Wiem ze moze nie trafilem zbytnio z tematem ale mam taki problem.
Otoz pobralem pare kodow z neta w .rar do nauki (ale po przeskanowaniu 21 antywirusami jeden mi pokazuje : PUA.Win32.Packer.Devcpp )
Chcialem sie zapytac czy to jest wirus czy po prostu antywirus uznaje plik cpp jako wirusa ?
Czy jest on grozny ?
- Rejestracja:prawie 10 lat
- Ostatnio:ponad 2 lata
- Postów:156
0
C++ 
- Rejestracja:prawie 16 lat
- Ostatnio:4 miesiące
3
Pokazuje że jeden z kodów zródłowych po skompilowaniu może pakować pliki czyli np. być podobny do FSG lub UPX
Co Ty opowiadasz, antywirusy nie analizują działania kodu po kompilacji w ten sposób.
A dwa (to nie do Ciebie tylko autora), UPX/FSG i inne packery to nie jest żadne zagrożenie, jeśli jakiś antywirus wykrywa program pakowany UPX jako wirusa to znaczy że nie jest warty cyklów procesora które marnuje. Ani jednego cyklu procesora, ściśle mówiąc.
Otoz pobralem pare kodow z neta w .rar do nauki (ale po przeskanowaniu 21 antywirusami jeden mi pokazuje : PUA.Win32.Packer.Devcpp )
Chcialem sie zapytac czy to jest wirus czy po prostu antywirus uznaje plik cpp jako wirusa ?
Domyślam się że ten wynik to w jakiejś chińskiej tandecie napisanej przez weekend przez klepacza z jakiejś manufaktury. Jeśli poważne AV nic nie wykrywają tylko są sporadyczne false positivy to nie masz sie absolutnie czym przejmować.
Chcialem sie zapytac czy to jest wirus czy po prostu antywirus uznaje plik cpp jako wirusa ?
Czy jest on grozny ?
Nic czego nie wykonasz (ew. co nie wykona się) na komputerze nie zrobi żadnej szkody. Jak to mówił klasyk, "[wirus] nie koza. [komputer] przez zły dotyk nie złapie syfa".
Sorki ale sie nie znam na wirusach ;p . Moglbys mi powiedziec czy jest on grozny bo nie wiem czy robic formata ;p
Nie.
Myslalem tez ze pliki po prostu sa spakowane i dlatego pokazuje tego wirusa .
Podeślij może ten plik który rzuca ostrzeżeniem (domyślam sie że na virustotal wrzucałeś), przeanalizuje w wolnym czasie. Ale to na 100% jakaś głupia heurystyka niszowego antywirusa.
0
balti napisał(a):
PUA.Win32.Packer.Devcpp
PUA = Possibly Unwanted Application. While not necessarily malicious, the scanned file presents certain characteristics which depending on the user policies and environment may or may not represent a threat.
Możliwie niechciana aplikacja. Nie koniecznie złośliwe oprogramowanie. Skanowany plik zawiera określoną charakterystykę, która opiera się na ustawieniach użytkownika i środowisku. Może, ale nie musi być zagrożeniem.
- Rejestracja:prawie 16 lat
- Ostatnio:4 miesiące
3
Otoz pobralem pare kodow z neta w .rar do nauki (ale po przeskanowaniu 21 antywirusami jeden mi pokazuje : PUA.Win32.Packer.Devcpp )
Zakładam że to znaczy że nie są bardzo tajne (z YT się nie da pobrać plików, ale strukturę katalogów widać najwyzej).
Wrzuciłem do virustotal:
https://www.virustotal.com/en/file/3a2d67c6ead10fdaf084938b9b524fe01b2351b1bd3e3e02d37e50aa8823117c/analysis/
Jiangmin Trojan/Shutdowner.boj 20151014
Rising PE:Spyware.Infertas!6.1911[F1] 20151014
Tak jak pisałem, jakieś chińskie pseudoantywirusy - naciągacze. Szkoda marnować miejsce na dysku i procesor na nie, poważnie.
A jak o Rising mowa:
http://niebezpiecznik.pl/post/chinskie-firmy-antywirusowe-pisza-wirusy/
Yu Bing to były dyrektor Chińskiego Narodowego Biura Bezpieczeństwa, którego przekupiła firma antywirusowa Rising Antivirus. Wydał on urzędowy komunikat ostrzegający przed wirusem. W komunikacie tym polecał pobranie programu firmy Rising Antivirus, jako narzędzia świetnie usuwającego infekcję. Kiedy okazało się, że wirus został napisany przez pracowników firmy Rising Antivirus, Yu Bing stracił pracę i — jak to w Chinach bywa — został skazany na karę śmierci.
