6 replies to this topic

[Delphius]

Hola amigos,

Tengo un problemita.

Estoy codificando algunas pruebas para mi proyecto y resulta ser que el Avast me detecta al ejecutable que genera como un trojano (win32.Dadora-FM [trj]).
Ni bien compilo el antivirus salta y me pide una acción. Le indico que no haga nada... y con ello lo que se consigue es que le impida a Delphi genera el exe. En realidad el archivo se genera pero queda vacío.
Cuando pruebo enviar una copia del exe a virustotal me indica que el archivo está vacío, como es de esperarse.

Pruebo generar otros ejecutables y no hay problemas, algo de los cambios que estuve realizando al código hace saltar los avisos... lamentablemente ya no se donde, como y que cambiar . Estúpidamente no hice copias de los cambios y subversiones... al tratarse de unas pruebas no me avivé .

Antes de enviar un informe de un falso positivo, me preguntaba si algunos de ustedes ha experimentado algo similar... y si no es mucha molestia, y alguien tiene otro antivirus comprobarlo.

Adjunto un zip con los archivos.

Attached Files

•  880_304f508ed5ee62189fbce6eb8600cb1b8a391b34.zip   2.2KB   6 downloads

[JoAnCa]

Hola delphius
Compile tu programita y mi antivirus no protestó (uso NOD32 Smart Security v3)

Te lo adjunto para que lo pases por tu antivirus a ver que dice

Te has fjado si pudiera ser el virus que se mete en una de las unit del delphi, del que se comento hace unos dias ? 

Attached Files

•  881_e94634aa47e6cc607f66a93abe43c5da026fb527.zip   197.16KB   3 downloads

[escafandra]

Hola Delphius acabo de compilar un programa con delphi 6 y bajo el control de Avast. Me ocurre lo mismo que a ti.

El problema está en la unidad UMatrix. No tienes ningún virus, es una falsa alarma. Probablemente al compilar se genera un offset similar al de la firma de un virus y hace saltar la alarma.

Posiblemente cambiando el código, nombres de función o añadiendo mas código, la alarma desaparezca.

Otra posibilidad es que tanto tu como yo tengamos el virus en una librería de delphi que se enlaza en el ejecutable final, pero no lo creo.

Saludos.

[escafandra]

Concretqndo un poco mas, la alarma está relacionada con:

delphi

procedure Free(var Matrix: TMatrix);

Saludos.

[Delphius]

Gracias muchachos,

Empecé a borrar cada procedimiento y función de la unidad esperando eliminar el aviso... lasí hasta dejar aquellas con las que estaba completamente seguro que no tenían problemas.
Al notar que seguía el aviso, pensé que el problema no estuviera allí sino en el evento OnClick. Lo borré y el aviso desapareció. Pero la lógica me decía que no veía algo raro.

Cambié los nombres de variables, algunas que otros cambios menores de nomeclatura y parámetros para ver si era eso... y no obtuve aviso alguno.

Luego empecé a añadir los procedimientos, para comprobar mi primera hipótesis y cero aviso.

Intuyo lo mismo que tu escafandra, seguramente se generaba un offset similar al del bicho.

¿Cómo llegaste a la conclusión de que el Free es el culpable?

Te pregunto esto por que desde que apagué el equipo y me fuí a merendar... por alguna extraña razón (que intento encontrar una explicación lógica pero no la hallo) mi cabeza me decía que debía fijarme si las llamadas a las rutinas de memoria eran el problema... Estuve dudando si estaba liberando bien la memoria... Mi cabeza me decía que revisara el procedimiento Free.

A ese método no lo toqué .

Recuerdo que en mis primeras pruebas no liberaba las matrices que estuve creando. ¡Grave error mío!... Tal vez esto estuvo dejando memoria sin liberar y el antivirus sospechó de que ejecutable tenía un plan siniestro con el uso de la memoria ¿Será eso?

No se que decir... lo que si sé es que ahora no protesta .

Saludos,

[escafandra]

Intuyo lo mismo que tu escafandra, seguramente se generaba un offset similar al del bicho.

¿Cómo llegaste a la conclusión de que el Free es el culpable?

Llegué a la conclusión con relativa facilidad. Sospeché desde el principio de tu Unidad UMatrix. Tenías dos Llamadas  en el evento Onclick. Las comenté y no hubo alerta al compilar, entonces dejé sin comentar  procedure Free(var Matrix: TMatrix); y reapareció la alarma, cosa que no ocurría con procedure Free(Var Vector: TVector); que nunca alertaba.

Recuerdo que en mis primeras pruebas no liberaba las matrices que estuve creando. ¡Grave error mío!... Tal vez esto estuvo dejando memoria sin liberar y el antivirus sospechó de que ejecutable tenía un plan siniestro con el uso de la memoria ¿Será eso?

No lo creo, pues en mi PC me saltó en la primera compilación y su memoria no había sido maltratada. 

Pienso que se ha tratado de una confusión de firmas sin mas. Los AV a veces nos hacen malas pasadas. 

Saludos.

[Delphius]

Pues si, esos de los AV es una lotería. No es la primera vez que me pasa... es la segunda. Que haya dudado mi AV en aquella vieja ocasión se lo permito puesto que dentro de todo... sus partes oscuras tenía pero ¿de éste ?

Pa mi que éstos me quieren hacer ver como un "hacker"

Saludos,