Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Un prog compilé par moi est considéré comme un malware !

Arnaud

Par Arnaud
dans Analyses et éradication malwares

 Partager

Messages recommandés

Arnaud Full Patch Member

Arnaud

Posté(e)
Posté(e) (modifié)

Bonjour à tous :)

 

L'un de mes propres programmes est considéré par Antivir comme un malware !

 

Bien entendu, je l'ai immédiatement recompilé : même résultat :/

 

Voici ce qu'il me dit : Message d'alerte

 

 

Et son rapport :

 

C:\Documents and Settings\..\Installer AVS Video Converter\Installateur_AVS.exe

[RESULTAT] Contient le code suspect : HEUR/Malware

[REMARQUE] Le résultat positif a été classé comme suspect.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e94cb3e.qua' !

 

 

La recherche a été effectuée intégralement

 

21 Les répertoires ont été contrôlés

280 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

1 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

1 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

0 Impossible de scanner des fichiers

279 Fichiers non infectés

17 Les archives ont été contrôlées

0 Avertissements

1 Consignes

 

Je précise que je suis certain qu'il n'y a rien sur ma config : 3 antivirus en ligne + MBAM + réinstallation d'Antivir et même de Delphi ! En plus, je viens juste de réinstaller Windows XP : il est tout neuf...

 

Je fais quoi ? Et qu'est-ce que c'est, cette appellation "Heur/Malware" ? En lien avec l'analyse heuristique, je suppose ?

 

Merci :hello:

Modifié par Arnaud

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonjour Arnaud :)

 

Oui, en effet, en liaison avec le module heuristique de l'outil.

 

S'agit-il d'une application de particulier, ou est-ce destiné à un usage professionnel ? Pour remonter des faux positifs à Avira Antivir, ils disposent d'une page de remontée de fichiers disponible ici ; il faut bien sûr sélectionner Faux positif suspecté.

 

Il peut être intéressant éventuellement de faire analyser ce fichier compilé sur différents moteurs d'AV sur VirusTotal. Si plusieurs suspectent également un fichier malveillant, cela va être vite laborieux pour toi d'essayer individuellement, éditeur par éditeur, de faire déclasser ton application. Il te faudra sans doute essayer de comprendre et déterminer quelles sont les fonctionnalités suspectes.

 

S'il s'agit d'une utilisation toute personnelle, je te suggère de mettre le fichier compilé en exception au niveau de l'antivirus, de sorte de ne plus être ennuyé.

Arnaud Full Patch Member

Arnaud

Posté(e)
  • Auteur
Posté(e)

Bonjour Arnaud :)

 

Oui, en effet, en liaison avec le module heuristique de l'outil.

 

S'agit-il d'une application de particulier, ou est-ce destiné à un usage professionnel ? Pour remonter des faux positifs à Avira Antivir, ils disposent d'une page de remontée de fichiers disponible ici ; il faut bien sûr sélectionner Faux positif suspecté.

 

Il peut être intéressant éventuellement de faire analyser ce fichier compilé sur différents moteurs d'AV sur VirusTotal. Si plusieurs suspectent également un fichier malveillant, cela va être vite laborieux pour toi d'essayer individuellement, éditeur par éditeur, de faire déclasser ton application. Il te faudra sans doute essayer de comprendre et déterminer quelles sont les fonctionnalités suspectes.

 

S'il s'agit d'une utilisation toute personnelle, je te suggère de mettre le fichier compilé en exception au niveau de l'antivirus, de sorte de ne plus être ennuyé.

 

Merci :)

 

J'ai effectivement été victime d'une infestation, il y a peu. Ce fichier avait été touché, et je l'ai bien vu : après re-compilation, le nombre d'octets ne correspondait pas. Mais j'ai détruit ce fichier infecté (par un BackDoor).

 

Il s'agit bien d'une utilisation strictement personnelle. Je vais quand-même allzer voir ce VirusTotal ;)

Arnaud Full Patch Member

Arnaud

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour Arnaud :)

 

Oui, en effet, en liaison avec le module heuristique de l'outil.

 

S'agit-il d'une application de particulier, ou est-ce destiné à un usage professionnel ? Pour remonter des faux positifs à Avira Antivir, ils disposent d'une page de remontée de fichiers disponible ici ; il faut bien sûr sélectionner Faux positif suspecté.

 

Il peut être intéressant éventuellement de faire analyser ce fichier compilé sur différents moteurs d'AV sur VirusTotal. Si plusieurs suspectent également un fichier malveillant, cela va être vite laborieux pour toi d'essayer individuellement, éditeur par éditeur, de faire déclasser ton application. Il te faudra sans doute essayer de comprendre et déterminer quelles sont les fonctionnalités suspectes.

 

S'il s'agit d'une utilisation toute personnelle, je te suggère de mettre le fichier compilé en exception au niveau de l'antivirus, de sorte de ne plus être ennuyé.

 

Et voici le résultat de l'analyse :

 

Résultat

 

Bizarre...

Modifié par Arnaud
  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Re :)

 

Deux cas de figure je pense à envisager.

 

Un. Je te suggère de compiler une autre ressource, sur laquelle tu n'avais jamais eu et rencontré de soucis, puis de faire analyser ce fichier compilé, de la même manière. Pourquoi ? Certaines infections, plutôt rares, infectent toutes ressources compilées, ce qui permet d'infecter à l'insu de son développeur des ressources maison. Ce cas de figure est sans doute peu probable.

 

Deux. Je te suggère de réfléchir à ce que fait ce fichier personnel que tu t'es compilé. Au nom je suppose que ce fichier va télécharger une ressource et l'installe, sans ou quasi-sans interaction de l'utilisateur. C'est un comportement suspect par définition, une quantité infinie de malware agissent comme cela. Peut-être même qu'il débride une fonctionnalité restreinte du soft en question (AVS Video Converter) fournie dans sa version d'évaluation ?

Arnaud Full Patch Member

Arnaud

Posté(e)
  • Auteur
Posté(e)

Re :)

 

Deux cas de figure je pense à envisager.

 

Un. Je te suggère de compiler une autre ressource, sur laquelle tu n'avais jamais eu et rencontré de soucis, puis de faire analyser ce fichier compilé, de la même manière. Pourquoi ? Certaines infections, plutôt rares, infectent toutes ressources compilées, ce qui permet d'infecter à l'insu de son développeur des ressources maison. Ce cas de figure est sans doute peu probable.

 

Deux. Je te suggère de réfléchir à ce que fait ce fichier personnel que tu t'es compilé. Au nom je suppose que ce fichier va télécharger une ressource et l'installe, sans ou quasi-sans interaction de l'utilisateur. C'est un comportement suspect par définition, une quantité infinie de malware agissent comme cela. Peut-être même qu'il débride une fonctionnalité restreinte du soft en question (AVS Video Converter) fournie dans sa version d'évaluation ?

 

Hum :D

 

1) Il vérifie que les connexions réseaux sont bien fermées. Ce qui m'évite de le faire moi-même, ce que je peux très bien oublier.

2) Il appelle l'installateur du prog

3) Il copie un certain fichier, puis en renomme d'autres dans le répertoire d'installation du prog en question.

 

Et Antivir aurait détecté ça ?? C'est récent, alors : parce que ça ne dure que depuis quelques jours...

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Je vois :)

 

D'une part, je crois que nous allons nous arrêter là hein, vu la finalité de l'application, je pense que tu en conviendrais aisément.

 

Sinon, en effet je pense que le module heuristique a pu réagir à certaines des fonctionnalités : fermeture des connexions réseaux, exécution d'un programme, copie et modification de fichiers et de leurs noms, etc.. Au premier abord, tout cela peut sembler suspect pour un AV générique ; cela ne me semble pas plus étonnant.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...