vb@rchiv
VB Classic
VB.NET
ADO.NET
VBA
C#
Erstellen von dynamischen Kontextmen?s - wann immer Sie sie brauchen!  
 vb@rchiv Quick-Search: Suche startenErweiterte Suche starten   RSS-Feeds  | Impressum  | Datenschutz  | vb@rchiv CD Vol.6  | Shop Copyright ©2000-2020
 
zurück

 Sie sind aktuell nicht angemeldet.Funktionen: Einloggen  |  Neu registrieren  |  Suchen

Allgemeine Diskussionen
Wacatac.B!ml verborgen in selbstgeschriebenen Programm? 
Autor: Der kleine Hacker
Datum: 16.09.20 08:02

Liebe Gemeinde,

seit zwanzig Jahren nutze ich Visual Basic für den "Hausgebrauch" - meine Wünsche an Programme konnte ich mir auch Dank Vorlagen und Beiträge in diesem Forum stets erfüllen - ein wirklicher Profi bin ich aber nicht, daher verzeihe man mir, wenn folgende Frage eine Anfängerfrage ist:

In einem seit Jahren nahezu unveränderten, selbstgeschriebenen Programm erkennt die Windows Sicherheit neuerdings den Trojaner "Wacatac.B!ml" und stellt daher mein Programm (die exe-Datei und die daraufzeigenden Verknüpfungen) unter Quarantäne. Ist denkbar, dass sich jener Trojaner in den Programmcode einfügt, ohne dass er in den Quelldateien für mich sichtbar ist?
Themenbaum einblendenGesamtübersicht  |  Zum Thema  |  Suchen

Re: Wacatac.B!ml verborgen in selbstgeschriebenen Programm? 
Autor: Manfred X
Datum: 20.09.20 01:12

Hallo!

Welche VB-Version verwendest Du? Welche Windows-Version?
Welches Programm meldet den Trojaner? Defender?

Hast Du das Programm und alle Komponenten neu übersetzt, nachdem das
System des Entwicklungsrechners auf Malware gescannt und gesäubert worden ist?

Verwendest Du Komponenten (Bibliotheken) von Dritt-Anbietern, die kürzlich
aktualisiert worden sind?

Tritt das Problem mit Deinem Programm auch bei Installation auf anderen
Rechnern auf?
Themenbaum einblendenGesamtübersicht  |  Zum Thema  |  Suchen

Re: Wacatac.B!ml verborgen in selbstgeschriebenen Programm? 
Autor: Der kleine Hacker
Datum: 20.09.20 08:27

Guten Morgen, Manfred!

Vielen Dank für Deinen ausführlichen Beitrag - gerne versuche ich alle Fragen zu beantworten:

Die aktuelle Version des Programms, dass den Trojaner enthalten soll, ist mit dem Basic aus Visual Studio Community 2015, Version 14.0.25431.01 Update 3 erstellt.

Das Betriebssystem ist Windows10, Version 2004 (Build 19041.508).

In der Tat ist es der Windows-Defender, der den Trojaner entdeckt haben will.

Den nächsten Punkt kann ich vielleicht nicht richtig beantworten, weil ich wohl eher ein Freizeitprogrammierer bin: In der Oberfläche vom Visual Basic, in der man auch alle Formulare und Module verändern kann, gibt es eine Play-Taste. Meiner Erfahrung nach wird durch Drücken nicht nur das Programm ausgeführt, sondern auch eine neue exe-Date erstellt. Nach Säuberung durch den Defender und anschließender Durchsicht all meiner selbstgeschriebenen Module und Codes in Formularen habe ich jenen Startknopf gedrückt, also eine neue exe-Datei erzeugt. Nach etwa zwei Tagen hat der Defender dann erneut geglaubt, den Trojaner gefunden zu haben.

Auch bei den Komponenten und Bibliotheken bin ich mir nicht sicher: Zeigen sich die eingebundenen Bibliothen als dll-Datei in den Verweisen der Projekteigenschaften? Dann wäre da die mysql.data.dll zu erwähnen, die - soweit ich mich erinnern kann - nicht beim Visual Studio dabei war. Diese Datei zu Fuß im Explorer gesucht, weist ein Änderungsdatum 15.09.2014 auf - ob auch immer das etwas zu sagen hat... Die anderen unter Verweise angeführten Bibliotheken sind dieselben, die auch bei einem völlig neuen Projekt angezeigt werden.