Cóż.
Nie do końca wiadomo do czego sie przyczepiają te sprytne programy, więc trzeba kombinować.
W folderze mamy 12 folderów, sprawdźmy po kolei:
Grafika: czysta.
https://www.virustotal.com/en/file/d31734658fd66147c6bca56d929bcde31e1281c6135f29ebea4a6688f5045004/analysis/1444868700/
lab3: czyyste
https://www.virustotal.com/en/file/36c8b94bd93865fdb962ab2a9f1f9f0d123066b91e625cdde8b7237b9b4425ad/analysis/1444868973/
Noo, a już sie bałem że ten cały alarm kompletnie na nic sie zda i każdy osobno folder będzie czysty wg. chińskiego softu.
lab10: czyste
https://www.virustotal.com/en/file/9e7d1426a741dbf9877267be4cb9333051c405ef3ff7ee9eb3ab610cc2301887/analysis/1444869128/
lab11: czyste
https://www.virustotal.com/en/file/2c81257016772c1cf3022d2836490cb1029764b7f40b69ed5c45562a2f2495e5/analysis/1444869189/
lab12: czyste
https://www.virustotal.com/en/file/3466faaa6be0fcde91e2f31e27e384d8e27111d2cad549b98a9f19a021ff3470/analysis/1444869192/
No to co w tym zipie jest - dwa pliki. Jeden .cpp, drugi .exe.
Pierwszy kod:
#include <iostream>
#include <string>
using namespace std;
class osoba
{
string _imie, _nazwisko;
public:
osoba()
{
}
osoba(string a, string b)
{
_imie=a;
_nazwisko=b;
}
string & imie() { return _imie; }
string & nazwisko() { return _nazwisko; }
void pokaz()
{
cout <<"Imie: " << _imie <<"\nNazwisko: " << _nazwisko;
}
};
class student : public osoba
{
unsigned int _indeks;
public:
student()
{
_indeks=0;
}
student(string a, string b, unsigned int c):osoba(a,b)
{
_indeks=c;
}
unsigned int & indeks() { return _indeks; }
void pokaz()
{
osoba::pokaz();
cout << "\nIndeks: " << _indeks<<endl;
}
};
int main()
{
student s;
s.imie() = "Jan";
s.nazwisko() = "Kowalski";
s.pokaz();
student s1("Michal", "Loczek", 69);
s1.pokaz();
system("pause");
return 0;
}
Straszne.
Przewrażliwione te antywirusy. Też mi się nie podoba ten kod, ale nie aż tak żeby robić z tego powodu awantury.
No ok, to co mamy w tym groźnym .exe? Może to faktycznie trojan udający skompilowany kod?
Niestety - otwieram w IDA i kompletnie nic poza skompilowanym kodem z zadania (oraz importami ofc) nie ma. Hmm. Ciekawe w takim razie dlaczego programy wymyśliły sobie tam wirusa? Mogę tylko spekulować, ale...
Chwila teorii - poważne programy antywirusowe opierają sie głównie na analizie behawioralnej. Czyli uruchamiają program (w środowisku dobrze zabezpieczonym) i sprawdzają co faktycznie robi. Wszystkie sprawdzenia oparte na patternach wymiękają przy byle polimorficznym malware (modyfikującym sam siebie, tak że żaden "pattern" nie pasuje). Oczywiście sprawdzania z wzorcami też mają zastosowanie (bo są szybkie), ale daleko im do bycia wiarygodnym.
No więc podejrzewam że te AV nawet programu nie uruchomiły, tylko uruchomiły jakiś zaawansowany algorytm w rodzaju:
char *program = read_program_to_byte_array(input_file);
for (int i = 0; i < patterns_count; i++) {
char *next_pattern = patterns[i];
if (search_bytes(next_pattern, program) == 0) {
alert("UWAGA GROŹNY WIRUS");
}
}
Nawet zweryfikowałem tą teorię dla zabawy:
Na czerwono zaznaczony były entry point binarki. Zmodyfikowałem "trochę" kod wykonujący się na początku hexedytorem. Gwarantuję że teraz program nie ma szans się odpalić ;).
Co na to antywirusy?
https://www.virustotal.com/en/file/f5b09c0422ee64835a7e72f74dcde3ee5de3e205b0bbcf165287b77ac0aeffd5/analysis/1444869806/
Rising PE:Spyware.Infertas!6.1911[F1]
Otóż, wg. Risinga, ten kompletnie zniszczony program który nie ma szans się odpalić dalej jest wirusem.
To tyle w kwestii wiarygodności, nie mam pytań.
- 1f83709290.png (23 KB) - ściągnięć: 185
edytowany 2x, ostatnio: msm
Shalom