? :O

  • VB.NET

Es gibt 15 Antworten in diesem Thema. Der letzte Beitrag () ist von Thomas.

    Programm als Virus erkannt ? :O

    Hey Leute,
    ich hab ein Programm gemacht (will jetzt nicht das ganze Prog. erklären). Beim debugg funkt. alles, jedoch beim normalen start zeigt mir Kaspersky an, dass mein Programm ein Virus sei :O

    Kann man da irgendwie nach sehen, welcher Teil vom Code ihm nicht passt?

    (Bei meinem 2. PC geht das Programm, avast startet es in der Sandbox und sagst nach ~10 Sekunden, dass alles in Ordnung ist)

    @Thomas: Ohne genauere Infos können wir da nur raten.
    Macht das Programm irgendwelche unüblichen Sachen (Registry-Zugriffe, etc.)?
    "Luckily luh... luckily it wasn't poi-"
    -- Brady in Wonderland, 23. Februar 2015, 1:56
    Desktop Pinner | ApplicationSettings | OnUtils

    Es liegt meistens dran das man bestimmte schon bekannte viren ports öffnet.
    Es währe auch möglich das du an einen kritischen Regestry Punkt versuchst Daten zu ändern.
    Oder deine EXE einfach z.b nach einen virus bennenst oder wenn du teile von einen virus in deinen programm hast bzw Texte

    MFG BlackNetworkBit
    MFG 0x426c61636b4e6574776f726b426974
    InOffical VB-Paradise IRC-Server
    webchat.freenode.net/
    Channel : ##vbparadise

    Morgen :)
    Also mein Programm heißt nicht wie ein Virus, momentan einfach nur WindowsApplication.
    Ja mein Programm kann viel, deswegen wollte ich nicht alles erklären.
    Aber ja, wenn man im GUI "Bei Systemstart ausführen" angeharkt hat, schreibt es sich in CurrentUser in den Autostart.
    Ja, wenn man eine E-Mail Adr. eintragt, verbindet es sich mit dem Mail-Server.

    Bei diesem "Obfuskieren" verschlüsselt/verdreht man den Quellcode oder?
    Muss man das selbst machen oder gibts da Programme, die das machen? (hab das selbst noch nie gemacht)

    Der Antivirus sucht doch nach der Signatur, d.h. doch er sieht, was in welcher Reihenfolge passiert oder?
    Kann man da irgendwie sehen, bei welchen Code-Ausschnitt Kaspersky sich quer stellt?
    (Nur beim Ausführen kommt die Meldung, wenn ich rechts-klick untersuchen mache findet er nichts)

    Hab mal den Teil mit der Registry in ein anderes Programm geschrieben und da sagt Kasperky nichts.

    VB.NET-Quellcode

    1. Private Sub Button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button1.Click
    2. Try
    3. save()
    4. Catch ex As Exception
    5. MsgBox(ex.ToString())
    6. End Try
    8. End Sub
    9. Private Sub save()
    10. Dim key As RegistryKey = Registry.CurrentUser.OpenSubKey("Software\Microsoft\Windows\CurrentVersion\Run", True)key.SetValue("Test1", System.Reflection.Assembly.GetEntryAssembly.Location)
    11. key.Close()MsgBox("Fertig")
    12. End Sub
    13. Private Sub Form1_Load(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles MyBase.Load
    14. Label1.Text = "Name: Test1"
    15. Label2.Text = "Reg: LocalMachine - Software\Microsoft\Windows\CurrentVersion\Run"Label3.Text = "Ort: " & System.Reflection.Assembly.GetEntryAssembly.Location
    16. End Sub
    17. Private Sub Button2_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button2.Click
    18. TryDim key As RegistryKey = Registry.CurrentUser.OpenSubKey("Software\Microsoft\Windows\CurrentVersion\Run", True)key.DeleteValue("Test1")
    19. key.Close()
    20. MsgBox("Fertig")
    21. Catch ex As Exception
    22. MsgBox(ex.ToString())
    23. End Try
    25. End Sub


    (Die Code-Ansicht will nicht so wie ich will X( )
    Ich glaub ich hab mal ein Video gesehen, da war auch ein Programm als Virus erkannt worden (oder war vielleicht auch ein Virus, ich weiß es nicht mehr) und der hat dann irgendwie hergezeigt, dass man da nachsehen kann in welcher Zeile/Wort/Zeichen (weiß nicht mehr^^) Alarm geschlagen wird, nur ich finde das Video nicht mehr oder ähnliches :(

    Es geht um die Kombination aus bestimmten faktoren z.b Email versendung und Autostart.

    MFG BlackNetworkBit
    MFG 0x426c61636b4e6574776f726b426974
    InOffical VB-Paradise IRC-Server
    webchat.freenode.net/
    Channel : ##vbparadise

    Also ein genaueres Analysieren ist nicht möglich?
    Z.B., dass man sieht, dass er bei der Verbindung zum Mail-Server sich aufregt. Dass ich diesen Part dann anders realisieren kann.
    Also dass ich sehe ab welchen Punkt mein Programm als Virus betrachtet wird, dass ich den Teil davor ändere.

    Funktioniert alles :)
    Mein Programm erzeugt eine neue .exe und diese erstellt dann den Key in der Registry :)

    Nur eine Frage noch: Hat man ab Windows Vista/7/8 immer Framework v3.5 installiert? Oder hab ich das irgendwo mit installiert (oder vl weil ich W7 Ultimate habe?) ?

    Du hast es mitinstalliert, da du Developer bist. Wird automatisch mit VS mitinstalliert.
    Windows Vista/7 haben standardmäßig .NET 2.0 installiert, Windows 8 hat standardmäßig 4.0 und 4.5 installiert.

    Steig einfach auf 4.0 um, haben die User halt Pech, wenn sie nicht upgraden.

    Bei XP weiß ich das nicht, ist aber eh tot, von daher ^^ (bitte jetzt KEINE Kommentare wie "in Firma XY wird das noch verwendet").

    Thomas schrieb:

    Hat man ab Windows Vista/7/8 immer Framework v3.5 installiert?
    Wenn man die Windows-Updates aktiviert hat, bekommt man das Framework mehr oder weniger automatisch, wenn es nicht drauf ist.
    Normalerweise kannst du davon ausgehen, dass es da ist.
    Ansonsten kann das jeder kostenlos nachladen.
    Es gibt kaum Gründe, sich vor 3.5 zu verweigern.
    --
    If Not Program.isWorking Then Code.Debug Else Code.DoNotTouch
    --

    Hab mal ein paar bekannte Virenscanner getestet und keiner hat ein Problem mit meinem Programm :)
    Laut https://www.virustotal.com gibt es nur mit 7 von 44 Virenscannern problemen:
    AntiVir, BitDefender, Emsisoft, F-Secure, GData, Ikarus, MicroWorld-eScan

    Und hab es jetzt so gemacht, dass es mit Framework 3.5 und/oder Framework 4.* Funktioniert, sollte jetzt auf der sicheren Seite sein oder? :)

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Thomas“ ()

Facebook
Telefonspende