Programm wird als Virus erkannt

~~supercracker13~~ · 04/28/2013, 15:14

Hi Leute,

seit ein paar Tagen experementiere ich mit nem Projekt das ich im Internet gefunden habe.
Es ist ein TCP Chat.

Das Problem ist, er wird als Virus erkannt (bei VirusTotal), mein AntiVir sagt aber nix dagegen.
Folgender Virus wird angezeit: Gen:Heur.MSIL.Krypt.4

Was ist das ??

Und daszu müsst ihr wissen, das Programm hat keine Viren. Also wodran liegt es ?

3Angle · 04/28/2013, 16:30

Das ist ganz einfach, das besteht aus:
Gen=Generic
Heur=Heuristik
MSIL=Microsoft Intermediate Language
Krypt=Kryptographie
Das bedeutet, dass dein Programm ähnliche Funktionen wie bekannte Schadsoftware enthält. In diesem Fall etwas von der Verschlüsselung irgentwelcher Funktionen oder gar der ganze Code. Wie gesagt diese Bewertung der AV ist heuristich, dass bedeutet es kann so sein, muss es aber nicht.

~~supercracker13~~ · 04/28/2013, 19:46

Ok Danke, das ist aber ziemlich scheiße.

Da will man nen Chat machen und es wird als Virus angezeigt

~~Cambios~~ · 04/28/2013, 21:44

Quote:

Originally Posted by supercracker13

Ok Danke, das ist aber ziemlich scheiße.

Da will man nen Chat machen und es wird als Virus angezeigt

Kannst uns ja mal dein Code zeigen, dann können wir vllt schaun woran es liegt?

dready · 04/28/2013, 22:33

Ist das Programm nur für dich pack es in die Ausnahmeliste deines Virenscanners.
Willst du es vermarkten, schreib an den Jeweiligen Av hersteller und frag wie du weiter vorgehen sollst

~~Cambios~~ · 04/29/2013, 02:30

Quote:

Originally Posted by dready

Ist das Programm nur für dich pack es in die Ausnahmeliste deines Virenscanners.
Willst du es vermarkten, schreib an den Jeweiligen Av hersteller und frag wie du weiter vorgehen sollst

Du glaubst doch nicht ernsthaft das er an den AV Hersteller ne Anfrage machen kann, wo sie ihm dann sagen "mach dies und jenes" oder sie das Programm aus ihrer Liste explizit ausschließen nur für ihn..

Wär er jetzt ein Software / Spielehersteller dessen Code trotztdessen das er alles richtig macht als Virus erkannt wird wärs was anderes, aber das Problem des TE wird einfach sein das er entweder nen Virus ähnlichen Code nutzt oder sein Codeaufbau nunmal wie ein Virus wirkt.. bei sowas sollte man drüber nachdenken wie man sein Code umschreiben kann, damit es sauber ist und nicht mehr erkannt wird.
Wie gesagt,er soll mal sein Code posten, dann sieht man vllt woran es liegt.
Natürlich wärs auch möglich das sein Programm wirklich "Böse" ist und es deshalb zurecht erkannt wird, und da sollte man ihm dann auch nicht helfen das zu ändern

dready · 04/29/2013, 02:47

@Cambios

Wenn du ein Programm vermarkten willst, ist es dein Gutes Recht dich mit nem AV Hersteller dessen Heuristik anschlägt zusammenzusetzen und zu fragen ob sie dich Whitelisten können. Kenn das zumindest nicht anderst.

Nightblizard · 04/29/2013, 03:26

Es liegt im Interesse des Herstellers der AV Software false-positives zu vermeiden. Ein Antivirenprogramm, das überall anschlägt, obwohl nichts ist, ist ein ein schlechtes Programm und wird sich über kurz oder lang nicht gut vermarkten. Deshalb ist es wirklich der cleverste Schritt sich an den Hersteller zu wenden, falls hier ein ernsthaftes Interesse besteht.

jacky919 · 04/29/2013, 05:45

Gegebenenfalls reicht es hier auch schon aus das Programm mit beispielsweise UPX zu packen. Aber das kann natürlich auch wieder false-positives hervorrufen, aber der Aufwand ist gering, also ist es den Versuch vielleicht wert.

