Problem mit Antivirenprogramm

Reply to Problem mit Antivirenprogramm on Sun, 18 Nov 2007 16:15:20 GMT

RebornX — Sun, 18 Nov 2007 16:15:20 GMT

Hi,

ich habe einen Clienten und Server geschrieben.
Die sind komplett von mir in WinApi geschrieben ohne ressource editor usw..

Jedoch habe ich ein Problem:
Mein F-Secure schlägt immer alarm sobald ich den Clienten starte^^
Er meint es wäre W32/Malware.
Dabei kann das Ding nur connecten!!?? mehr nicht...

Nun zu meiner Frage:
Wie kann ich das umgehen??
Ich habe da irgendwas von api crypten gehört, aber habe keine ahnung was das ist geschweige den wie das geht^^...

Hier der Client-Source:
main.cpp: http://nopaste.de/p/alAqCf1lcb
winsock.h: http://nopaste.de/p/aj2IsZsNp
statusfeld.h: http://nopaste.de/p/anJd7F4dN

Reply to Problem mit Antivirenprogramm on Sun, 18 Nov 2007 17:41:03 GMT

Martin Richter — Sun, 18 Nov 2007 17:41:03 GMT

Was schlägt denn Alarm in FSecure?
Evtl. verwendest Du so wenige API Funktionen oder eben ganz spezielle, die eben typisch sind für einen Trojaner oder Maleware. Viele der Virenscanner haben so eine Art Metrik eingebaut, die helfen soll bereits unbekannte Viren oder Trojaner im Vorfeld zu erkennen.

IMHO müsstest Du FSecure sagen können, er soll das bleiben lassen.

Reply to Problem mit Antivirenprogramm on Sun, 18 Nov 2007 17:56:07 GMT

RebornX — Sun, 18 Nov 2007 17:56:07 GMT

Martin Richter schrieb:

Was schlägt denn Alarm in FSecure?
Evtl. verwendest Du so wenige API Funktionen oder eben ganz spezielle, die eben typisch sind für einen Trojaner oder Maleware. Viele der Virenscanner haben so eine Art Metrik eingebaut, die helfen soll bereits unbekannte Viren oder Trojaner im Vorfeld zu erkennen.

IMHO müsstest Du FSecure sagen können, er soll das bleiben lassen.

http://www.imagespell.com/show.php?id=ffee7a5ec781ec57193a779c6e28a290.jpg

^^ Hmm also ich habe oben den Source gepostet^^ Aber ich weiß einfach nicht was ich da falsch gemacht habe^^ bzw was ich da "bösartiges" gecodet habe ....

Reply to Problem mit Antivirenprogramm on Sun, 18 Nov 2007 22:51:24 GMT

dr_malware — Sun, 18 Nov 2007 22:51:24 GMT

Probier mal dem Clienten eine andere Portnummer zu geben. Portnummer 12345 ist bereits 'reserviert' für eine Unzahl von Viren und Malware.

Reply to Problem mit Antivirenprogramm on Mon, 19 Nov 2007 08:45:03 GMT

[[global:former_user]] — Mon, 19 Nov 2007 08:45:03 GMT

Schick deine Anwendung an FSecur, damit die die Definitionsdatei anpassen können. Hatte ich auch schon das ein oder andere mal mit eigenen Programmen.

Reply to Problem mit Antivirenprogramm on Mon, 19 Nov 2007 08:56:33 GMT

Listing — Mon, 19 Nov 2007 08:56:33 GMT

Ein Programm, dass nur winsock benutzt und nichts anderes macht ist verdächtig,
denn es könnte ein kleiner "Filedownloader" sein, der etwas aus dem Netz zieht und dann ausführt, oder ein sehr kleiner Keylogger, der die logs hochläd.

Die Import Table wird nach den importierten API's untersucht und wenn du nur ein paar winsock basierte API's verwendest bist du verdächtig.

Das wars

Reply to Problem mit Antivirenprogramm on Mon, 19 Nov 2007 11:28:17 GMT

Nanyuki — Mon, 19 Nov 2007 11:28:17 GMT

Ich hab mal der Interesse halber einige meiner eigenen Programme durch einen Onlinescanner, der Dateien mit einer Vielzahl von kommerziellen Virenscannern prüft, geschleust. Praktisch jedes wird von 4-10 Scannern als verdächtig eingestuft oder ganz blatant als Trojaner xyz erkannt. Selbst bei Programmen, die keinerlei WinSock-Funktionen benutzen, finden sich meist noch zwei, drei Scanner, die sich beschweren.
Ich schätze mal, dass ein Virenscanner eher in Verruf kommt, wenn er viele Schädlinge nicht erkennt, als wenn er viele Falschmeldungen ausspuckt, da viele Benutzer letztere in der Regel gar nicht als solche erkennen, sondern froh sind, dass das "Unheil noch mal abgewendet wurde".
Eventuell könnte es ja helfen, die WinSock-Funktionsnamen verschlüsselt im Programmcode zu haben und erst zum Zeitpunkt des Aufrufs von GetProcAddress zu entschlüsseln.