Entwickler-Ecke
Internet / Netzwerk - Indy(10) HTTP Komponente wird als Virus erkannt?!
Piranha - So 18.07.10 21:33
Titel: Indy(10) HTTP Komponente wird als Virus erkannt?!
Hallo.
Seit Neustem wird jedes Projekt bei mir und einem Kollegen das die TIdHTTP beinhaltet als TR/ATRAPS.Gen erkannt.
Verwendet wird Delphi 2007 Standard-Installation (Also Indy 10).
Betroffene Virenscanner sind:
a-squared
Avira
Ikarus
Was kann man dagegen tun?
Ich muss wohl kaum erwähnen was für Folgen sowas für uns haben kann.
Schließlich denken unsere User wohlmöglich noch wir würden verseuchte Software verteilen.
Kann Jemand das Problem bestätigen?
Es reicht schon ein neues Projekt zu eröffnen und dort die Indy-Komponente auf die Form zu ziehen.
Moderiert von 
Narses: Topic aus VCL (Visual Component Library) verschoben am So 18.07.2010 um 22:35
Narses - So 18.07.10 22:34
Moin!
Piranha hat folgendes geschrieben  : |
| Seit Neustem wird jedes Projekt bei mir und einem Kollegen das die TIdHTTP beinhaltet als TR/ATRAPS.Gen erkannt. |
Da liegt das "Problem", es ist eine generische "Erkennung", die da zuschlägt, also sowas, wie ein "Virus-Raten", keine sichere Erkennung. :?
| Piranha hat folgendes geschrieben : |
Betroffene Virenscanner sind:
a-squared
Avira
Ikarus |
Leider sind die guten Leute von Avira da besonders... "übervorsichtig", oder wie man das nennen soll... :nixweiss:
Schonmal mit anderen Online-Scannern gegengeprüft? (Nicht das wirklich eine Infektion vorliegt :shock:). :idea:
| Piranha hat folgendes geschrieben : |
Was kann man dagegen tun?
Ich muss wohl kaum erwähnen was für Folgen sowas für uns haben kann.
Schließlich denken unsere User wohlmöglich noch wir würden verseuchte Software verteilen. |
Schickt eine zur veröffentlichung anstehende Version zu den Nasenbären hin, damit die die Signaturen der false-positives anpassen können. Die einzig "gute" Lösung ist aber leider nur,
nicht diese dämliche Software zu verwenden. :|
cu
Narses
Piranha - So 18.07.10 22:52
| Narses hat folgendes geschrieben: |
Schonmal mit anderen Online-Scannern gegengeprüft? (Nicht das wirklich eine Infektion vorliegt :shock:). :idea:
|
Nein war nur ein Testprogramm. Es wurde wie von mir beschrieben einfach eine neue Form erstellt und dann die TIdHTTP draufgezogen.
Getestet habe ich mit Virustotal. Die genannten 3 von 34 Virenscanner haben bei dieser Datei alarm geschlagen.
| Narses hat folgendes geschrieben: |
Schickt eine zur veröffentlichung anstehende Version zu den Nasenbären hin, damit die die Signaturen der false-positives anpassen können. Die einzig "gute" Lösung ist aber leider nur, nicht diese dämliche Software zu verwenden. :| |
Das wäre aber nur eine kurzfristige Lösung.
Ich sehe aber auch ehrlich nicht ein warum ich jetzt für jede kleine Änderung eine neue Version an Avira&Co. schicken darf, nur weil die Jungs sche**** bei den Signaturen gebaut haben.
Letztendlich muss ich wohl auf andere Komponenten umsteigen. Hat Jemand gute HTTP Compos auf Lager?
Ich danke schonmal für deine Antwort.
ALF - So 18.07.10 23:21
Hi, so ein ähnliches Problem hatte ich auch mit Delphi.
Ewig damit gearbeitet, nie Probleme, bis eines Tages AVG Virus meldete.
