Il linguaggio Visual Basic di Microsoft
 

Virus e falsi positivi

Greg 15 Lug 2015 10:55
Scrivo qui un nuovo topic perchè Innosetup c'entra nulla.
Grazie a SB che mi ha suggerito di controllare tutto con VirusTotal ho
proceduto a modificare e ricompilare, togliere e ricompilare le 4 righe
di codice usato, ma NOD32 e Panda continuavano a segnalare virus!
In fondo si tratta di 2 copyfile e una scrittura su ******* con
writeprofilestring.
Ma guardano appunto il modulo dove era scritta la WPS mi sono accorto
che c'era un'altra api non più usata, questa:


Declare Function URLDownloadToFile Lib "urlmon" Alias
"URLDownloadToFileA" _
(ByVal pCaller As Long, ByVal szURL As String, ByVal _
szFileName As String, ByVal _
dwReserved As Long, ByVal _
lpfnCB As Long) As Long


Tolta questa, ricompilato e ritestato e finalmente è dichiarato immune
anche da NOD32 e da Panda.

Compuque, il problema è risolto, e mi pare di potere escludere che
un'api dichiarata e non usata possa destare allarmi, e quindi come si
spiega questo falso positivo? Anche se solo per 2 antivirus su 55, ma
sono 2 tra i più diffusi. Qualche idea? Grazie

--
Greg
SB 15 Lug 2015 11:32
Il giorno Wed, 15 Jul 2015 10:55:44 +0200, Greg <greg@alicie.com> ha scritto:

>Ma guardano appunto il modulo dove era scritta la WPS mi sono accorto
>che c'era un'altra api non più usata, questa:
>
>
>Declare Function URLDownloadToFile Lib "urlmon" Alias
>"URLDownloadToFileA" _
> (ByVal pCaller As Long, ByVal szURL As String, ByVal _
> szFileName As String, ByVal _
> dwReserved As Long, ByVal _
> lpfnCB As Long) As Long
>
>
>Tolta questa, ricompilato e ritestato e finalmente è dichiarato immune
>anche da NOD32 e da Panda.
>
>Compuque, il problema è risolto, e mi pare di potere escludere che
>un'api dichiarata e non usata possa destare allarmi, e quindi come si
>spiega questo falso positivo? Anche se solo per 2 antivirus su 55, ma
>sono 2 tra i più diffusi. Qualche idea? Grazie

Posso fare qualche ipotesi.

Un a funzione API anche se non è usata durante la compilazione espone comunque
qualcosa, lo puoi verificare con la dimensione dell'eseguibile commentando la
dichiarazione.

Poi mettiamo che la funzione URLDownloadToFile sia stata usata in passato da
qualche virus per scaricare delle infezioni, ecco che l'euristica avvisa del
possibile rischio.

D'altra parte gli antivirus non sono mica perfetti, fanno dei tentativi.

Ad esempio io ho smesso di usare la libreria GDI+ per i problemi che mi dava con
ancuni antivirus (Avira e altri), ed è solo una libreria grafica, però ha
qualcosa che non piace.


--
ciao
Stefano
Greg 15 Lug 2015 12:31
Il 15/07/15 11.32.18 SB ha scritto:

> Posso fare qualche ipotesi.

> Un a funzione API anche se non è usata durante la compilazione espone
> comunque qualcosa, lo puoi verificare con la dimensione dell'eseguibile
> commentando la dichiarazione.

> Poi mettiamo che la funzione URLDownloadToFile sia stata usata in passato da
> qualche virus per scaricare delle infezioni, ecco che l'euristica avvisa del
> possibile rischio.

L'ipotesi è buona ma diventa vera solo quando la funzione non ha
chiamate.
Infatti nel programma principale c'è e viene usata senza destare
allarmi.

--
Greg
SB 15 Lug 2015 14:22
Il giorno Wed, 15 Jul 2015 12:31:39 +0200, Greg <greg@alicie.com> ha scritto:

>Il 15/07/15 11.32.18 SB ha scritto:
>
>> Posso fare qualche ipotesi.
>
>> Un a funzione API anche se non è usata durante la compilazione espone
>> comunque qualcosa, lo puoi verificare con la dimensione dell'eseguibile
>> commentando la dichiarazione.

>L'ipotesi è buona ma diventa vera solo quando la funzione non ha
>chiamate.
>Infatti nel programma principale c'è e viene usata senza destare
>allarmi.

Premesso che non ho idea di come sia compilato da VB il riferimento a un API non
utilizzata e non ho nemmeno tempo/voglia di mettermi a trafficare con Softice o
simili, probabilmente c'è qualcosa di strano che fa partire l'antivirus o che
gli fa credere che l'API non usata possa essere sfruttata da qualche exploit.

Dici che ti capita solo con 2 antivirus, quindi dipende dall'euristica di quei
due, però aver capito come 'ragiona' un antivirus in questo caso può essere di
aiuto a qualcuno con problemi simili.


--
ciao
Stefano
Nicola Ottomano 15 Lug 2015 16:58
Il mio antispam ha un modulo "Aggiorna.exe" che provvede al ******* ed
all'installazione degli aggiornamenti. Alcuni antivirus lo identificano come
virus, pur non essendolo. Ho provato a chiederne la rimozione segnalandolo come
falso positivo ma, a distanza di anni, continuano a segnalarlo... per fortuna
che è un progetto ormai abbandonato per cui non mi curo più della cosa.

Nicola
Al3xI98O 15 Lug 2015 17:36
Nicola Ottomano in data 15/07/2015 16:58:56 disse:

> Il mio antispam ha un modulo "Aggiorna.exe" che provvede al ******* ed
> all'installazione degli aggiornamenti. Alcuni antivirus lo identificano come
> virus, pur non essendolo. Ho provato a chiederne la rimozione segnalandolo
> come falso positivo ma, a distanza di anni, continuano a segnalarlo... per
> fortuna che è un progetto ormai abbandonato per cui non mi curo più della
> cosa.
>
> Nicola

Lo stesso problema lo dava l'aggiorna.exe delle prime versioni di
Mago.NET (sw gestionale di Microarea) con alcuni antvirus :) Problema
poi risolto da loro :P

--
Al3xI98O
«L'importante non è cadere, ma sapersi rialzare»
Daniele Pinna (Ufficio) 18 Lug 2015 12:22
Il 18/07/2015 11:43, Megazone ha scritto:

> Ogni giorno escono almeno 70000 virus nuovi (c'è chi parla di
> 200.000, chi di 55 milioni, teniamoci bassi).

OK... ero rimasto ai 5000 nuovi virus al giorno :-\



--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook: https://www.facebook.com/dapinnadotcom
BLOG: http://storielaboratorioinformatica.wordpress.com

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Il linguaggio Visual Basic di Microsoft | Tutti i gruppi | it.comp.lang.visual-basic | Notizie e discussioni visual basic | Visual basic Mobile | Servizio di consultazione news.