El-Blindo Posted May 16, 2010 Report Share Posted May 16, 2010 Moin, ich bin der Author eines ziemlich verbreiteten Applets für die Logitech G15 Tastatur. Es handelt sich hierbei um C2DtoG15, vielleicht kennt jemand hier dieses Applet. Ich habe kürzlich eine neue Version released, diese wird auch nicht beanstandet. C2DtoG15 V2 enthält, unter anderem einen Service-Dienst der bei der Installation automatisch eingerichtet wird, und bei einer Deinstallation natürlich auch entfernt wird. Im Zuge der Optimierung dieses Applets bin ich jedoch auf die Idee gekommen diesen Dienst nonVCL zu coden, schlicht um die Größe der Exe-Dateien zu verkleinern. Leider wird schon das Grundgerüst dieser Service-Application als Trojan-Downloader.Delphi!IK erkannt. Ich habe dann versucht herauszufinden was dieses Verhalten auslöst, und konnte das Ganze auf wenige Zeilen Code reduzieren. procedure ServiceMain; var MemoryStream : TMemoryStream; begin MemoryStream := TMemoryStream.Create; MemoryStream.Free; Repeat If not Paused then Begin End; Sleep(1000); Until Stopped; end; Verwende ich die Routine so wie oben gezeigt habe ich angeblich einen Trojaner, ändere ich diesen Abschnitt, wie unten, ist alles in Ordnung. procedure ServiceMain; begin Repeat If not Paused then Begin End; Sleep(1000); Until Stopped; end; Bei diesen Routinen handelt es sich natürlich nur um das Basis-Grundgerüst dieser Application, die fertige Service-Application wird später jedoch als Trojan.Buzus!IK erkannt. Ich habe beide Dateien, sowohl das compilierte Grundgerüst (myService.exe), als auch die fertige Service-Application (SystoG15Svc.exe), über die Funktion "Als Fehlalarm melden" gesendet. Ich bitte um Klärung, irgendwie fühle ich mich Unwohl wenn jede Verwendung eines MemoryStreams meine Application als potentiellen Trojaner bezeichnet! Mfg El-Blindo Link to comment Share on other sites More sharing options...
Fabian Wosar Posted May 16, 2010 Report Share Posted May 16, 2010 Ich hab Dein Anliegen an die IKARUS Analyse Abteilung weitergeleitet. Da das Problem die IKARUS Engine betrifft, auf die wir keinerlei Einfluß haben, kann ich allerdings keine Aussage darüber treffen ob und wann das Problem beseitigt wird. Link to comment Share on other sites More sharing options...
El-Blindo Posted May 16, 2010 Author Report Share Posted May 16, 2010 Dann warte ich mit dem neusten Release wohl besser so lange bis die Jungs von Ikarus den Fehler korrigiert haben, ich hab einfach keine Lust auf "Da ist ein Trojaner drin" Beschwerden! Hoffe nur das Ganze geht ein bisschen zügig. Mfg El-Blindo Link to comment Share on other sites More sharing options...
Recommended Posts