Online scan hab ich abgebrochen, alles im Ordner Delphi währe verseucht! lol
Nach genauerer Untersuchung, habe ich festgestellt das eine DCU als ~ Datei vorhanden ist. Mh... weis ich warum!
Nachdem ich die DCU erstmal gesichert habe, habe ich die ~ Datei wieder umbenannt als DCU. Delphi läuft weiter und AVG sagt nichts mehr. Die DCU war zwar grösser als diese ~ Datei, aber keine Ahnung was das war.
Wenn Ihr also schon länger damit gearbeitet habt und das Problem jetzt aufgetreten ist,
schaut also mal nach ob Ihr bei den DCU der Indys so ~ eine findet, mit gleichen Namen nur die Erweiterung ist anders!
Vielleicht hilft ja dieser Hinweis!
Bei mir hat es geholfen.
Gruss Alf
Piranha - Mo 19.07.10 01:02
Hallo,
Ich konnte bei den Indy-Komponenten keine Dateien finden die irgendwie anders aussahen.
Ich würde mich aber sehr darüber freuen wenn mir Jemand bestätigen könnte ob das Problem auch mit "seinem" Delphi auftritt. :)
Somit kann ich dann sichersein das es kein Problem von mir und meinem Kollegen ist.
Narses - Mo 19.07.10 01:30
Moin!
| Piranha hat folgendes geschrieben : |
| Ich würde mich aber sehr darüber freuen wenn mir Jemand bestätigen könnte ob das Problem auch mit "seinem" Delphi auftritt. |
Was soll diese "Bestätigung" denn bringen? :gruebel: Im Wesentlichen: nix. :nixweiss: Da spielen doch viel zu viele Parameter eine Rolle, auf so eine Aussage würde ich mich nicht verlassen, egal wer da was sagt. :|
| Piranha hat folgendes geschrieben : |
| Somit kann ich dann sichersein das es kein Problem von mir und meinem Kollegen ist. |
Wenn du sicher ausschließen kannst, dass dein System infiziert ist :!: dann ist das ein Problem der AV-Hersteller, nicht deins. Ich kann das übrigens reproduzieren: wenn man irgend ein Programm, dass einen listening-socket öffnet mit UPX packt, kriegt man von Avira einen generischen Alarm um die Ohren gehauen. Egal, ob mit TServerSocket oder IdTcpServer/IdHttpServer gearbeitet wird (es reicht schon, einen TServerSocket mit .Active=TRUE auf dem Formular, sonst nix). Das nenne ich mal saubere AV-Technologie... :nut:
Nimm halt eine VM, klatsch ein OS rein, Delphi drauf, kompilieren, fertig. Ist doch kein Akt, das mal eben auf einem "sauberen" System zu testen. :idea:
cu
Narses
Tilman - Mo 19.07.10 03:06
Ich habe exakt das selbe Problem, schon bestimmt seit einem Monat. Stelle immer wieder Antivir auf "ignorieren", aber nach jedem neuen Update wird wieder gemotzt ;)
jaenicke - Mo 19.07.10 06:10
| Piranha hat folgendes geschrieben : |
| Letztendlich muss ich wohl auf andere Komponenten umsteigen. Hat Jemand gute HTTP Compos auf Lager? |
Das Problem ist ja nun schon länger bekannt. Leider ist es auch nicht spezifisch mit Indy, sondern auch mit anderen Internetkomponenten und (wenn auch seltener) auch ganz ohne solche Komponenten. Deshalb wird ein Umstieg auch nicht viel bringen. :nixweiss:
Die Entwickler von Antivir scheint es nicht zu stören. Und es gibt leider genug, die aus irgendwelchen Gründen Antivir nutzen. Insofern bleibt da wirklich nur der Weg die Exen jedesmal da hinzuschicken...
Piranha - Mo 19.07.10 15:55
Ich benutze selber auch Antivir, da es kostenlos ist.
