Prog VB6 e antivirus

[Greg]

Ho un programmino che all'improvviso è diventato pericoloso per Avast e ZoneAlarm

Sembrebbe che ci sia una funzione Api che lo insospetisce ma io non ho usato quella funzione: SetWindowsHook Window.

"The file installs an application-defined hook procedure into a hook chain. You would install a hook procedure to
monitor the system for certain types of events. These events are associated either with a specific thread or with all
threads in the same desktop as the calling thread. This is done making use of the SetWindowsHook Windows API function.

--
Greg

[Greg]

Il vurus che viene rilevato è: HEUR:Trojan.Win32.Generic
Che tipo di codice deve cercare nel sorgente? Per poterlo riscrivere e modificare? Grazie

--
Greg

[Luca D]

On Saturday, May 20, 2017 at 3:18:50 PM UTC+2, Greg wrote:
>
> Il vurus che viene rilevato è: HEUR:Trojan.Win32.Generic
> Che tipo di codice deve cercare nel sorgente? Per poterlo riscrivere e
> modificare? Grazie

Questa è il classico codice "non ci ho capito niente, eccoti un nome generico" di quando il warning viene scatenato da qualche funzione euristica; in parole povere, i classici falsi positivi che sono, ahimè, abbastanza frequenti.

Se non usi esplicitamente SetWindowsHook, potrebbe avere qualcos'altro tipo subclassing con SetWindowLong o cose del genere magari?!

Componenti OCX particolari, che fanno da wrapper per hardware/software esterni?!

[Greg]

Il 20/05/2017 23:24:25 Luca D ha scritto:

> Se non usi esplicitamente SetWindowsHook, potrebbe avere qualcos'altro tipo subclassing con SetWindowLong o cose del
> genere magari?!

Non uso quella funzione. Uso solamente una classe per le finestre per adattare form e oeggetti alla risoluzione dello
schermo, ma non viene segnalato nulla in altri progetti.

> Componenti OCX particolari, che fanno da wrapper per hardware/software esterni?!

Niente di tutto questo.
Adesso mi sono cmopiato il solo form di avvio e il modulo bas e la classe e ho compilato, da ancora l'errore.
Piano piano procederò a togliere un pezzo di codice alla volta, sono curioso di capire cosa fa scattare l'allarme.

--
Greg

[Greg]

Il 21/05/2017 09:42:32 Greg ha scritto:

> Adesso mi sono cmopiato il solo form di avvio e il modulo bas e la classe e ho compilato, da ancora l'errore.
> Piano piano procederò a togliere un pezzo di codice alla volta, sono curioso di capire cosa fa scattare l'allarme.

Saraà lunga togliere tutto il codice pezzo a pezzo e poi compilare e testare, ma intanto lui continua avedere una
fuznione che io non uso, la SetWindowHook

qui c'è il rapportino con piu informazioni:
https://www.virustotal.com/it/file/38ecefad6b5200e6c9e19b31725c9a895ee3058b4f344a9818ff5d3a0bdb6867/analysis/

--
Greg

[Greg]

Il 21/05/2017 09:42:32 Greg ha scritto:

> Adesso mi sono cmopiato il solo form di avvio e il modulo bas e la classe e ho compilato, da ancora l'errore.
> Piano piano procederò a togliere un pezzo di codice alla volta, sono curioso di capire cosa fa scattare l'allarme.

Sarà lunga togliere tutto il codice pezzo a pezzo e poi compilare e testare, ma intanto lui continua avedere una

fuznione che io non uso, la SetWindowHook

qui c'è il rapportino con piu informazioni:
https://www.virustotal.com/it/file/38ecefad6b5200e6c9e19b31725c9a895ee3058b4f344a9818ff5d3a0bdb6867/analysis/

alla scheda Informazioni Comportamentali, e segnala pure un fallito accesso a vb6it.dll

--
Greg

[SB]

Il giorno Sat, 20 May 2017 14:51:54 +0200, Greg <gr...@alicie.com> ha scritto:

>Ho un programmino che all'improvviso è diventato
pericoloso per Avast e ZoneAlarm
>
>Sembrebbe che ci sia una funzione Api che lo insospetisce
> ma io non ho usato quella funzione: SetWindowsHook Window.
>

Per vedere le chiamate alla API di un programma puoi usare API Monitor, io l'ho
usato la prima volta per vedere cosa faceva un programma che insospettiva
l'antivirus. (dentro una VM prima di installarlo per vedere se chiamava API
strane)
Poi ogni tanto mi serve ancora.

http://www.rohitab.com/downloads


Inizialmente è un po' laborioso da usare, ma consente di verificare diverse
cose.

Se effettivamente il tuo programma usa SetWindowsHook, tra l'altro una funzione
nient'affato speciale, (io la uso anche in una funzione per chiudere i msgbox),
devi capire quale ocx la usa e con che parametri, il programma che ti ho
consigliato può aiutare, ma bisogna smanettare un po'.


--
ciao
Stefano

[Greg]

Il 22/05/2017 19:15:14 SB ha scritto:

> Per vedere le chiamate alla API di un programma puoi usare API Monitor, io l'ho
> usato la prima volta per vedere cosa faceva un programma che insospettiva
> l'antivirus. (dentro una VM prima di installarlo per vedere se chiamava API
> strane)
> Poi ogni tanto mi serve ancora.
>
> http://www.rohitab.com/downloads

Lo guarda senz'altro :)

> Inizialmente è un po' laborioso da usare, ma consente di verificare diverse
> cose.
>
> Se effettivamente il tuo programma usa SetWindowsHook, tra l'altro una funzione
> nient'affato speciale, (io la uso anche in una funzione per chiudere i msgbox),
> devi capire quale ocx la usa e con che parametri, il programma che ti ho
> consigliato può aiutare, ma bisogna smanettare un po'.

Il fatto è che quella funzione non c'è neanche nelle dichiarazioni del modulo, mai usata proprio!

--
Greg

[SB]

Il giorno Mon, 22 May 2017 19:21:08 +0200, Greg <gr...@alicie.com> ha scritto:

>Il 22/05/2017 19:15:14 SB ha scritto:
>
>> Se effettivamente il tuo programma usa SetWindowsHook, tra l'altro una funzione
>> nient'affato speciale, (io la uso anche in una funzione per chiudere i msgbox),
>> devi capire quale ocx la usa e con che parametri, il programma che ti ho

>> consigliato puņ aiutare, ma bisogna smanettare un po'.
>
>Il fatto č che quella funzione non c'č neanche nelle dichiarazioni del modulo, mai usata proprio!

Beh, se tu non la usi direttamente, allora l'idea č che la SetWindowsHook sia
usata da un OCX o da una DLL che il tuo programma adopera.


--
ciao
Stefano

[GbC]

Come prima cosa cercherei di capire perché, quindi, per evitare i falsi
positivi, andrei in progetto > proprietà > compila e modificherei il
modo in cui VB scrive il codice, quindi userei P-Code o Codice Nativo e
starei a vedere cosa accade.

Solo dopo metterei le mani su cosa fa il mio programma.


--
GbC
www.gbc.uno

[Greg]

Il 23/05/17 09:27:19 GbC ha scritto:

> Come prima cosa cercherei di capire perché, quindi, per evitare i falsi positivi, andrei in progetto > proprietà >
> compila e modificherei il modo in cui VB scrive il codice, quindi userei P-Code o Codice Nativo e starei a vedere
> cosa accade.

E' impostato Codice Nativo. Ma non ho capito coda fare: se è nativo scelgo p-code e viceversa?

--
Greg

[Greg]

Il 22/05/17 19:26:57 SB ha scritto:

> Beh, se tu non la usi direttamente, allora l'idea è che la SetWindowsHook sia

> usata da un OCX o da una DLL che il tuo programma adopera.

Sto lavorando di fino su una copia del prog, sembra sia una WriteProfileString a far scattare l'allarme.
Appena avrò finito sarò piu preciso

--
Greg

[GbC]

Si. Cambiando le opzioni del compilatore il codice scritto
nell'eseguibile è diverso. Se è un falso positivo l'AV non riconoscerà
questo nuovo exe come virale.

Se continua a prenderlo per un virus allora devi approfondire.

È un test semplice che elimina una possiilità.


--
GbC
www.gbc.uno

[SB]

Il giorno Tue, 23 May 2017 16:35:15 +0200, Greg <gr...@alicie.com> ha scritto:


>Sto lavorando di fino su una copia del prog, sembra sia una WriteProfileString a far scattare l'allarme.

>Appena avrņ finito sarņ piu preciso

WriteProfileString scrive un dato in un file .ini, non mi sembra roba da
impressionare un antivirus, ma non si sa mai...


--
ciao
Stefano

[Greg]

Il 23/05/2017 17:55:50 SB ha scritto:
> Il giorno Tue, 23 May 2017 16:35:15 +0200, Greg <gr...@alicie.com> ha scritto:
>
>
>> Sto lavorando di fino su una copia del prog, sembra sia una WriteProfileString a far scattare l'allarme.

>> Appena avrò finito sarò piu preciso

>
> WriteProfileString scrive un dato in un file .ini, non mi sembra roba da
> impressionare un antivirus, ma non si sa mai...

Eccolo qua:

SavLog "Num_Processor", Environ("NUMBER_OF_PROCESSORS")
SavLog "Processor-Type", Environ("PROCESSOR_IDENTIFIER")
'CurrH = Screen.Height / Screen.TwipsPerPixelY
'CurrW = Screen.Width / Screen.TwipsPerPixelX
'SavLog "Display", CurrW & "x" & CurrH

Commentando le 3 righe, tutte insieme non una sola, il test viene passato.
Non può essere la SavLog (che usa la WritePrileString) perchè le due righe prima vanno bene.
Quindi rimane il risultato di due divisioni assegnato ad una variabile. Forse il nome delle variabili ha un significato
per i due antivirus in questione? Avast e ZoneAlarm

Ma è una roba assurda! E questi mi dovrebbero proteggere dai virus veri? Qualche dubbio mi viene

--
Greg

[SB]

Il nome della variabile non arriva all'oggetto compilato, forse dipende dalla
sequenza in esadecimale della compilazione di quelle istruzioni, una prova che
puoi fare è spostare quelle righe in modo che l'oggetto risulti diverso.

>Ma è una roba assurda! E questi mi dovrebbero proteggere dai virus veri? Qualche dubbio mi viene

Mah, sull'efficacia dell'euristica non sei il solo ad avere dei dubbi, e anche
degli antivirus in generale, visto che si sono rivelati inefficaci nella
prevenzione dei ransomware.

Io resto della mia idea che il miglior antivirus sta tra la sedia e la tastiera,
di marca "brain".


--
ciao
Stefano

[GbC]

Il 23/05/2017 16:30, Greg ha scritto:

com'è andata?
hai provato?

non ci credo neanche se lo vedo che il codice che hai indicato come
incriminato sia la causa di tutto

la stessa cosa che è successa a te mi è successa varie volte ed ho
risolto come ti ho indicato o contattando i produttori dell'AV

tieni conto che c'è chi scrive codice malevolo in vb, quindi è possibile
che una sequenza di istruzioni venga interpretata a piffero


--
GbC
www.gbc.uno

[Daniele Pinna (Ufficio)]

Il 24/05/2017 09:59, SB ha scritto:

>> Ma è una roba assurda! E questi mi dovrebbero proteggere dai virus veri? Qualche dubbio mi viene
>
> Mah, sull'efficacia dell'euristica non sei il solo ad avere dei dubbi, e anche
> degli antivirus in generale, visto che si sono rivelati inefficaci nella
> prevenzione dei ransomware.

Molti antivirus sono risultati poco efficaci si, ma in generale non solo
contro in ransomware (altrimenti non si spiega come mai chi usa Avira,
Avg, Avast, Panda, MS Essential etc poi passano per farsi togliere i virus).

Fra gli antivirus "buoni" anche contro in ransomware c'è certamente ESET
NOD32 che, dalla versione 10.x, include il riconoscimento di questo tipo
di virus direttamente nel core (prima era in un modulo esterno).

Il perché gli altri antivirus non sono risultati efficaci dipende
probabilmente dal tipo di approccio e/o da come agisce il singolo
Antivirus.

Fino ad ora nessuno dei miei clienti che usa NOD32 (mediamente
aggiorno/seguo poco più di un centinaio di postazioni all'anno su una
cinquantina di clienti) e nessuno si ha preso un ransomware... e in
diverse occasioni NOD32 ha bloccato la "manina con il clic più veloce
del cervello" di qualche cliente :-)

>
> Io resto della mia idea che il miglior antivirus sta tra la sedia e la tastiera,
> di marca "brain".

Certamente... purtroppo l'utente comune non ha i mezzi, le conoscenze e
l'esperienza per riconoscere una mail reale da una fasulla, un link o un
allegato sospetto...

E per quanto ci si possa sforzare ad alcuni utenti sarà difficile
farglielo entrare in testa, pur non essendo gli stessi utenti "tonti" o
"deficienti".



--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook: https://www.facebook.com/dapinnadotcom
BLOG: http://storielaboratorioinformatica.wordpress.com

[Greg]

Il 24/05/17 12:05:59 GbC ha scritto:

> Il 23/05/2017 16:30, Greg ha scritto:
>> Il 23/05/17 09:27:19 GbC ha scritto:
>>
>>> Come prima cosa cercherei di capire perché, quindi, per evitare i falsi positivi, andrei in progetto > proprietà >
>>> compila e modificherei il modo in cui VB scrive il codice, quindi userei P-Code o Codice Nativo e starei a vedere
>>> cosa accade.
>>
>> E' impostato Codice Nativo. Ma non ho capito coda fare: se è nativo scelgo p-code e viceversa?
>>
>
> com'è andata?
> hai provato?

Si, provato ed è uguale. A dire il vero diventa buono per 2 anivirus minori: Jangmin e Rising, mentre rimane uguale
cioè positivo per Avast e Zone Alarm

> non ci credo neanche se lo vedo che il codice che hai indicato come incriminato sia la causa di tutto

Perchè non ci credi? Se vuoi ti faccio vedere

> la stessa cosa che è successa a te mi è successa varie volte ed ho risolto come ti ho indicato o contattando i
> produttori dell'AV
>
> tieni conto che c'è chi scrive codice malevolo in vb, quindi è possibile che una sequenza di istruzioni venga
> interpretata a piffero

Ho provato a scrivere le 3 righe in modo diverso, cambiano nome alle variabili e spostando il tutto qualche riga sopra,
ma non è cambiato nulla

--
Greg

[Greg]

Il 24/05/17 15:52:57 Daniele Pinna (Ufficio) ha scritto:

> Fino ad ora nessuno dei miei clienti che usa NOD32 (mediamente aggiorno/seguo poco più di un centinaio di postazioni
> all'anno su una cinquantina di clienti) e nessuno si ha preso un ransomware... e in diverse occasioni NOD32 ha
> bloccato la "manina con il clic più veloce del cervello" di qualche cliente :-)

Quanti dei 50 clienti usano NOD? E quanti hanno aperto una mail con il ramson? Magari nessuno, e allora NOD fa una
bella figura

--
Greg

[GbC]

Il 24/05/2017 16:52, Greg ha scritto:
> Il 24/05/17 12:05:59 GbC ha scritto:
>> Il 23/05/2017 16:30, Greg ha scritto:
>>> Il 23/05/17 09:27:19 GbC ha scritto:
>>>
>>>> Come prima cosa cercherei di capire perché, quindi, per evitare i
>>>> falsi positivi, andrei in progetto > proprietà > compila e
>>>> modificherei il modo in cui VB scrive il codice, quindi userei
>>>> P-Code o Codice Nativo e starei a vedere cosa accade.
>>>
>>> E' impostato Codice Nativo. Ma non ho capito coda fare: se è nativo
>>> scelgo p-code e viceversa?
>>>
>>
>> com'è andata?
>> hai provato?
>
> Si, provato ed è uguale. A dire il vero diventa buono per 2 anivirus
> minori: Jangmin e Rising, mentre rimane uguale cioè positivo per Avast e
> Zone Alarm
>
>> non ci credo neanche se lo vedo che il codice che hai indicato come
>> incriminato sia la causa di tutto
>
> Perchè non ci credi? Se vuoi ti faccio vedere

No no :) Non credo che quelle tre righe siano la causa.

>
>> la stessa cosa che è successa a te mi è successa varie volte ed ho
>> risolto come ti ho indicato o contattando i produttori dell'AV
>>
>> tieni conto che c'è chi scrive codice malevolo in vb, quindi è
>> possibile che una sequenza di istruzioni venga interpretata a piffero
>
> Ho provato a scrivere le 3 righe in modo diverso, cambiano nome alle
> variabili e spostando il tutto qualche riga sopra, ma non è cambiato nulla
>

Hai aggiornato gli AV dal momento in cui ti hanno segnalato il problema?
Io risolsi inviando il mio eseguibile.

Comunque non ti faccio perdere altro tempo. Grazie

--
GbC
www.gbc.uno

[Daniele Pinna (Ufficio)]

Il 24/05/2017 16:55, Greg ha scritto:
> Il 24/05/17 15:52:57 Daniele Pinna (Ufficio) ha scritto:
>
>> Fino ad ora nessuno dei miei clienti che usa NOD32 (mediamente
>> aggiorno/seguo poco più di un centinaio di postazioni all'anno su una
>> cinquantina di clienti) e nessuno si ha preso un ransomware... e in
>> diverse occasioni NOD32 ha bloccato la "manina con il clic più veloce
>> del cervello" di qualche cliente :-)
>
> Quanti dei 50 clienti usano NOD?

Mi correggo (ricordavo male ma ho guardato il foglio di calcolo con lo
scadenzario) i clienti attivi sono attualmente 85 per un totale di 233
postazioni negli ultimi 12 mesi (spesso un cliente ha più postazioni).

> E quanti hanno aperto una mail con il
> ramson?

Non so quanti anche perché (fortunatamente) non tutti mi avvisano per
ogni virus che NOD32 blocca :-D

Ma qualcuno mi ha chiamato per capire se era totalmente al sicuro dopo
che l'antivirus ha bloccato qualcosa... e una di queste è la mia
commercialista, che sta nella stanza affianco alla, mia per cui non dico
che ho visto in diretta l'evento ma quasi... :-)

> Magari nessuno, e allora NOD fa una bella figura

Be qualcuno si... è ha fatto il suo lavoro :-)

Fra i clienti che hanno preso un Ransomware, oltre a chi usa AV
Gratuiti, c'è pure un cliente che è passato da NOD32 a Panda (per
risparmiare circa 15€/macchina), criptando oltre 65 mila file su un NAS
(che usano come server). Fortunatamente sono riuscito a recuperare i
file da un Backup...

[Greg]

Il 24/05/2017 17:22:41 Daniele Pinna (Ufficio) ha scritto:

> Ma qualcuno mi ha chiamato per capire se era totalmente al sicuro dopo che l'antivirus ha bloccato qualcosa...

Qualcosa può essere qualcunque cosa, non il ramson

> Fra i clienti che hanno preso un Ransomware, oltre a chi usa AV Gratuiti, c'è pure un cliente che è passato da NOD32
> a Panda (per risparmiare circa 15€/macchina), criptando oltre 65 mila file su un NAS (che usano come server).

Adesso mi sorge il dubbio che possa essere un rivenditore di NOD

--
Greg

[Greg]

Il 24/05/2017 17:09:50 GbC ha scritto:

>> Perchè non ci credi? Se vuoi ti faccio vedere
>
> No no :) Non credo che quelle tre righe siano la causa.

E' il bello dell'essere marziani, e tu sei un terrestre :)

> Hai aggiornato gli AV dal momento in cui ti hanno segnalato il problema? Io risolsi inviando il mio eseguibile.

Mai fatto una cosa del genere, A chi dovrei mandarlo? Hanno un indirizzo possito che si chiama in un certo modo? Come
faccio a trovarlo?

> Comunque non ti faccio perdere altro tempo. Grazie

Ma figurati! Sono io che ti faccio perdere tempo :)

--
Greg

[Daniele Pinna (Ufficio)]

Il 24/05/2017 18:07, Greg ha scritto:
> Il 24/05/2017 17:22:41 Daniele Pinna (Ufficio) ha scritto:
>
>> Ma qualcuno mi ha chiamato per capire se era totalmente al sicuro dopo
>> che l'antivirus ha bloccato qualcosa...
>
> Qualcosa può essere qualcunque cosa, non il ramson

Il problema dei clienti è che dicono:
"il PC mi ha dato un errore"
"OK, cosa diceva l'errore?"
"Bo... ho chiuso la finestra... è una cosa grave?"

Se invece dell'errore c'è un messaggio dell'Antivirus non cambia molto...

>> Fra i clienti che hanno preso un Ransomware, oltre a chi usa AV
>> Gratuiti, c'è pure un cliente che è passato da NOD32 a Panda (per
>> risparmiare circa 15€/macchina), criptando oltre 65 mila file su un
>> NAS (che usano come server).
>
> Adesso mi sorge il dubbio che possa essere un rivenditore di NOD

Mi occupo di assistenza e vendita di prodotti informatici.
Come posso vendere NOD32, posso vendere Kaspersky, Panda, Symantec etc.

[SB]

Il giorno Wed, 24 May 2017 18:11:58 +0200, Greg <gr...@alicie.com> ha scritto:

>Il 24/05/2017 17:09:50 GbC ha scritto:
>
>>> Perchè non ci credi? Se vuoi ti faccio vedere
>>
>> No no :) Non credo che quelle tre righe siano la causa.
>
>E' il bello dell'essere marziani, e tu sei un terrestre :)

E provando a fare un eseguibile con solo quelle righe di codice nel Sub Main
cosa succede?

>> Hai aggiornato gli AV dal momento in cui ti hanno segnalato il problema? Io risolsi inviando il mio eseguibile.
>
>Mai fatto una cosa del genere, A chi dovrei mandarlo? Hanno un indirizzo possito che si chiama in un certo modo? Come
>faccio a trovarlo?

sup...@avira.com , per esempio, poi sul sito di ogni produttore c'è un modo di
contattare il supporto.



--
ciao
Stefano

[Greg]

Il 24/05/2017 18:42:20 SB ha scritto:

> E provando a fare un eseguibile con solo quelle righe di codice nel Sub Main
> cosa succede?

Bravo!
Spetta li che provo subito!

--
Greg

[Greg]

Il 24/05/2017 18:42:20 SB ha scritto:

> E provando a fare un eseguibile con solo quelle righe di codice nel Sub Main
> cosa succede?

Grande SB!
Ho fatto quello che dici e risulta indigesto ad altri 2 antivirus diversi da prima, Cyren e F-Prot vedono
VbTrojanF1!Maximus


Ecco il codice da incollare in un modulo e compilare, poi testare l'eseguibile su virustotal.com:

Declare Function WritePrivateProfileString Lib "kernel32" Alias "WritePrivateProfileStringA" (ByVal lpApplicationName
As String, ByVal lpKeyName As Any, ByVal lpString As Any, ByVal lpFileName As String) As Long

Sub SavLog(Chiave As String, Valore As String)
Dim x As Long
Chiave = "- " & Chiave
x = WritePrivateProfileString("Start", Chiave, Valore, App.Path & "\LogFile.txt")
End Sub

Sub Main()

CurrH = Screen.Height / Screen.TwipsPerPixelY
CurrW = Screen.Width / Screen.TwipsPerPixelX
SavLog "Display", CurrW & "x" & CurrH

fMain.Show
End Sub

--
Greg

[GbC]

Il 24/05/2017 20:41, Greg ha scritto:
> Declare Function WritePrivateProfileString Lib "kernel32" Alias
> "WritePrivateProfileStringA" (ByVal lpApplicationName As String, ByVal
> lpKeyName As Any, ByVal lpString As Any, ByVal lpFileName As String) As
> Long
>
> Sub SavLog(Chiave As String, Valore As String)
> Dim x As Long
> Chiave = "- " & Chiave
> x = WritePrivateProfileString("Start", Chiave, Valore, App.Path &
> "\LogFile.txt")
> End Sub
>
> Sub Main()
> CurrH = Screen.Height / Screen.TwipsPerPixelY
> CurrW = Screen.Width / Screen.TwipsPerPixelX
> SavLog "Display", CurrW & "x" & CurrH
> fMain.Show
> End Sub

----------------------------------------------
Progetto1 (non ho creato un modulo ma inserito tutto in un form,
inserito la option explicit e compilato; ho provato anche con l'UPX
perché lo uso molto):

codice nativo + ottimizza PULITO <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<:
https://www.virustotal.com/it/file/315669d6fb0f013bcb7dad3e141e07acf2633b09b3b86a7490ac13224219e3f2/analysis/1495696765/
http://tinyurl.com/m6bzfqt

PCode 3 RILEV MA 0/0:
https://www.virustotal.com/it/file/d0e17df89b6650fe0cffcc69bb97bfb8dcda2cc4418a83fd4272630fa3b6e3fa/analysis/1495697010/
http://tinyurl.com/mrkjv9v

----------------------------------------------
Progetto2 (esattamente com dice Greg senza option explicit e con il
codice in un modulo):

codice nativo + ottimizza 1 RILEV MA 0/0:
https://www.virustotal.com/it/file/828dc20a0554674afa239d50bc2c92d1d337e8086ffe47b0947ddce1d29a65a8/analysis/1495697411/
http://tinyurl.com/m9wc4xg

PCode 3 RILEV MA 0/0:
https://www.virustotal.com/it/file/fd8b78291f0b378173b45161ebbc3f59ae10aa55bfc997ef97d70bf0e530f714/analysis/1495697641/
http://tinyurl.com/k3c79xc

----------------------------------------------
I rilevamenti erano effettuati solo da AV poco blasonati, quindi da
prendere con le molle... Solo che se un cliente ne ha uno non è divertente.


ciao cia'


--
GbC
www.gbc.uno

[GbC]

scusa, non ho inserito i risultati degli exe compressi upx perché
comuqnue alcuni motori quando vedeno UPX non sono affatto felici


--
GbC
www.gbc.uno

[Paperino]

Greg ha scritto:

<https://virustotal.com/it/file/862f9b203300f50fb0662e61d020d20649c9245095810d96065db1085c187599/analysis/1495703188/#analysis>
A me lo rileva solo "Endgame" (...mai sentito), con l'indicazione
"malicious(high confidence)". Gli altri, saggiamente, tacciono.


Puoi mandare il link alla tua analisi? O magari mandarmi
in mail (il reply-to è buono) il tuo eseguibile?
Ovviamente rinominato in .txt, compresso e criptato con
password, altrimenti col cappero che passa :-D

***********************
BTW, non avevo letto il codice e avevo fatto una compilazione col
solo modulo, senza form. Ovviamente (/me cretino) crashava O:-D
Tanto per provare però ho inviato anche questo a VT e i risultati
sono "quasi" gli stessi: su questo Endgame dice "malicious
(moderate confidence)"
<https://virustotal.com/it/file/28ab457ecd94335f3cba5308971e426e17a7b96231b166f12a1a85c36f979744/analysis/1495703440/#analysis>
***********************

Bye, G.

[Greg]

> Progetto1 (non ho creato un modulo ma inserito tutto in un form, inserito la option explicit e compilato; ho provato
> anche con l'UPX perché lo uso molto):

Umh... se dichiaro l'api in un form mi da errore :(

> ----------------------------------------------
> I rilevamenti erano effettuati solo da AV poco blasonati, quindi da prendere con le molle... Solo che se un cliente
> ne ha uno non è divertente.

AVG è abbastanza diffuso. Ad ogni modo grazie per ilte st, non ero sicuro che avrebbe dato positivo anche a te.
E comunque la spiegazione è ancora piu misteriosa, perchè quella sub scrivere su un file la uso identicada da anni in
altri progetti dove non viene rilevato nulla!!!

--
Greg

[Greg]

Il 25/05/17 11:21:56 Paperino ha scritto:

> Puoi mandare il link alla tua analisi? O magari mandarmi
> in mail (il reply-to è buono) il tuo eseguibile?
> Ovviamente rinominato in .txt, compresso e criptato con
> password, altrimenti col cappero che passa :-D

Ti do il link:
https://www.virustotal.com/it/file/16ee97f3a265b52c4d3b0d81e295a35de92e65ff1b7b48e5491388f9615fb7ed/analysis/1495704574/
E' bocciato da 3 AV tra cui F-Prot

Se vuoi l'eseguibile il massimo che posso fare è rinominarlo in txt, non c'è bisogno di comprimere pesa solo 20 k, e
per la crittografia non sono attrrezato :)

--
Greg

[Paperino]

Greg ha scritto:

> Paperino ha scritto:
>> Puoi mandare il link alla tua analisi? O magari mandarmi
>> in mail (il reply-to è buono) il tuo eseguibile?
>> Ovviamente rinominato in .txt, compresso e criptato con
>> password, altrimenti col cappero che passa :-D
> Ti do il link:
> https://www.virustotal.com/it/file/16ee97f3a265b52c4d3b0d81e295a35de92e65ff1b7b48e5491388f9615fb7ed/analysis/1495704574/
> E' bocciato da 3 AV tra cui F-Prot

L'unica differenza che vedo è una chiamata diversa in una certa
sezione data.
Hai installato *TUTTI* i service pack e i vari aggiornamenti
di VB, vero?

> Se vuoi l'eseguibile il massimo che posso fare è rinominarlo in txt, non
> c'è bisogno di comprimere pesa solo 20 k, e per la crittografia non sono
> attrrezato :)

Non è una questione di peso: è che se il server mail vede
passare un eseguibile lo stoppa, senza se e senza ma.
Basta usare un qualunque programma per zippare e mettere
la password. Il migliore è probabilmente 7zip (gratuito).
E va rinominato perché lo scanner controlla anche gli zip,
se ci vede dentro un exe lo blocca anche se non riesce ad
aprirlo.
Ma con la combinazione rinomina/cripta si riesce a passare.

Bye, G.

[Greg]

Il 25/05/17 11:55:28 Paperino ha scritto:

> Non è una questione di peso: è che se il server mail vede
> passare un eseguibile lo stoppa, senza se e senza ma.
> Basta usare un qualunque programma per zippare e mettere
> la password. Il migliore è probabilmente 7zip (gratuito).
> E va rinominato perché lo scanner controlla anche gli zip,
> se ci vede dentro un exe lo blocca anche se non riesce ad
> aprirlo.
> Ma con la combinazione rinomina/cripta si riesce a passare.
>
> Bye, G.

Fatto tutto come da istruzioni e inviato

--
Greg

[SB]

Il giorno Thu, 25 May 2017 11:55:28 +0200, Paperino <non...@lo.dico.invalid> ha
scritto:

>
>Non è una questione di peso: è che se il server mail vede
>passare un eseguibile lo stoppa, senza se e senza ma.
>Basta usare un qualunque programma per zippare e mettere
>la password. Il migliore è probabilmente 7zip (gratuito).
>E va rinominato perché lo scanner controlla anche gli zip,
>se ci vede dentro un exe lo blocca anche se non riesce ad
>aprirlo.
>Ma con la combinazione rinomina/cripta si riesce a passare.

Io di solito mi limito a zipparlo e a rinominare il .zip in un .dat, di solito
passa senza problemi.

--
ciao
Stefano

[Greg]

Il 25/05/2017 11:55:28 Paperino ha scritto:

Ciao Paperino,
ricevuto tutto? Non vorrei averti fulminato il pc :)

--
Greg

[Paperino]

Naaaahhh :-P
Ho semplicemente avuto un po' da fare in questi giorni...

Allora, il punto principale e importante è che è sicuramente
pulito, visto che nonostante tutto qualche dubbio uno poteva
averlo.

Ho controllato sia aprendo il file, sia analizzandolo a mano
con ProcMon e altro per vedere cosa fa.
A parte un paio di chiamate di sistema leggermente diverse al
momento dell'apertura della VM di VB6 (vedi sotto), il comportamento
è virtualmente identico..
Tra l'altro, adesso sono in 4 gli AV su Virustotal che lo
riconoscono :-(

Per tutti si tratta comunque di un riconoscimento generico;
alcuni dei nomi e degli alias di quel riconoscimento sono:
BackDoor.Generic.738, W32/VBTrojan.19F2!Maximus,
Win32/DelfInject.gen!AC, Suspicious.Cloud.2, Win32/VB.RGB
Suspicious_Gen2.WADLY, PE:Trojan.Win32.Generic.15D390B2!366186674
Mal/Behav-034, PAK_Generic.001, Generic.dx!E3E721EADB9A
...eccetera.

In altre parole, un /qualche cosa/ scritto in un VB6 di qualche
anno fa. Il perché non venga riconosciuto anche il mio può
dipendere da una questione di versione di qualche componente
di VB, presumibilmente il compilatore che effettua delle chiamate
leggermente diverse. Il come e il perché probabilmente non lo
sanno più neanche quelli della MS, se li conosco bene :-)

L'ultima possibilità resta quella degli aggiornamenti: nella mail
specificavi che l'ultimo che hai è l'SP6, ma dopo l'SP6 in effetti
*c'è* stato altro. Questo "cumulative update" del 2012 ce l'hai?
https://www.microsoft.com/en-us/download/details.aspx?id=7030

Bye, G.

[Greg]

Il 27/05/2017 17:57:30 Paperino ha scritto:

> L'ultima possibilità resta quella degli aggiornamenti: nella mail specificavi che l'ultimo che hai è l'SP6, ma dopo
> l'SP6 in effetti
> *c'è* stato altro. Questo "cumulative update" del 2012 ce l'hai?
> https://www.microsoft.com/en-us/download/details.aspx?id=7030
>
> Bye, G.

Ma facevi a saperlo? IO ero fermo a SP6. Si era detto ai 4 venti che MS nom avrebbe dato piu una virgola su VB6...
Comunque grazie per il link, ho aggiornato, ricompilato e testato e si. adesso sono 4 gli AV che lo danno com
epositivo.

Ma tu, oltre a provare il mio exe (miscredente!) hai anche provato a copincollare le 4 righe di codice in un progetto
vuoto? E il risultato?

--
Greg

[Paperino]

Greg ha scritto:

> Paperino ha scritto:
>> L'ultima possibilità resta quella degli aggiornamenti: nella mail specificavi che l'ultimo che hai è l'SP6, ma dopo
>> l'SP6 in effetti
>> *c'è* stato altro. Questo "cumulative update" del 2012 ce l'hai?
>> https://www.microsoft.com/en-us/download/details.aspx?id=7030

> Ma facevi a saperlo? IO ero fermo a SP6.

Questo me l'avevi scritto in mail, ricordi?

> Si era detto ai 4 venti che MS nom avrebbe dato piu una virgola su VB6...

A me l'ha dato il Windows update anni fa e me lo sono salvato,
insieme alle varie versioni di aggiornamento degli OCX di VB
e di sistema. Se servono anche quelli ripesco i link :-).

> Comunque grazie per il link, ho aggiornato, ricompilato e testato e si. adesso sono 4 gli AV che lo danno com
> epositivo.
>
> Ma tu, oltre a provare il mio exe (miscredente!)

S. Tommaso mi chiama per avere consigli :-D

Battute a parte, trovare le differenze tra il mio e il tuo
e capire cos'è che fa incazzurrire gli antivirus, senza
provarlo e vedere cosa fa, mi era difficile.
Non che poi ci sia riuscito, eh :-(

> hai anche provato a copincollare le 4 righe di codice in un progetto
> vuoto? E il risultato?

L'avevo postato prima. Ora da telefonino è un casino, ma se
guardi uno o due dei miei post sopra lo trovi: un solo positivo,
come generico. È lo stesso exe che ho usato per il confronto col tuo.

Bye, G.

[Paperino]

Greg ha scritto:

[mi aggancio qui un po' a casaccio, tanto è OT O:-)]

Una delle vulnerabilità patchate da poco da MS - e fateli,
'sti cavolo di aggiornamenti! - permette di infettare una macchina
anche solo mentre visualizza un sito infetto o... peggio.
Per esempio ricevendo una mail infetta, senza che venga
neanche aperta e tantomeno che venga cliccato qualcosa all'interno:
è sufficiente che venga *ricevuta*.

Poi, a infettare la macchina ci pensa... *l'antivirus*.


Sì. Avete letto bene.
No, non mi sono sbagliato.
No, non sto sparando cazzate.
No, non è una bufala.
Sì, aggiornate MSE *ora*, se non lo fate da un po'.
Sì, anche se non lo usate. (Un po' perché non si sa mai, e poi
perché ho un sospetto
e sto aspettando che venga smentito o confermato).

Bye, G.

[Greg]

Il 28/05/17 13:28:10 Paperino ha scritto:

> A me l'ha dato il Windows update anni fa e me lo sono salvato,
> insieme alle varie versioni di aggiornamento degli OCX di VB
> e di sistema. Se servono anche quelli ripesco i link :-).

Eccome no! Ti devo una birra :)

>
> L'avevo postato prima. Ora da telefonino è un casino, ma se
> guardi uno o due dei miei post sopra lo trovi: un solo positivo,
> come generico. È lo stesso exe che ho usato per il confronto col tuo.
>
> Bye, G.

Si si, lo so, chissà cosa pensavo :(

--
Greg

[Greg]

Il 29/05/17 10:27:51 Paperino ha scritto:

> Sì. Avete letto bene.
> No, non mi sono sbagliato.
> No, non sto sparando cazzate.
> No, non è una bufala.
> Sì, aggiornate MSE *ora*, se non lo fate da un po'.
> Sì, anche se non lo usate. (Un po' perché non si sa mai, e poi
> perché ho un sospetto
> e sto aspettando che venga smentito o confermato).

L'ho provato tante volte, ma alla fine non sono mai riuscito a fre nulla con MSE
Ma tu appena hai la conferma o la smentita, divulga. Più se ne sa e meglio è :)

--
Greg

[Daniele Pinna (Ufficio)]

Il 29/05/2017 10:27, Paperino ha scritto:

>
> Una delle vulnerabilità patchate da poco da MS - e fateli,
> 'sti cavolo di aggiornamenti! - permette di infettare una macchina
> anche solo mentre visualizza un sito infetto o... peggio.
> Per esempio ricevendo una mail infetta, senza che venga
> neanche aperta e tantomeno che venga cliccato qualcosa all'interno:
> è sufficiente che venga *ricevuta*.
>
> Poi, a infettare la macchina ci pensa... *l'antivirus*.
>
>
> Sì. Avete letto bene.
> No, non mi sono sbagliato.
> No, non sto sparando cazzate.
> No, non è una bufala.
> Sì, aggiornate MSE *ora*, se non lo fate da un po'.
> Sì, anche se non lo usate. (Un po' perché non si sa mai, e poi
> perché ho un sospetto
> e sto aspettando che venga smentito o confermato).

Per MSE intendi Windows Defender?
Sul mio PC è disattivato (credo per il semplice fatto che c'è un altro
AV installato).

Se è disattivato non dovrebbe entrare per niente in funzione... o sbaglio?

Hai maggiori info riguardo questo "BUG"? Magari qualche link...

[Paperino]

"Daniele Pinna (Ufficio)" scritto:

> Paperino ha scritto:
>> Una delle vulnerabilità patchate da poco da MS - e fateli,
>> 'sti cavolo di aggiornamenti! - permette di infettare una macchina
>> anche solo mentre visualizza un sito infetto o... peggio.
>> Per esempio ricevendo una mail infetta, senza che venga
>> neanche aperta e tantomeno che venga cliccato qualcosa all'interno:
>> è sufficiente che venga *ricevuta*.
>>
>> Poi, a infettare la macchina ci pensa... *l'antivirus*.
>>
>>
>> Sì. Avete letto bene.
>> No, non mi sono sbagliato.
>> No, non sto sparando cazzate.
>> No, non è una bufala.
>> Sì, aggiornate MSE *ora*, se non lo fate da un po'.
>> Sì, anche se non lo usate. (Un po' perché non si sa mai, e poi
>> perché ho un sospetto
>> e sto aspettando che venga smentito o confermato).
>
> Per MSE intendi Windows Defender?
> Sul mio PC è disattivato (credo per il semplice fatto che c'è un altro
> AV installato).
>
> Se è disattivato non dovrebbe entrare per niente in funzione... o sbaglio?

Ecco. Non /dovrebbe/, no.
Ma diciamo che è comunque meglio tenere tutti i componenti
aggiornati. E poi, fai conto che un giorno vuoi disinstallare,
che so, Avira per mettere AVG. Fra l'uno e l'altro...?

> Hai maggiori info riguardo questo "BUG"? Magari qualche link...

Premessa: è un sito di m...a, usate NoScript o qualcosa di simile.
Sotto c'è il link breve.

http://ibankcoin.com/zeropointnow/2017/05/09/horrendous-security-f
law-allows-windows-to-be-taken-over-by-single-unopened-email-msft/

https://goo.gl/H9KyAD

Ah, per buon peso accludo un altro link su come piantare un PC con
un sistema simile a quelli che si usavano con W9X:
https://arstechnica.co.uk/information-technology/2017/05/in-a-thro
wback-to-the-90s-ntfs-bug-lets-anyone-hang-or-crash-windows-7-8-1/

https://goo.gl/O3NsQe

Dite la verità, non vi viene un po' di nostalgia? :-)

Bye, G.

[Paperino]

Greg ha scritto:

> Paperino ha scritto:
>> A me l'ha dato il Windows update anni fa e me lo sono salvato,
>> insieme alle varie versioni di aggiornamento degli OCX di VB
>> e di sistema. Se servono anche quelli ripesco i link :-).
>
> Eccome no! Ti devo una birra :)

Ora che vado su un PC ripesco il tutto :-)

Bye, G.

[Daniele Pinna (Ufficio)]

Il 29/05/2017 18:33, Paperino ha scritto:

>> Se è disattivato non dovrebbe entrare per niente in funzione... o sbaglio?
>
> Ecco. Non /dovrebbe/, no.
> Ma diciamo che è comunque meglio tenere tutti i componenti
> aggiornati.

Si, concordo... :-)

> E poi, fai conto che un giorno vuoi disinstallare,
> che so, Avira per mettere AVG. Fra l'uno e l'altro...?

Insomma dalla padella alla brace :-D :-D :-D

In effetti ho notato che si attiva Defender quando installo la nuova
versione di NOD32 quando viene prima disinstallata la vecchia
versione... ma normalmente non dura più di un minuto.

