Avir-овский AntiVir "ловит" трояна Crypt.XDR.Gen в exe.
Причем сразу, после окончания сборки exe-шника линковщиком.
C этакой хренью никогда не сталкивался. Народ, может у кого что-то подобное уже было?
Если надо подробнее — углубимся до необходимости.
С уважением Сергей.
Здравствуйте, Аноним, Вы писали:
А>Avir-овский AntiVir "ловит" трояна Crypt.XDR.Gen в exe. А>Причем сразу, после окончания сборки exe-шника линковщиком. А>C этакой хренью никогда не сталкивался. Народ, может у кого что-то подобное уже было? А>Если надо подробнее — углубимся до необходимости. А>С уважением Сергей.
Одно из двух — либо вы компилируете исходники этого трояна, либо это ложное срабатывание. Для проверки можно попробовать проверить этот .exe-шник каким-то другим антивирусом.
Re[2]: Откуда!?? - Троян.
От:
Аноним
Дата:
03.01.07 21:43
Оценка:
Здравствуйте, Красин, Вы писали:
К>Одно из двух — либо вы компилируете исходники этого трояна, либо это ложное срабатывание. Для проверки можно попробовать проверить этот .exe-шник каким-то другим антивирусом.
Спасибо за быстрый ответ. Даже не ожидал.
Программа моя — с нуля. Эффект проявился относительно недавно.
Думаю после какого-то обновления баз антивируса.
Причем дома стоит AntiVir и ловит. На работе Dr.Web молчит.
Нашел "общую", если так можно выразиться причину.
Дело в том, что в ресурсе "выходящего" модуля сидит еще один exe,
причем не в чистом виде, а закриптованый по своему алгоритму.
Так вот если, ентот ресурс убираем, то "троян" не ловится.
У себя-то могу отключить сервис AntiVir-а, с заказчиком дело туго будет.
Прецедент на лицо. Пока ума не приложу, что предпринять.
С уважением Сергей.
А если попробовать этот алгоритм шифрования немного изменить? Судя по всему в результате шифрования случайно образовалась последовательность байт, опознаваемая антивирусом как сигнатура пресловутого трояна. Если чуть-чуть изменить код зашифрованной сборки или поменять алгоритм шифрования, эффект почти наверняка исчезнет.
Здравствуйте, Красин, Вы писали:
К>А если попробовать этот алгоритм шифрования немного изменить? Судя по всему в результате шифрования случайно образовалась последовательность байт, опознаваемая антивирусом как сигнатура пресловутого трояна. Если чуть-чуть изменить код зашифрованной сборки или поменять алгоритм шифрования, эффект почти наверняка исчезнет.
Большое спасибо за совет.
Да, согласен это предпринять, как начало действий.
Завтра займусь, поэкспериментирую. Потом отпишу.
Интересная все таки случайность, даже как-то мало верится.
А вот интересно можно ли внедрить трояна как-то в проект, имею в виду не обязательно тексты.
Может кто-то больно хочет контролировать. Это у меня уже такие глюки перед сном.
С уважением Сергей.
vstrang wrote: > Интересная все таки случайность, даже как-то мало верится.
У меня это было на программе на одну кнопку... Очень забавно было:
Каспер немедленно утаскивал программу в карантин при любой попытке
сборки. Так что это, в принципе, естественное следствие тупизны
используемых антивирусами алгоритмов.
> А вот интересно можно ли внедрить трояна как-то в проект, имею в виду не > обязательно тексты.
В смысле? Написать spyware? Сколько угодно таких freeware проектов ходит
по сети... Они даже что-то полезное делают. Но трояна запускают.
Здравствуйте, vstrang, Вы писали:
V>А вот интересно можно ли внедрить трояна как-то в проект, имею в виду не обязательно тексты. V>Может кто-то больно хочет контролировать. Это у меня уже такие глюки перед сном.
Теоретически — да, практически — ни разу не слышал.