Delinquenz · 04/29/2013, 09:04

Quote:

Wär er jetzt ein Software / Spielehersteller

Er schrieb auch "Willst du es vermarkten, ..".

~~Cambios~~ · 04/29/2013, 21:56

Quote:

Originally Posted by Delinquenz

Er schrieb auch "Willst du es vermarkten, ..".

Es ist ein Unterschied ob man sein Programm im kleinen Umfang in Foren verkauft, oder im großen Style mit einer eigenen Firma, Verkäufe in Softwaregeschäften etc. - Und wenn man ein Programm vermarkten möchte,
es aber nicht einmal hinbekommt sein Programm so zu gestalten das es nicht Heuristische Alarme auslöst dann frage ich mich ehrlich was die jeweilige Person falsch macht. Wenn man nicht grade Viren Ähnliche Mechanismen nutzt,
passiert sowas normalerweise nicht. Schon garnicht bei einem einfachen TCP Chat, wenn man nicht Anfängt RAT Features einzubauen.. tut man es halt dann doch, dann muss man damit leben weil es nunmal RAT (ähnliche) Funktionalitäten sind. Antiviren Hersteller anzuschreiben lohnt sich erst wenn man Software im großen Stil verkaufen möchte, ich glaube kaum das Antiviren Hersteller wegen som mini Tcp Chat da jetzt ihn Whitelisten..
da könnte ja jeder kommen und sagen "setzt mich auf die whitelist", ich denke du kannst dir vorstellen was ich damit meine.

dready · 04/30/2013, 10:48

Gen:Heur.MSIL.Krypt.4

So wie das für mich klingt löst du das Ding sehr schnell mal aus. Es sagt nichts weiter aus als das du ne Krypto verwendest im Programm was imo genau die richtige Art ist einen Chat zu programmieren. Warum es bei einem Cpp Programm ein Msil auslöst ist mir zwar etwas schleierhaft aber seis drum.
Es zu umgehen ist etwas was man übrigens wirklich nicht machen sollte. Verschleiert man etwas gibt es nahezu immer neue Heuristik Alarme, wenn auch nicht beim selben AV Programm dann spätestens bei einem der X anderen. Was dann auch völlig zurecht wäre.

Auch wenn du es nur im kleinen Umfang verkaufst hast du das Recht dich bei nem AV Hersteller wegen einem False Positiv zu melden. Bist du keine Firma kann das unter umständen ne ganze Weile dauern, aber hab nun nochnicht gehört das irgendeiner der größeren AV Hersteller Nein gesagt hat.
Ist dir das den schonmal passiert ? (kein Sarkasmus, keine Ironie, würd mich tatsächlich intressieren)
Wenn man genug False Positive über eine größere Bandbreite von Scannern schmeißt reicht es meistens schon es im Abstand von ein paar Tagen ein paarmal bei den Großen AV Search Engines wie Virustotal hochzuladen damit es ein paar Wochen später nichtmehr passiert.

~~supercracker13~~ · 04/30/2013, 15:58

Oh es haben sich jetzt aber viele gemeldet.

Hab gar nit mehr reingeguckt.

Mir ist gerade aufgefallen, (Eigentlich wollte ich code hochladen und vt link post)
der wir gar nit mehr detected.

Hier ist der beweis

Seit dem ich den Thread erstellt hatte, hab ich nur ein paar zeilen hinzugefügt.
Ist zwar komisch aber es geht

Nochmal danke für die anderen Kommentare

~~Cambios~~ · 05/02/2013, 10:17

Quote:

Originally Posted by supercracker13

Oh es haben sich jetzt aber viele gemeldet.

Hab gar nit mehr reingeguckt.

Mir ist gerade aufgefallen, (Eigentlich wollte ich code hochladen und vt link post)
der wir gar nit mehr detected.

Hier ist der beweis

Seit dem ich den Thread erstellt hatte, hab ich nur ein paar zeilen hinzugefügt.
Ist zwar komisch aber es geht

Nochmal danke für die anderen Kommentare

Könnte evlt den Falsealarm ausgelöst haben.. Filename evlt, da scheints malware zu geben die den gleichen Name hat.. wird vllt deshalb angeschlagen haben (da du ja zusätzlich scheinbar noch irgendwelchen codes nutzt worauf er anspringt)

~~supercracker13~~ · 05/05/2013, 13:52

Jo könnte sein