C# Virustotal meldet Bedrohungen

[toma123]

Habe mal spaßeshalber meine *.exe bei Virustotal hochgeladen und bekomme bei 3 Anbietern eine Meldung angezeigt.
Ist ein Selbst geschriebenes Programm C# .Net4.0 und WPF

SecureAge APEX meldet: "Malicious "
Webroot meldet: " W32.Rogueware "
Cylance meldet: " Unsafe "

Alle andere brachten: "Undetected" und nun würde ich gern dies auch bei den obigen erreichen. Hat jemand von Euch Erfahrung damit?

 

[1lluminate23]

Du wirst dich an die Anbieter wenden müssen zur Prüfung bzw. Meldung das es sich um ein false positiv handelt.
Aber wundern tut mich dies bei den 3 Anbietern nicht.

 

[lynxx]

Sowas kommt leider immer wieder vor, falls Du die Exe hier posten willst, poste einfach auch den Link auf Virustotal der dann z.B so aussieht: Virustotal-Scan für die Exe: 1/66

 

[toma123]

@lynxx
Meinst du die *.exe oder den Quellcode?
Der Link : Virustotal-Scan 3/71

 

[1lluminate23]

@toma123

So ist schon ok, so können wir uns die Datei mal anschauen. Ich empfehle dir sie auch bei https://www.hybrid-analysis.com zu testen.

 

[toma123]

Hab die *.exe mal als zip gepackt und hochgeladen.
Hier der Report: Hybrid-Analysis

 

[Phrasendreher]

Fehlt irgendwie die Info, was Dein Programm macht/machen soll.
Falls Du eine Malware programmiert haben solltest und unsere Hilfe willst, dass sie nicht erkannt wird, biste vmtl. im falschen Forum...

 

[toma123]

Ok, sorry.
Es liest aus dem System folgende 5 Infomationen aus: Product-Key, Client-Name, Mac-Adresse, TeamViewer-ID, Seriennummer

 

[Phrasendreher]

Versuch Dich mal darin hineinzudenken, was ein Malware-Autor da programmiert.
Und wie ein Developer für AV-Software darauf reagiert, wenn er unmöglich alle Kompilate vorab kennen und klassifizieren kann: Er arbeitet mit Mustern.

Natürlich kocht jeder AV-Hersteller sein eigenes Süppchen, aber da die im Wettbewerb stehen und (hoffentlich) jeder ein fähiges Produkt liefern will, versuchen die AVs sicher, ungewöhnliche und unnötige Programmierungen zu erkennen und zu interpretieren.

Also kann man nur ein paar generische Hinweise geben und darauf hoffen, dass die AV-Hersteller ähnlich arbeiten:

• benutze öffentliche, gut dokumentierte APIs (TeamViewer: Hersteller-API!?)
• fuhrwerke nicht in der Registry herum
• vermeide unnötige Zwischenschritte in der Programmierung (wie z.B. Zwischenergebnisse in tempöraren Dateien im Dateisystem zu speichern)

Das Auslesen von Seriennummern könnte eine AV-Software unter kruder Sicht auf ein Produkt schon als potentiell feindselig betrachten (weil manche AVs eher nicht die Computer der Benutzer schützen wollen, sondern v.a. die Software-Industrie, Stichwort KeyGen - aber das ist ein Thema für sich), bei solchen Aktionen wäre der Einsatz einer öffentlichen API vermutlich essentiell.

Viel Erfolg!

 

[andy_m4]

Ich finde ja, das offenbart sehr schön welche Problematik Antivirensoftware mitsich bringt und das die prinzipbedingt nicht zuverlässig funktionieren kann.

Was an der Sache aber wirklich ärgerlich ist, ist die Tatsache das Antivirensoftware mich als Autor dazu zwingt Aufwand zu betreiben, damit meine Software fälschlicherweise nicht mehr als Malware eingestuft wird.
AV-Software bringt miese Software auf den Markt die die Kosten für den Ausgleich der miesen Qualität dann noch anderen Programmautoren aufbürdet.

 

[BenTheCure]

Habe jetzt mal nur das XAML geschrieben und hochgeladen, selbst jetzt bekomme ich SecureAge APEX die Meldung: "Malicious"

Und da ist wirklich nur das reine XAML, mehr nichts.

 

[Phrasendreher]

Gute Nachricht,
spasseshalber habe ich die fragliche .exe mal bei Jotti hochgeladen:
https://virusscan.jotti.org/de-DE/filescanjob/z808a04z27

und es wurde kein einziger Fehlalarm gemeldet:
"Scan abgeschlossen. 0/15 Scanner haben Malware gemeldet. "

Daher meine Empfehlung: Leute, benutzt Jotti, der nutzt die seriöseren AV-Engines!

 

[Zuse1]

Gute Nachricht,
spasseshalber habe ich die fragliche .exe mal bei Jotti hochgeladen:
https://virusscan.jotti.org/de-DE/filescanjob/z808a04z27

und es wurde kein einziger Fehlalarm gemeldet:
"Scan abgeschlossen. 0/15 Scanner haben Malware gemeldet. "

Daher meine Empfehlung: Leute, benutzt Jotti, der nutzt die seriöseren AV-Engines!

Jop, man benötigt auch kein JavaScript um Jotti nutzen zu können. Das könnte für den einen oder anderen interessant sein.

 

[BenTheCure]

Ich würde aber gern trotzdem die *.exe bei Virustotal hochladen und als unbedenklich bescheinigt bekommen. Hat da jemand noch Ideen?

 

[andy_m4]

Ich würde aber gern trotzdem die *.exe bei Virustotal hochladen und als unbedenklich bescheinigt bekommen.

Das geht vom Prinzip her nicht.
Kein Antivirenprogramm auf der Welt kann Dir bescheinigen, das ein Programm "sauber" ist.
Es kann Indizien dafür geben, das damit möglicherweise was nicht in Ordnung ist. Aber selbst diese Indizien sind halt nur Indizien und keine Beweise.

Vielleicht ist ja Dein Ziel eher: Du willst nicht, wenn Du das Programm jemanden schickst, das sein Antivirenprogramm Alarm schlägt. Aber das ist ein völlig anderes Thema. Und Du bist in dem Punkt dem wohl und Wehe der Antivirenhersteller ausgeliefert. Das Einzige was Du da machen kannst ist Dich an die betroffenen Hersteller zu wenden und darum zu bitten, ob sie Dein Programm nicht explizit entsprechend klassifizieren können. Und dann machen die das oder auch nicht.
Klingt vielleicht unschön, ist aber letztlich so.

Du bist übrigens nicht der weder der Einzige noch der Erste oder Letzte, der sich mit dem Problem herumschlagen muss.

 

[Paderman]

Auch wenn dieser "Thread" über 2 Jahre alt ist...

Ich bin in C# (WPF) leider ein Dauer-Anfänger 😂 und sobald der Debugger angeworfen wird, wird der Start auch in der Regel verzögert, da der "Defender" den Code scheinbar auch auf Schadcode untersucht und es wird in der Regel nichts ausgelesen 😉