Malwarebytes, temel C # "Merhaba Dünya!" İçin truva atı uyarısı veriyor program

Temel olarak, Malwarebytes ile bilgisayarımı taradım (çalıştırmadan önce tanımları güncelledim) ve C # ile yazılmış "helloworld" programımın bir truva atı olduğunu söyledi .

Aslında bunun yanlış bir pozitif olduğunu biliyorum, çünkü programı yalnızca 2-3 gün önce yazdım ve güvendiğim programı yapmak için küçük bir eğitim web sitesini takip ettim. C # konusunda yeniyim, ancak bir truva atı uyarısı verecek hiçbir şey göremiyorum.

Malwarebytes raporu

Program yürütülebilir dosyayı işaretler, ancak kaynak dosyayı işaretlemez.

using System;

namespace HelloWorldApplication
{
    class HelloWorld
    {
        static void Main(string[] args)
        {
            Console.WriteLine("\n\tHello World!");
            Console.WriteLine("This is my first C# program.\nI'm so proud of myself!");
            Console.WriteLine("\tTeehee!");
        }
    }
}

Bu, Notepad ++ ile yazılan koddur ve komut satırından çalıştırılır ( Cygwin , aslında). Neden bunu işaretliyor? Gelişmekte olan bir C # programcısı olarak bilmem gereken bir şey mi?

c# false-positive trojan

— Qwurticus
kaynak

Eklemeliyim, aynı klasördeki diğer C # kaynak dosyalarının veya yürütülebilir dosyalarının hiçbiri işaretlenmemiş.

— Qwurticus

Bir web sitesinden bir kod örneği mi indirdiniz? Özel derleme adımları veya bin klasöründeki dll'lere referanslar aracılığıyla yürütüldüğünü fark etmediğiniz kod yürütülüyor olabilir. Orada virüs imzasıyla ilgili hiçbir şey görmüyorum.

— BateTech

ilgisiz, ancak bu gönderideki resim sophos tarafından kötü amaçlı yazılım uyarısıyla engellendi

— puser

Ayrıca, bu senaryoda olası olmasa da, kaynak kodunuzun kötü kod içermemesi, çalıştırılabilirinizin olmadığı anlamına gelmediğini gözlemlemeye değer: scienceblogs.com/goodmath/2007/04/15/…

— Fabio Beltramini

Tez çalışmamda, 2500'den fazla kötü amaçlı yazılımı test etmek için yaklaşık 14 antivirüs kullanıyorum ve Malwarebytes'in çok zayıf bir antivirüs olduğunu buldum. İşte slaytlar - Karşılaştırma grafiği için Slayt-32

— Grijesh Chauhan

Yanıtlar:

131

Sorun, Backdoor.MSIL.PGen Truva Atı'nın genellikle 'hello.exe' olarak adlandırılması olabilir. Yürütülebilir dosyanın adı muhtemelen "hello.exe" veya "helloworld.exe" dir.

Sadece projenizi yeniden adlandırın veya çalıştırılabilir çıktıyı 'merhaba' içermeyen bir şeye değiştirin ve onu algılamayı bırakmalıdır.

Bu yanıt biraz spekülatiftir, ancak projenizin adı ve bu kötü amaçlı yazılımın aşırı agresif tespitinin geçmişi ( buraya bakın ) verildiğinde, makul bir bıçak gibi görünüyor.

— Baldrick
kaynak

Bu, bazı kirli Anti-Virüs yazılımı.

— tom.dietrich

Ben yüksek profil olarak yazılım parçasıdır Malwarebytes misiniz bayrağı olarak yanlış pozitif sadece dosya dayalı olduğu şaşırıyorum

— Brad Thomas

@BradThomas: Sebebinin bu olduğundan emin değilim , ancak yukarıdaki projenin adı büyük bir tüten silah ... :) Ayrıca MalwareBytes'in bu truva atını aşırı isteyerek tespit ettiği bir tarih var: forums.malwarebytes.org /index.php?showtopic=135095

— Baldrick

Haklıydın ... Adı buydu. XP. Bunu oldukça aptal buluyorum, tbh. Farklı bir adla değiştirdi ve işaretlemedi. Teşekkür ederim!

— Qwurticus

Sezgisel yöntemin (a) MSIL kodunu (C # derleyicisi tarafından üretilen bayt kodu türü) içerdiğini, (b) "hello.exe" olarak adlandırıldığını tahmin ediyorum. Bunlardan biri tek başına yeterli değil.

— nneonneo

Baldrick'in cevabı muhtemelen doğrudur, ancak başka bir olasılık daha vardır: Sistem üzerinde rastgele çalıştırılabilir dosyaları arayan ve bunlara kendi kodlarını ekleyerek bunları değiştiren virüsler vardır (bu aslında " bilgisayar virüsü " nin orijinal tanımıdır) "). Güvenilir olduğunu bildiğiniz bir yürütülebilir dosyanın aniden virüslü olarak bildirildiğini fark ettiğinizde, böyle bir virüsle uğraşıyor olabilirsiniz.

Ancak, virüs tarayıcınız diğer yürütülebilir dosyaları aynı virüs olarak rapor etmedikçe, bu olası değildir.

— Philipp
kaynak

Keşke yürütülebilir dosyayı göndermiş olsaydı. Birisi derlemesini çözüp virüs içerdiğini fark ederse çok eğlenirim.

— Navin

@Navin Eğer göndermiş olsaydı, potansiyel olarak kötü niyetli bir yürütülebilir dosyayı bilerek yayınladığı için onu çağırırdım.

— Philipp

@Navin İşte bu yüzden Philipp " potansiyel olarak kötü niyetli bir yürütülebilir dosya " dedi .

— Şapkalı Adam

@TheGuywithTheHat Fair yeterince. Hala bir uyarı ile birlikte göndermenin güvenli olduğunu düşünüyorum.

— Navin

Bunu şimdi anladım: AssemblyInfo.cs içindeki "Kılavuzu" biraz değiştirip tekrar deneyin.

Bu benim için çalıştı.

— SuperBerry
kaynak