[vbscript] virusscanner denkt dat ik een virus schrijf - Softwareontwikkeling

zondag 31 oktober 2004 15:51

Acties:

Ome Bob

Topicstarter

ik ben bezig met het schrijven van een scriptje tbv serious samourize, maar het scriptje verdween steeds op mysterieuze wijze. nu heb ik achterhaald hoe dat komt: mijn virusscanner (kaspersky 5.0) vindt dat het om een virus gaat ( TrojanDownloader.JS.gen om precies te zijn)

ik heb ook achterhaald welk stukje code niet mag:

code:

    set fs=CreateObject("Scripting.FileSystemObject")
    set f=fs.CreateTextFile("datum.tmp",true)
    f.write(date())
    f.close
    set f=nothing
    set fs=nothing

ik ben eigenlijk heel beroerd met vbscript, maar dit zou gewoon moeten werken lijkt me. maarja als ik dit stukje dus in de code zet, en de code opsla wordt de code dus gelijk verwijderd. (zonder dit stukje blijft het dus wel staan) nu ben ik niet zo geinteresseerd in oplossingen als "zet je virusscanner uit" of "neem een andere virusscanner" .. wat ik wel graag zou willen weten: hoe kan ik de datum op een andere manier naar een bestand schrijven? of wat doe ik hier fout waardoor kaspersky vindt dat het een virus is?

"When you hear the beeb, it will be three o'clock." | muzak

zondag 31 oktober 2004 17:19

Acties:

igmar

ISO20022

Algurgazan schreef op 31 oktober 2004 @ 15:51:
wat ik wel graag zou willen weten: hoe kan ik de datum op een andere manier naar een bestand schrijven? of wat doe ik hier fout waardoor kaspersky vindt dat het een virus is?

Omdat het betreffende object inmiddels veelvuldig is gebruikt om daadwerkelijk virussen verspreiden. Zie google

zondag 31 oktober 2004 19:59

Acties:

Algurgazan

Ome Bob

Topicstarter

het rare is dat ik andere scripts heb, die ongeveer hetzelfde dan maar ipv de datum bijv. een html pagina oid in de file schrijven, en die mogen dan weer wel... dat snap ik er dus niet aan..

"When you hear the beeb, it will be three o'clock." | muzak

zondag 31 oktober 2004 20:21

Acties:

Kuhlie

Dan neem je toch dat script en verander je het steeds een beetje tot je virusscanner weer begint te zeuren, dan weet je waar het hem in zit

maandag 1 november 2004 00:11

Acties:

Algurgazan

Ome Bob

Topicstarter

dat is het hem nou juist.. ik heb een ander scriptje, met deze code:

code:

            set fs=CreateObject("Scripting.FileSystemObject")
            set f=fs.CreateTextFile("cnn.tmp",true)
            f.write(htmlresult)
            f.close
            set f=nothing
            set fs=nothing
            writefile = "Tempfile written"

(waarbij htmlresult een of andere string is waar een html pagina instaat geloof ik ) en die mag wel....

"When you hear the beeb, it will be three o'clock." | muzak

maandag 1 november 2004 00:15

Acties:

gorgi_19

Kruimeltjes zijn weer op :9

Al overwogen om Kaspersky te mailen over deze false positive?

Digitaal onderwijsmateriaal, leermateriaal voor hbo

maandag 1 november 2004 00:28

Acties:

NMe

Quia Ego Sic Dico.

Splits de datum eens in een paar delen, en schrijf die één voor één weg; misschien dat je er met dit (vieze

) truukje omheen komt.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

maandag 1 november 2004 00:29

Acties:

Verwijderd

Zijn je virusbases uptodate?

Want de code die je presenteert wordt hier clean bevonden.

_{Disclaimer: Ik ben atm beetje brakjes, dus kan er naast zitten.}

maandag 1 november 2004 15:18

Acties:

Algurgazan

Ome Bob

Topicstarter

had kaspersky gemaild inderdaad, kreeg dit terug:

Hello,

This file is detected because it contains the instruction which attempts to download and install
malicious program on your computer by using security breach in Internet Explorer.

Sincerely yours,
Pavel Zelensky
Virus analyst

maar het is misschien een idee om de datum op te splitsen inderdaad.. als ik er weer tijd voor heb ga ik dat proberen...

"When you hear the beeb, it will be three o'clock." | muzak

maandag 1 november 2004 15:28

Acties:

Tomatoman

Fulltime prutser

Aangezien je code nu wordt gedecteerd als een virus, moet je er wat aan veranderen. Over een maand is jouw virusscanner misschien aangepast en vindt hij het best, maar die van je buurman detecteert dan misschien nog steeds een virus. Je code een klein beetje aanpassen is ook gevaarlijk, want een goede virusscanner weet dat dat precies is wat een virusschrijver zou doen. Je zult om 'veilig' te zijn voor virusscanners meer moeten veranderen dan een of twee letters. Kun je regel 3 niet in een subroutine plaatsen? Dan ziet de binaire code van je programma er opeens heel anders uit, terwijl hij precies hetzelfde doet. Als de virusscanner daarentegen het runtime gedrag van je progsel als verdacht kenmerkt, lost het je probleem natuurlijk nog steeds niet op.

Een goede grap mag vrienden kosten.

maandag 1 november 2004 18:32

Acties:

FireWood

tomatoman schreef op 01 november 2004 @ 15:28:
Aangezien je code nu wordt gedecteerd als een virus, moet je er wat aan veranderen. Over een maand is jouw virusscanner misschien aangepast en vindt hij het best, maar die van je buurman detecteert dan misschien nog steeds een virus. Je code een klein beetje aanpassen is ook gevaarlijk, want een goede virusscanner weet dat dat precies is wat een virusschrijver zou doen. Je zult om 'veilig' te zijn voor virusscanners meer moeten veranderen dan een of twee letters. Kun je regel 3 niet in een subroutine plaatsen? Dan ziet de binaire code van je programma er opeens heel anders uit, terwijl hij precies hetzelfde doet. Als de virusscanner daarentegen het runtime gedrag van je progsel als verdacht kenmerkt, lost het je probleem natuurlijk nog steeds niet op.

Script bestanden zijn textbestanden en de virrusscanner kijkt het textbestand na. Vaak kun je met zsommige kleine wijzigingen al veel berijken.(gooi er eens wat loze regels tussen, losse programmeerregels e.d.)

Noobs don't use "F1", Pro's do, but they can't find the information they needed