Ich hab jetzt das Problem Antivir geschildert. Mal sehen was sich da machen lässt.
jaenicke - Mo 19.07.10 19:15
| Piranha hat folgendes geschrieben : |
| Ich benutze selber auch Antivir, da es kostenlos ist. |
Das gilt für AVG z.B. auch, das hat eine ähnliche Erkennungsgenauigkeit, macht aber nicht so viele False Positives. Auch die Oberfläche und Features sind schön.
(Ich selbst nutze selbstverständlich einen kostenpflichtigen Scanner, das ist ein himmelweiter Unterschied, egal ob zu Antivir oder AVG oder sonst einem kostenlosen Antivirenprogramm...)
Aber welchen Scanner man selbst nutzt ändert ja für andere nix, insofern ist das hier auch egal.
kaka77 - Do 22.07.10 10:38
also ich hab auch seit über einen monat gleiches problem.
programme, die vorher liefen und nun neu kompliliert wurden funktionieren nicht mehr....
es reicht auch bei mir schon, wenn ich die idhttp kompo auf ein formular setze um ne meldung von antivir zu kriegen, also während des kompilierens.
also ich denk mal, wenn es an den erkennungsroutinen der virenprogramme läge, hätten unsere selbstgeschriebenen progrämmchen ja auch vorher als virus erkannt werden müssen!?
weiß nicht weiter :(
Narses - Do 22.07.10 13:01
Moin!
| kaka77 hat folgendes geschrieben : |
| also ich denk mal, wenn es an den erkennungsroutinen der virenprogramme läge, hätten unsere selbstgeschriebenen progrämmchen ja auch vorher als virus erkannt werden müssen!? |
Durchaus nicht, wenn die an ihrer generischen "Erkennung" geschraubt haben, dann hat das genau diesen Effekt, vorher kein Problem, jetzt Alam. :nixweiss:
Ich will ja nicht hetzen, aber eine AV-Software, die mich permanent mit unnützen generischen Alarmen nervt, ist einfach "über" und wird aus dem System entfernt, fertig. :? Kann ich nur jedem, der ähnliche Erfahrungen macht oder gemacht hat, empfehlen. Brauchbare AV-Software hat bei mir bisher noch nie solche Zicken gemacht (oder anders: kostenlose Software hat offensichtlich doch ihre Nachteile...)
cu
Narses
kaka77 - Do 22.07.10 20:42
tja...
sehr gute idee: ich schmeiß die scheiß freeware raus und bekomme keine meldung mehr....
und nun bring noch den ganzen anderen windows usern bei, dass ein soweit verbreitetes antivir *mist*e ist...und sie somit nicht auf den gedanken kommen könnten, dass ein kleines nicht kommerzialisiertes programm vielleicht einen virus enthalten könnte... ich würde, wenn ich mir so eine software aus dem internet ziehe natürlich niemals einem virenprogramm vertrauen, dass alarm gibt...sondern es deaktivieren und alles ist schön....
weiß nur nicht genau, wie wir das halt "normalen" usern erklären
....
ahh, jetzt hab ichs:
wir schreiben einfach ein kleines setup-tool, dass antivir und andere freeware virenerkennungsprogramme deinstalliert, dann wird das eigentliche prog gesogen und ausgeführt.... jaaaa wunderbar... tolle lösung.....
ratlosigkeit
Moderiert von Narses: Überflüssige Zeilenumbrüche/Leerzeilen entfernt.
jaenicke - Do 22.07.10 20:57
| kaka77 hat folgendes geschrieben : |
| ratlosigkeit |
Es gibt eben keine andere Lösung als die schon genannten.
1. Immer wieder eine als false positive erkannte Version der Exe zu Antivir schicken.
2. Deutlich beim Download dazuschreiben, dass Antivir das Tool evtl. als Virus erkennt und auf Virustotal zum Vergleich mit anderen Antivirentools hinweisen.
