Gabriele “Charlie” Guizzardi

24 Nov, 2009

Creiamo un Falso Positivo TR/VB.Downloader.Gen in VB6 per Avira

Scritto da: Gabriele Guizzardi In: Programmazione|Sicurezza|Software|Visual Basic 6

Iniziamo subito col dire che non ce l’ho con Avira ne mi diverto a far fare “brutte figure” agli anti-virus. Studiare certe tecniche di programmazione aiuta a comprendere come funzionano i Malware e a cosa si può andare incontro nella realizzazione di software.

TR/VB.Downloader.Gen - Trojan

Veniamo al nostro falso positivo che, come vedrete, è di una semplicità disarmante e se eseguito non produce alcun risultato ne funzionamento utile o dannoso, come fosse un programma morto pertanto totalmente innocuo.

Aprite VB6 e create un progetto. In Form1 mettete un controllo WebBrowser1 e nel codice copiate questo:

Private Declare Function SendMessage Lib "user32" _
   Alias "SendMessageA" (ByVal hWnd As Long, _
   ByVal wMsg As Long, ByVal wParam As Long, _
   lParam As Any) As Long

Private Sub Form_Load()
'
End Sub

Per i più pigri trovate il progetto nella pagina Download.

Tutto qua. La combinazione del controllo web di VB6 e dell’API SendMessage per Avira Antivir è sufficiente a visualizzare un messaggio di Malware. In altri casi è sufficiente abbassare il livello di aggressività della funzione euristica del programma, ma non in questo caso poiché per Avira si tratta semplicemente di un tentativo di trasmettere all’esterno dati della macchina.

falso positivo allarme

Cosa ci dice tutto questo? Innanzitutto un anti-virus non è un programma infallibile e chi li spaccia per tali vende fumo. Non date retta soprattutto a chi si schiera per l’uno o l’altro produttore, non è possibile avere una cultura aggiornata e totale su tutti i prodotti in commercio. Secondo, essere primo o decimo nella classifica dei migliori anti-virus per riconoscimento potrebbe non essere il massimo se poi il programma vi disturba per ogni legittimo tentativo di un certo tipo di connessione e controllo di Windows. Il miglior anti-virus spesso è un compromesso di tutto questo, buon livello di riconoscimento e basso profilo.

Questo test è stato eseguito con la versione 9.0.0.415 (aggiornato alla data di pubblicazione dell’articolo) di Avira in versione gratuita. Questo anti-virus resta comunque attualmente una buona soluzione gratuita sul mercato e la rilevazione di questo falso positivo non ne scredita certo l’ottimo livello di sicurezza.

Chi volesse divertirsi può provare lo stesso codice o soluzioni simili in altri linguaggi con differenti anti-virus.

Related Posts with Thumbnails
Share and Enjoy:
  • Print
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Mixx
  • Google Bookmarks
  • Blogplay
PDF Download    Invia l'articolo in formato PDF a
Tags: , , , , , , , , , ,
0
votato
www.wikio.it

9 Responses to "Creiamo un Falso Positivo TR/VB.Downloader.Gen in VB6 per Avira"

1 | Gabriele Guizzardi

November 26th, 2009 at 11:43

Avatar

Informato Avira:

http://forum.avira.com/wbb/index.php?page=Thread&threadID=102590

2 | Gabriele Guizzardi

December 7th, 2009 at 13:05

Avatar

Avira AntiVir non è l’unico software ad essere ingannato, sembra lo sia anche McAfee-GW-Edition:

http://www.virustotal.com/it/analisis/b85337d701eb3196390b67902ea6fc0be6122de56cd00afee88ac30784c2158a-1260183657

3 | Gabriele Guizzardi

December 8th, 2009 at 12:41

Avatar

Ecco il risultato del controllo da parte di Avira:

Dear Sir or Madam,

Thank you for your email to Avira’s virus lab.
Tracking number: INC00406088.

A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
25511807 falso_positivo.exe 20 KB FALSE POSITIVE

Please find a detailed report concerning each individual sample below:
Filename Result falso_positivo.exe FALSE POSITIVE

The file ‘falso_positivo.exe’ has been determined to be ‘FALSE POSITIVE’. In particular this means that this file is not malicious but a false alarm. Detection will be removed from our virus definition file (VDF) with one of the next updates.

Alternatively you can see the analysis result here:
http://analysis.avira.com/samples/details.php?uniqueid=n3bTUAOLRZRqm9U9WD2TqzVWOPh8qdzO&incidentid=406088

An overview of all your submissions can be found here:
http://analysis.avira.com/samples/details.php?uniqueid=n3bTUAOLRZRqm9U9WD2TqzVWOPh8qdzO

Please note: If you have specific questions please address them to support@avira.com

Kind regards
Avira Virus Lab

———————————————
Avira GmbH
Lindauer Str. 21, D-88069 Tettnang, Germany
Phone: +49 (0) 7542-500 0
Fax: +49 (0) 7542-525 10
Internet: http://www.avira.com

CEO: Tjark Auerbach
Headquarter: Tettnang
Commercial register: AG Ulm HRB 630992
———————————————

4 | okeefee

December 10th, 2009 at 23:29

Avatar

Ciao, sono Paolo Lautizi, ti ringrazo per le segnalazioni ma debbo dirti che per me AVIRA e’ un ottimo antivirus; se dice che va male questo devi estare glia altri.
Comunque buono il tuo lavoro..

