Pomijam fakt, że w nowych delphi np. XE3 aplikacja, nawet z jednym buttonem ma z 9 MB, po wyłączeniu opcji dołączania dbg itd rozmiar maleje do 2 MB, to postanowiłem sprawdzić serwisy analizujące programy.
Wrzuciłem na formę idhttp, memo, jkiś button, prosta funkcja pobierania danych ze strony i wysłałem program na jeden z serwisów, chyba threatexpert.com (wysyłałem jakiś czas temu, dlatego nie pamiętam).
I analiza tej strony, automatyczna była taka, że program może zbierać informacje o kartach kredytowych i takie tam. Śmieszy mnie to tym bardziej, że na virustotal.com (wcześniej wysłałem), nic złego nie zostało wykryte w aplikacji.
No i o co chodzi? W czym może być problem? Może ten delphi za dużo funkcji dorzuca od siebie od tego idHttp i innych bajerów z VCL i serwis z botem analizującym program strzela w ciemno heurestyką, że skoro tyle bajerów w exeku jest, to musi być coś nie tak?
Osoby choćby minimalnie obeznane proszę o skomentowanie tego (możecie teretyzować nawet)
Z takimi pytaniami to do właściciela serwisu... Kto wie kto to pisał, na jakiej zasadzie działa heurystyka zagrożeń. Oczywiście jest możliwe, że masz zarażone Delphi, które generuje exe'ki z jakimś syfem, lub masz gdzieś indziej szkodnika, który infekuje exe'ki, ale równie dobrze może to być fałszywy alarm. Rozmiar programu nie ma żadnego znaczenia, choć niekiedy np. Pakowane exe'ki są traktowane jako podejrzane szczególnie wtedy gdy program go analizujący nie potrafi go rozpakować.
Strzelam, że serwis mógł źle ocenić aplikację. System reinstallowałem miesiąc temu, nie wydaje mi się bym miał jakiegoś szkodnika na dysku. Mam Comodo Internet Security porządnie ustawiony, często dla potrzeb aplikacji monitoruję jakie dane płyną przez net i nigdy nie widziałem niczego podejrzanego.
Dla pewności pustą formę skompilowałem i wrzuciłem na zippyshare, jeśli możesz to pobierz i przeskanuj swoim antywirusem i napisz, czy coś wykrył. Uruchamiać exeka nie musisz.
http://www42.zippyshare.com/v/22632495/file.html