An der falschen Erkennung selbst lässt sich eben nix zuverlässig ändern, weder durch andere Internetkomponenten noch durch Änderungen am Code. :nixweiss:
Und wie gesagt: Mich scherts nicht mehr, wenn eines meiner Programme wiedermal von Antivir erkannt wird, ich hab da keine Lust mehr die Exe immer hinzuschicken. Wer meine Tools nicht nutzen will und lieber Antivir glaubt, der nutzt sie halt nicht. :nixweiss:
kaka77 - Do 22.07.10 23:52
jaaaaa, wahrscheinlich bleibt keine andere möglichkeit...
meldung bei virustotal (idhttp komponente):
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2010.07.22.01 2010.07.22 -
AntiVir 8.2.4.26 2010.07.22 -
Antiy-AVL 2.0.3.7 2010.07.22 -
Authentium 5.2.0.5 2010.07.21 -
Avast 4.8.1351.0 2010.07.22 -
Avast5 5.0.332.0 2010.07.22 -
AVG 9.0.0.851 2010.07.22 -
BitDefender 7.2 2010.07.22 -
CAT-QuickHeal 11.00 2010.07.22 -
ClamAV 0.96.0.3-git 2010.07.22 -
Comodo 5509 2010.07.22 -
DrWeb 5.0.2.03300 2010.07.22 -
Emsisoft 5.0.0.34 2010.07.22 Trojan-Dropper.Agent!IK
eSafe 7.0.17.0 2010.07.22 -
eTrust-Vet 36.1.7729 2010.07.22 -
F-Prot 4.6.1.107 2010.07.22 -
F-Secure 9.0.15370.0 2010.07.22 -
Fortinet 4.1.143.0 2010.07.22 -
GData 21 2010.07.22 -
Ikarus T3.1.1.84.0 2010.07.22 Trojan-Dropper.Agent
Jiangmin 13.0.900 2010.07.22 -
Kaspersky 7.0.0.125 2010.07.22 -
McAfee 5.400.0.1158 2010.07.22 -
McAfee-GW-Edition 2010.1 2010.07.22 -
Microsoft 1.6004 2010.07.22 -
NOD32 5303 2010.07.22 -
Norman 6.05.11 2010.07.22 -
nProtect 2010-07-22.01 2010.07.22 -
Panda 10.0.2.7 2010.07.22 -
PCTools 7.0.3.5 2010.07.22 -
Prevx 3.0 2010.07.22 -
Rising 22.57.03.04 2010.07.22 -
Sophos 4.55.0 2010.07.22 Sus/Behav-269
elundril - Fr 23.07.10 04:32
Seltsam das Antivir auf der Website nichts meldet. Hast du die Heuristik vielleicht auf SuperUltraMegaPlus++ gestellt?
lg elundril
Piranha - Fr 23.07.10 22:52
Bei Antivir tritt das nun nicht mehr auf.
Wahrscheinlich hat meine etwas "energische" Mail was gebracht :D
Ich schreib morgen gleich auchnoch die anderen Nasen an
jaenicke - Sa 24.07.10 05:24
Meistens wird das relativ schnell behoben, dass sich ein gemeldeter Fehlalarm länger hält ist eher selten. (Das ist aber z.B. bei der Delphi Installations-CD leider der Fall gewesen, diese wurde monatelang als Virus erkannt.)
Es gibt dafür ja die entsprechende Seite zum Upload solcher Dateien:
http://analysis.avira.com/samples/index.php
Und wie ich auf der Seite gelesen habe kann man mittlerweile sogar direkt aus der Quarantäne ne Mail mit der Datei schicken, wenn die Heuristik zugeschlagen hat. Ja, die Funktion ist nötig, das haben die richtig erkannt...
kaka77 - Mo 26.07.10 23:12
supi...läuft
Tilman - Do 23.09.10 22:33
Es gibt wieder einen schönen False-Positiv derzeit :roll:
Delphi-Quelltext
1:
2:
3:
4:
5:
6:
| uses shellapi;
procedure TForm1.Button1Click(Sender: TObject);
begin
shellexecute(handle,'open','mailto: irgendwas@domain.de','','',sw_show);
end; |
Scheint allerdings nur unter Delphi 7 zu funktionieren ;)
Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2024 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!