5 | giacomo parodi

January 5th, 2010 at 01:00

Avatar

Ciao ,sono Giacomo e non sono molto esperto di informatica ,mi diverto un po ma quà sono già nel difficile ,gentilmente qualche anima buona mi spiegherebbe passo passo,come eliminare il fastidioso ( TR/Downloader.Gen ) dato che ho letto che non sembrerebbe dannoso ,ma almeno è noioso ,ogni 3/5 min mi allarma il cicalino di AVIRA e mi segnala il rilevamento di —TR/Downloader.Gen—-
Ringraziando anticipatamente vi saluto tutti ,Giacomo Parodi
macellaio@email.it

6 | Gabriele Guizzardi

January 5th, 2010 at 13:18

Avatar

Ciao, attento a comprendere bene quanto scrivo. Non è pericoloso il codice che ho scritto io essendo un falso positivo, questo non vuol dire che non sia pericolosa l’attività del TR/Download che hai sulla tua macchina. Potrebbe scaricare programmi “malevoli”. E’ necessario capire qual è il programma che viene rilevato, se si tratta di un software sicuro, magari è la parte che aggiorna un programma assolutamente funzionale. Se invece è un software sconosciuto o non famoso o altro potrebbe essere veramente un malware. Nel primo caso prova impostando Avira per non informarti più quando lo rileva altrimenti cancella il file e prova a scannare tutto il PC con 2 o 3 antivirus online.

7 | Francesco

April 4th, 2010 at 06:28

Avatar

Avira mi impedisce l’accesso al sito volkswagen segnalandomi un malicous.flash.gen: si tratta di una situazione simile a quella da te testata?

8 | Gabriele Guizzardi

April 4th, 2010 at 16:42

Avatar

Purtroppo non è possibile rispondere semplicemente alla domanda. Partendo dal presupposto che VW non credo abbia interessi a creare codice malevolo contro i propri utenti penso che la segnalazione sia un errore di Avira.

Consiglio alcune azioni:

1) assicurarsi che tutti i programmi in gioco siano aggiornati (flash, il browser usato e Avira). Provare anche con un browser differente per scrupolo.

2) se ancora si presenta la segnalazione scrivere un messaggio sul forum di Avira indicando dettagliatamente cosa viene segnalato.

Saluti.

9 | marco

July 1st, 2010 at 21:29

Avatar

salve.
sto lavorando assieme al mio amico paolo su alcune foto; spesso, durante il ritocco, avira mi blocca il lavoro segnalando dei troian.
ma, mentre lavoro, non sono nemmeno connesso!
lancio la caccia al viris ed avira non rileva nulla divento matto.
anche al mio collega paolo lautizi, sempre su photoshop e’ successo qualche cosa di simile.
suggerimenti?
grazie

Comment Form

Categorie

Archivi

Links

View Gabriele Guizzardi's profile on LinkedIn

View Gabriele Guizzardi's profile on Google

View Gabriele Guizzardi's profile on Xing

Segnalato da

Servizi

Ricerca


  • Gabriele Guizzardi: Purtroppo l'elenco degli errori che ho pubblicato non c'entra nulla con il problema da te riscontrato ma vi si fa riferimento durante l'utilizzo di wi
  • chinaski: ciao! da qualche giorno XP mi chiede la password all'avvio senza che io l'abbia mai impostata non acetta nessuna password, e se lascio il campo
  • Matteo Cappelli: Ho capito allora, il cambio dell'indirizzo MAC funziona solo se all'interno dello stesso dominio di broadcast (ad esempio per ingannare uno switch e p

Chi Sono

Salve a tutti,
questo blog nasce per studiare WordPress e il mondo dei blog in genere quindi, almeno per il momento non vi aspettate molto. Usero' questo stumento per parlare di cio' che conosco meglio, a partire dalla programmazione dei computer. Su di me posso dire che ho iniziato a programmare agli inizi degli anni '80 con l'uscita dell'Atari 800XL e nel 1989 è uscito un mio videogioco distribuito dalla Lago Software. In tutti questi anni, oltre a lavorare come tecnico o programmatore, ho pubblicato diversi articoli e inseriti per diverse riviste: EG Elettronica Giovane, Elettronica Flash, Computer News, ecc. Dal 2000 ho creato una piccola software house specializzata in software aziendali realizzati ad hoc.

Pubblicit�

Pubblicit�


Copyright © 2009 Gabriele “Charlie” Guizzardi is proudly powered by WordPress

Fervens - C Theme is created by: Design Disease brought to you by Smashing Magazine