Acbr com código malicioso na svn ?

[kanedasam]

Boa tarde a todos

Quero informar que no dia 02 de fevereiro 2011 ao atualizar a minha pasta do Acbr e logo após gerar um build do meu sistema o meu anti-virus detectou no meu executável à infecção TrojanSpy:Win32/Bancos.gen!A . Achei muito estranho e fiz o seguinte teste :

1 – Deletei a pasta do Acbr e restaurei o backup da minha pasta e dei um outro build, trabalhou normal e o anti-virus não detectou nada.

2 – Realizei o update da minha pasta restaurada do Acbr e dei um novo buld e logo após a linkagem das dcu’s gerando o meu exe e o anti-virus detectou novamente o vírus no meu novo executável.

Realizei este processo três vezes e sempre que a pasta do Acbr e atualizada pela svn com esta versão de hoje, o meu anti-virus detecta este vírus no meu exe.

Realizei os testes com o AVG-free que não detectou o vírus após o build e com o microsoft security essencial que detectou logo após a criação do exe, infelismente não tive condições de realizar mais testes com outros anti-virus.

Peço que os responsáveis do projeto dêem atenção urgente e se caso seja confirmado que detectem de onde ou quem inseriu o código malicioso.

Obrigado.

[André Ferreira de Moraes]

Compare com o WinMerge ou outro programa de comparação seus fontes atuais com os fontes do SVN e veja oq pode estar causando esta mensagem.

[juaumkiko]

Acusação Grave. Espero que vc tenha certeza absoluta do que esta escrevendo, pois esta acusando pessoas que dedicam o tempo livre que lhes resta para se dedicar a melhorar um projeto de bem de todos.

Eu tenho o MS Security atualizado e ele nao detectou nada no meu executavel.

Já tentou compilar esse projeto em outro computador?

Quais componentes ACBr vc utiliza?

[Marcio]

Acho mais fácil ter algo nos arquivos de seu projeto do que nos arquivos do componente..... experimentou testar em outro equipamento? mas não coloque seu projeto atual nele, crie um novo com os componentes Acbr que você utiliza e faça um teste.

Faça isso com o Demo se for o caso.

[]'s

Marcio

[EMBarbosa]

Isso daí parece mensagem de heurística. Ou o seu projeto foi infectado ou é um falso positivo. Eu tenho Avira rodando na minha máquina, AVG-free em outra e não aconteceu nada.

Talvez queira enviá-lo para http://www.virustotal.com/pt

O que o André mencionou é válido. Use o WinMerge para diferenciar as alterações do seu código para o código do SVN e veja você mesmo o que foi acrescentado e que poderia gerar esse erro.

[kanedasam]

Caros João Henrique, Marcio, Elton

Infelizmente o que escrevi aqui e uma verdade e não um engano realizei mais testes durante a madrugada desta noite para descobrir de qual revisão originou esta mensagem falsa ou código malicioso. Testei fazendo os updates desde a rev. 1935 do dia 06 de janeiro de 2011, sendo esta a Revisão que tenho backup, realizando o build uma por uma até chegar na rev. 1973 que causa esta situação.

Usei 4 computadores diferentes sendo que em 3 tinha um VirtualPC, consegui testar em 7 ambientes diferentes e todos apresentaram a detecção do vírus na ver. 1973 sempre após gerar o executável.

Realizei um teste final, atualizei o meu acbr para ultima versão disponível no svn a rev. 1978 de 1 de fevereiro de 2011 que apresenta este problema desde a rev. 1973, removi do projeto do meu sistema o meu formulário de boleto, a tela que usa o compoente AcbrBoleto e realizei outro build e desta vez não foi detectado nenhum vírus.

Não tem como alegar que o problema esta no fonte (pas e dfm) da minha tela de boleto pois ela existe a mais de 4 meses e sempre funcionou e o seu código não e modificada desde então e sempre compilou com as variadas revisões do Acbr.

O Problema se apresenta no componente para o boleto na ver. 1973 que apresenta uma grande mudança, ainda não tive tempo e condições para repassar a todos qual e o código que causa o problema.

-------------------------------------------------------------------------------------------------------

Revision: 1973

Author: julianatamizou

Date: 09:38:56, segunda-feira, 31 de janeiro de 2011

Message:

