Herzlich Willkommen, lieber Gast!
  Sie befinden sich hier:

  Forum » Software » Seltsame Viruswarnung

Forum | Hilfe | Team | Links | Impressum | > Suche < | Mitglieder | Registrieren | Einloggen
  Quicklinks: MSDN-Online || STL || clib Reference Grundlagen || Literatur || E-Books || Zubehör || > F.A.Q. < || Downloads   

Autor Thread - Seiten: > 1 <
000
11.11.2008, 00:08 Uhr
Hans
Library Walker
(Operator)


Hi,
auf der Entwickler-Info-Seite Wotsit gibt es Informationen über das pe-Format von Programmdateien die unter Windoof laufen sollen. Das ist ein Archiv mit mehreren Dateien, unter anderem eine "hello.exe", die als Beispiel dazu dient, wie der Linker unter Windows arbeitet. In dem Fall hat der Autor selbst Linker gespielt, und die Datei von Hand zusammen gestrickt. Das ganze erklärt er auch Schritt für Schritt im beiliegenden Text. (pe.txt; letzte Abschnitte).

Nun ist AntiVir Personal allerdings der Meinung, bei der Datei "hello.exe" würde es sich um ein trojanisches Pferd handeln, dem Avira den Namen "TR/Crypt.XPACK.Gen" verpasst hat. Hab die Datei deshalb schon überprüft, und festgestellt, das es sich um die von Hand zusammen gebaute Datei aus dem Begleittext handelt. Demnach ist die Virenwarnung ziemlich falsch, allerdings ist mir Avira immer noch die Antwort auf die Frage schuldig, warum die die Datei als Trojaner einstufen. Hat hier vielleicht einer 'ne Idee dazu?

Hans
--
Man muss nicht alles wissen, aber man sollte wissen, wo es steht. Zum Beispiel hier: Nachdenkseiten oder Infoportal Globalisierung.

Dieser Post wurde am 11.11.2008 um 00:09 Uhr von Hans editiert.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
001
11.11.2008, 00:52 Uhr
0xdeadbeef
Gott
(Operator)


Laut www.avira.com/de/threats/section/fulldetails/id_vir/3488/tr_crypt.xpack.gen.html handelt es sich um den Alarm einer heuristische Erkennungsmethode; läuft im Wesentlichen wohl darauf hinaus, dass die binary so verpackt/-schlüsselt wurde, dass der Virenscanner sie nicht sinnvoll scannen kann - was ihm halt verdächtig vorkommt.
--
Einfachheit ist Voraussetzung für Zuverlässigkeit.
-- Edsger Wybe Dijkstra
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
002
11.11.2008, 22:36 Uhr
Hans
Library Walker
(Operator)


Hi,
ja, das könnte sein. Es ist ja so, das dem Programm das übliche DOS-STUB-Programm fehlt, bzw. das besteht nur aus der Kennung "MZ" und 62 Nullbytes.
Trotzdem würde ich es begrüssen, wenn die von Avira mir das noch mal genauer erzählen würden. Aber da kann ich vermutlich noch eine Weile drauf warten...

Hans
--
Man muss nicht alles wissen, aber man sollte wissen, wo es steht. Zum Beispiel hier: Nachdenkseiten oder Infoportal Globalisierung.

Dieser Post wurde am 11.11.2008 um 22:37 Uhr von Hans editiert.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
Seiten: > 1 <     [ Software ]  


ThWBoard 2.73 FloSoft-Edition
© by Paul Baecher & Felix Gonschorek (www.thwboard.de)

Anpassungen des Forums
© by Flo-Soft (www.flo-soft.de)

Sie sind Besucher: