Malwarebytes warnt Trojaner für das grundlegende C # "Hallo Welt!" Programm

Grundsätzlich habe ich gerade einen Scan meines Computers mit Malwarebytes ausgeführt (die Definitionen vor dem Ausführen aktualisiert) und festgestellt, dass mein in C # geschriebenes "helloworld" -Programm einen Trojaner hat .

Ich weiß, dass dies falsch positiv ist, da ich das Programm erst vor 2-3 Tagen geschrieben und einer kleinen Tutorial-Website gefolgt bin, um das Programm zu erstellen, dem ich vertraue. Ich bin neu in C #, aber ich kann nichts sehen, was überhaupt eine Trojaner-Warnung geben würde.

Malwarebytes-Bericht

Das Programm kennzeichnet die ausführbare Datei, nicht jedoch die Quelldatei.

using System;

namespace HelloWorldApplication
{
    class HelloWorld
    {
        static void Main(string[] args)
        {
            Console.WriteLine("\n\tHello World!");
            Console.WriteLine("This is my first C# program.\nI'm so proud of myself!");
            Console.WriteLine("\tTeehee!");
        }
    }
}

Dies ist der in Notepad ++ geschriebene Code, der über die Befehlszeile ausgeführt wird ( eigentlich Cygwin ). Warum kennzeichnet es dies? Ist es etwas, über das ich als angehender C # -Programmierer Bescheid wissen sollte?

c# false-positive trojan

— Qwurticus
quelle

Ich sollte hinzufügen, dass keine der anderen C # -Quelldateien oder ausführbaren Dateien im selben Ordner markiert sind.

— Qwurticus

Haben Sie ein Codebeispiel von einer Website heruntergeladen? Möglicherweise wird Code ausgeführt, von dem Sie nicht wissen, dass er über benutzerdefinierte Erstellungsschritte oder Verweise auf DLLs im Ordner bin usw. Ausgeführt wird. Ich sehe dort nichts, was sich auf eine Virensignatur beziehen würde.

— BateTech

nicht verwandt, aber das Bild in diesem Beitrag wurde von Sophos mit einer Malware-Warnung blockiert

— Puser

Auch wenn dies in diesem Szenario nicht wahrscheinlich ist, sollte beachtet werden, dass nur weil Ihr Quellcode keinen schlechten Code enthält, Ihre ausführbare Datei dies nicht bedeutet: scienceblogs.com/goodmath/2007/04/15/…

— Fabio Beltramini

In meiner Diplomarbeit verwende ich ungefähr 14 Antivirenprogramme, um mehr als 2500 Malware zu testen, und stelle fest, dass Malwarebytes ein sehr schlechtes Antivirenprogramm ist. Hier sind Folien - Folie-32 als Vergleichsgrafik

— Grijesh Chauhan

Antworten:

131

Das Problem könnte sein, dass der Backdoor.MSIL.PGen-Trojaner normalerweise "hello.exe" heißt. Der Name Ihrer ausführbaren Datei lautet vermutlich "hello.exe" oder "helloworld.exe".

Benennen Sie einfach Ihr Projekt um oder ändern Sie die ausführbare Ausgabedatei in etwas, das nicht "Hallo" enthält, und es sollte aufhören, es zu erkennen.

Diese Antwort ist etwas spekulativ, aber angesichts des Namens Ihres Projekts und einer überaggressiven Erkennung dieser Malware (siehe hier ) scheint sie ein vernünftiger Stich zu sein.

— Baldrick
quelle

Das ist eine grobe Anti-Virus-Software.

— Tom.dietrich

Ich bin erstaunt, dass eine so hochkarätige Software wie MalwareBytes ein falsches Positiv nur aufgrund des Dateinamens kennzeichnet

— Brad Thomas

@BradThomas: Nun, ich bin mir nicht sicher, ob dies der Grund ist, aber angesichts des oben genannten Projektnamens handelt es sich um eine große rauchende Waffe ... :) Es gibt auch eine Geschichte, in der MalwareBytes diesen Trojaner übereifrig entdeckt

— Baldrick

Du hattest Recht ... Es war der Name. XP. Ich finde das ziemlich dumm, tbh. Es wurde in einen anderen Namen geändert und nicht markiert. Danke dir!

— Qwurticus

Ich würde vermuten, dass die Heuristik (a) MSIL-Code enthält (die Art von Bytecode, die vom C # -Compiler erzeugt wird), (b) "hello.exe" heißt. Eine davon allein reicht nicht aus.

— Nneonneo

Die Antwort von Baldrick ist wahrscheinlich richtig, aber es gibt auch eine andere Möglichkeit: Es gibt Viren, die nach zufälligen ausführbaren Dateien auf dem System suchen und diese durch Einfügen ihres eigenen Codes ändern (dies ist in der Tat die ursprüngliche Definition von " Computervirus ") "). Wenn Sie feststellen, dass eine ausführbare Datei, von der Sie wissen, dass sie vertrauenswürdig ist, plötzlich als infiziert gemeldet wird, handelt es sich möglicherweise um einen solchen Virus.

Dies ist jedoch unwahrscheinlich, es sei denn, Ihr Virenscanner meldet andere ausführbare Dateien als denselben Virus.

— Philipp
quelle

Ich wünschte, er hätte die ausführbare Datei gepostet. Ich wäre ziemlich amüsiert, wenn jemand es dekompilieren und feststellen würde, dass es einen Virus enthält.

— Navin

@Navin Wenn er es gepostet hätte, hätte ich ihn gerufen, weil er wissentlich eine potenziell böswillige ausführbare Datei veröffentlicht hat.

— Philipp

@Navin Und deshalb sagte Philipp "eine potenziell böswillige ausführbare Datei".

— Der Kerl mit dem Hut

@ TheGuywithTheHat Fair genug. Ich denke immer noch, dass es sicher ist, es zusammen mit einer Warnung zu posten.

— Navin

Ich habe das gerade herausgefunden: Ändern Sie die "Guid" in AssemblyInfo.cs ein wenig und versuchen Sie es dann erneut.

Das hat bei mir funktioniert.

— SuperBerry
quelle