----

Modified : /trunk/Exemplos/ACBrLCB/Lazarus/LCBTeste.lpi

Modified : /trunk/Exemplos/ACBrLCB/Lazarus/LCBTeste.lpr

Modified : /trunk/Fontes/ACBrBoleto/ACBrBancoBanrisul.pas

Modified : /trunk/Fontes/ACBrBoleto/ACBrBancoBradesco.pas

Modified : /trunk/Fontes/ACBrBoleto/ACBrBancoBrasil.pas

Modified : /trunk/Fontes/ACBrBoleto/ACBrBancoItau.pas

Modified : /trunk/Fontes/ACBrBoleto/ACBrBancoSantander.pas

Modified : /trunk/Fontes/ACBrBoleto/ACBrBoleto-change-log.txt

Modified : /trunk/Fontes/ACBrBoleto/ACBrBoleto.pas

Modified : /trunk/Fontes/ACBrBoleto/ACBrBoletoFCFortesFr.lfm

Modified : /trunk/Fontes/ACBrBoleto/ACBrBoletoFCLazReport.lrs

Modified : /trunk/Fontes/ACBrBoleto/ACBrBoletoFCLazReportDm.pas

Modified : /trunk/Fontes/ACBrBoleto/FCLazReport_Padrao.lrf

Modified : /trunk/Fontes/ACBrBoleto/Logos/Colorido/008.bmp

Modified : /trunk/Fontes/ACBrBoleto/Logos/Colorido/033.bmp

Modified : /trunk/Fontes/ACBrBoleto/Logos/PretoBranco/008.bmp

Modified : /trunk/Fontes/ACBrBoleto/Logos/PretoBranco/033.bmp

Modified : /trunk/Fontes/Imagens/Compila_LRS.BAT

Modified : /trunk/Pacotes/Lazarus/ACBr_Boleto.lpk

Modified : /trunk/Pacotes/Lazarus/ACBr_Boleto.pas

Modified : /trunk/Projetos/ACBrMonitor/Lazarus/ACBrMonitor.lpi

Modified : /trunk/Projetos/ACBrMonitor/Lazarus/DoBoletoUnit.pas

-------------------------------------------------------------------------------------------------------

[André Ferreira de Moraes]

Tente passar seu antivírus diretamente nos arquivos do ACBrBoleto para ver se alguns deles está contaminado.

[EMBarbosa]

Acabei de fazer uma verificação nas alterações enviadas nessa revisão (1973) e não achei nada de anormal. O único arquivo que não consegui verificar foi o ACBrBoletoFCLazReport.lrs;

Parece que o seu Executável caiu no que chamamos falso positivo. Envie-o para o site http://www.virustotal.com/pt e coloque aí o resultado.

Mas pra garantir verifique alguns desses sintomas:

Presença do arquivo explori.exe na pasta do sistema

Presença do registro de valor "explorer" e conteudo "\explori.exe"

Na subchave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

fonte: http://www.microsoft.com/security/porta ... ncos.gen!A"

[kanedasam]

Não estou acusando ninguém e nem dizendo que isto foi intencional somente estou relatando um fato muito atípico. Se caso usarmos uma imagem que contém um arquivo camuflado nele em um projeto por sim causar esta situação bastando somente pegar uma imagem da internet.

[kanedasam]

EMBarbosa

Realizei esta verificação sim, e não foi encontrado em nenhuma das maquina. Acredito que seja realmente um falso positivo.

Agora a questão pra mim esta sendo o porquê deste falso positivo e gerado quando atualizo para a rev. 1973 acima, pois até a 1972 todas as revisões funcionam.

[EMBarbosa]

EMBarbosa

Realizei esta verificação sim, e não foi encontrado em nenhuma das maquina. Acredito que seja realmente um falso positivo.

Agora a questão pra mim esta sendo o porquê deste falso positivo e gerado quando atualizo para a rev. 1973 acima, pois até a 1972 todas as revisões funcionam.

Não posso te afirmar com 100% de certeza sem analisar o seu próprio código, mas podemos fazer algumas suposições e ter alguma ideia baseado no que temos de informações desse vírus e do ACBrBoleto.

Não sei qual o seu grau de conhecimento de funcionamento interno de anti-vírus mas acredito que saiba que existe o método de detecção chamado heurística. Esse método na verdade não identifica se um arquivo está realmente infectado. O que ele faz é analisar o arquivo binário e procurar algo semelhante entre ele e os vírus conhecidos. Encontrando um certo grau de semelhança, ele acusa o arquivo como infectado.

Veja que o vírus citado é visa buscar os dados de bancos. Muito provavelmente foi desenvolvido em Delphi e deve ter referencias em strings aos sites. Pelo visto ele envia e-mails também.

O que o ACBrBoleto faz justamente é usar dados sobre os bancos. Talvez isso em conjunção com os códigos do seu programa foi o suficiente para que o anti-vírus tenha detectado alguma semelhança no seu programa executável (ou seja no arquivo binário dele) com o vírus.

Eu sou meio neurótico com questões de segurança, então mesmo acreditando que nada passa de um falso positivo, ainda assim, eu sugiro que você faça a verificação cautelosa.

Talvez queira fazer o seguinte:

Ponha o código na versão 1973.
Depois faça Revert de uma das pastas alteradas na versão 1973 para a versão 1972.
Faça o Build do seu projeto após o Revert.
Passe o antivírus.
Repita os passos 2, 3 e 4 para cada pasta alterada.

Num dado momento vai perceber qual pasta contém a alteração que supostamente cria o vírus.

Repita então os passos, mas ao invés de usar as pastas faça para cada arquivo na pasta até perceber exatamente qual alteração que faz isso.

[edulamy]

Estou como mesmo problema, se alguem conseguiu resolver por favor me passe a solução.

[kanedasam]

Retorno a todos

O problema de o executável ser detectado como vírus e realmente devido à heurística, mas a culpa e por causa dos hooks incluído em tempo de execução feito por componentes de gerenciamento de erros, crash/exception, no meu caso foi o MADEXCEPTION.

Troquei o MADEXCEPTION pelo Eurekalog, e acabaram as mensagens de vírus, como o MADEXCEPTION não distribui as fontes levei um tempão para detectar a origem do problema

Fica a dica ai pra todos.

[kanedasam]

Ops ... esqueci de agradecer a todos pela ajuda, Muito Obrigado.

[edulamy]

nao entendi, onde vejo isso?