[Paperino]

Ci sono stati dei security update, ma la MS taglia tutti i riferimenti
a VB6 appena può >:-[, ritrovarli è una caccia al tesoro.

In pratica, e riassumendo: ci sono stati aggiornamenti nel 2009,
due volte. Infine sono stati riuniti e aggiornati ancora nel 2012,
e sono quelli che hai già scaricato prima.
Ripeto il link per completezza:
https://www.microsoft.com/en-us/download/details.aspx?id=7030

Infine, gli ultimi in assoluto dovrebbero essere quelli, sempre
del 2012, ma successivi, segnalati qui:
https://technet.microsoft.com/library/security/ms12-060
Microsoft Visual Basic 6.0 Service Pack 6 Security Rollup Update
(riferimento KB2708437)
E che scarichi da qui:
https://www.microsoft.com/en-us/download/details.aspx?id=30505

Infine c'è un Hotfix (quasi scomparso anche questo), che si
riferisce ad un caso estremamente sfigato:
<https://support.microsoft.com/en-us/help/974899/error-message-when-you-run-a-visual-basic-application-that-contains-an-imagelist-control-that-uses-an-ipicture-interface-error-481-invalid-picture>
E' qui, ma non puoi scaricarlo: devi richiederlo per email :-(
http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=974899

Buon divertimento :-D

Bye, G.

[Greg]

Il 29/05/17 21:42:17 Paperino ha scritto:

> Ci sono stati dei security update, ma la MS taglia tutti i riferimenti
> a VB6 appena può >:-[, ritrovarli è una caccia al tesoro.

Eh, MIcrosoft! Cercando in rete una spiegazione per questo falso positivo mi sono imbattuto in questo articolo del
2014:
http://maurorossi.net/pagine/articoli/vbgigante.htm

Ho messo l'aggiornamento 2012 su un pc, immagino che il Rollup incorpori anche l'aggiornamento e non ci sia bisogno di
mettere prima uno poi l'altro.

Diversamente da SP3 o SP6, il progetto creato su macchina con l'aggiornamento 2012 installato, se lo porto su una
macchina senza aggiornamento, qusto si apre senza problemi. Meglio cosi.

Grazie per la gentilezza e la precisione estrema! :)

--
Greg

[Paperino]

Greg ha scritto:

> Paperino ha scritto:
>> Ci sono stati dei security update, ma la MS taglia tutti i riferimenti
>> a VB6 appena può >:-[, ritrovarli è una caccia al tesoro.
> Eh, MIcrosoft! Cercando in rete una spiegazione per questo falso
> positivo mi sono imbattuto in questo articolo del 2014:
> http://maurorossi.net/pagine/articoli/vbgigante.htm
> Ho messo l'aggiornamento 2012 su un pc, immagino che il Rollup incorpori
> anche l'aggiornamento e non ci sia bisogno di mettere prima uno poi
> l'altro.

Attenzione: alcuni file che vengono aggiornati dall'SP6 non fanno
parte del rollup 2012. La sequenza corretta d'installazione è:
1) Visual Studio (o Visual Basic)
2) SP6
3) Rollup 2012

****************************
Poi ci sono degli optional non Microsoft :-)

4) Io aggiungo per la sua estrema comodità la fix per la rotellina
del mouse. La trovi qui:
<https://support.microsoft.com/it-it/help/837910/mouse-wheel-events-do-not-work-in-the-visual-basic-6-0-ide>
Ma c'è un pacchetto già pronto proprio sul sito del buon
Mauro Rossi che hai appena citato:
http://maurorossi.net/pagine/articoli/mousewheel.htm

5) Smart Indenter, per l'indentazione semiautomatica del codice.
E' stato sviluppato per il VB5, poi aggiornato per VB6.
http://www.oaltd.co.uk/indenter/default.htm
http://www.oaltd.co.uk/DLCount/DLCount.asp?file=IndenterVB6.exe
Questa versione si limita a installare la DLL, nella versione
per VB5 c'erano sorgenti e documentazione, se ti servono chiedi.

6) gli MZTools: sono arrivati alla versione 8.0, che mantiene
la retrocompatibilità con le versioni precedenti, ma adesso è
a pagamento.
Io ho ancora la 3.0 (non che la usi molto, ormai) che era
freeware. Dal sito originale ovviamente è stata tolta, l'ho
ripescata qui:
<http://blue-red.ddo.jp/~ao/wiki/wiki.cgi?page=VB6&file=MZTools3VB6Setup%2Eexe&action=ATTACH>

P.S.: ho già controllato tutti i file linkati con Virustotal ;-D

Bye, G.

[Greg]

Il 24/05/2017 20:41:30 Greg ha scritto:

> Sub Main()
> CurrH = Screen.Height / Screen.TwipsPerPixelY
> CurrW = Screen.Width / Screen.TwipsPerPixelX
> SavLog "Display", CurrW & "x" & CurrH
> fMain.Show
> End Sub

Dopo uno scambio di battute con GbC sul altro ng, ho ripreso in mano quel vecchio codice indigesto a qualche antivirus
compreso Kaspersky, e l'ho modificato in questo modo:

h1 = Screen.Height
h2 = Screen.TwipsPerPixelY
w1 = Screen.Width
w2 = Screen.TwipsPerPixelX
--------
--------
SavLog "MNT", CStr(h2) & " " & CStr(w2) & " "

Il codice risultava infetto anche scrivendo SavLog "Diplay" o "MOnitor"
Allora ho cambiato in SavLog "MNT" e, convinto che sia unq questione di pattern o nomi di variabili sospetti, ho
spostato la SavLog in avanti, dopo altre due righe di codice.

Non capisco il perchè, e neanche prima, ma adesso Kasperscky non segnala piu un falso positivo.



--
Greg

[GbC]

Nessuna euristica può segnalare quelle operazioni logiche come un virus,
perché qualsiasi programma fa quelle operazioni.

Quindi il problema (per la mia esperienza) si riduce a modificare la
matrice di bit costituita dall'eseguibile. Questo si può fare
modificando il codice (il flusso dei dati, il nome delle funzioni, ecc)
o cambiando le opzioni di compilazione.

Questo una volta in più dimostra quanto sia tutto un castello di carte.

--
GbC
www.gbc.uno