Der letzte Punkt ist für mich als Hobby-Programmierer so eine Sache: Bei dem Programm handelt es sich um eine Art Sidebar, die Uhrzeit und Datum anzeigt, Namenstage und Geburtstage aus eine Access-Datenbank abfragt, Fotos von der Festplatte darstellt, ein Blick auf die Außenkamereas zeigt (abgerufene Einzelfotos, hier ist kein externer Player eingebunden) und schließlich ein paar Knöpfe zum Schnellzugriff auf andere Programme (einfache shell-Aufrufe) anbietet. Kurzum: Wegen der zahlreichen Pfadangaben würde das Programm so ohne weiteres nicht auf einem anderen Rechner laufen...

Tatsächlich war aber meine Frage auch von akademischem Interesse: Ich frage mich vor allem, ob es überhaupt möglich ist, den gefunden Trojaner scheinbar unsichtbar in einem selbstgeschriebenen Basic-Programm zu verstecken. Auch mir kam schon die Idee, dass man das in einer eingebundenen dll-Datei schaffen könnte. Schön wäre es nun zu wissen, wie mal solche Dateien prüfen könnte...

Viele Grüße aus Bonn!
Themenbaum einblendenGesamtübersicht  |  Zum Thema  |  Suchen

Re: Wacatac.B!ml verborgen in selbstgeschriebenen Programm? 
Autor: minimalist
Datum: 20.09.20 11:59

Hier auf der google seite gibt es eine menge information und wie du den trojaner los wirst. Der ist schon gefährlich.
Themenbaum einblendenGesamtübersicht  |  Zum Thema  |  Suchen

Re: Wacatac.B!ml verborgen in selbstgeschriebenen Programm? 
Autor: Manfred X
Datum: 20.09.20 18:19

Hallo!

Wenn Du eine Virenmeldung bekommst ist die erste Pflicht, einen oder zwei
frisch upgedatete Virenscanner über das gesamte System laufen zu lassen.
Davon gibt es etliche (freie und gebührenpflichtige): Kapersky, Norton, AVIRA,
AVG usw.
Besonders wichtig ist der Internet-Browser: Cache, Einstellungen, Profile, AddOns
Es könnte sein, dass Du Dir eine Malware eingefangen hast, die auch nach einer
Säuberung Deiner Programm-Komponenten in Abständen neue Infektionen vornimmt.

Gewöhnlich kann man in den Antiviren-Programmen bestimmte Dateien auch gezielt
(eventuell regelmäßig nach einem Plan) prüfen lassen.

In VB.Net wird Dein Code standardmäßig nicht direkt in eine ausführbare EXE-Datei
übersetzt, sondern lediglich in eine Zwischensprache (MSIL). Erst zur Laufzeit wird
dieser Code für die jeweilige Maschinensprache kompiliert. Aus diesem Grund halte
ich es eher für unwahrscheinlich, dass in Deiner EXE-Datei ein Trojaner sitzt.

Deine Pfadnutzungen würde ich künftig in den dafür vorgesehenen
(benutzer-spezifischen oder allgemeinen) Windows-Standardordnern erledigen.
Damit lässt sich das Programm sehr viel leichter portieren (z.B. für Testzwecke).
Themenbaum einblendenGesamtübersicht  |  Zum Thema  |  Suchen

Re: Wacatac.B!ml verborgen in selbstgeschriebenen Programm? 
Autor: Der kleine Hacker
Datum: 21.09.20 07:01

Guten Morgen, Manfred!

Nochmals ganz herzlichen Dank für Deine Ausführungen!

Möglichkeiten Viren und Trojaner wieder loszuwerden, sind mir natürlich bekannt. Das "Problem", mit dem ich mich an dieses Forum gewendet habe ist, dass mein eigenes, selbstgeschriebenes Programm vom Defender als Trojaner erkannt wird. Das Programm dann - wie empfohlen - zu entfernen, ist eine für mich unglückliche Option, weil ich es ja gerne weiterhin verwenden möchte.

Daher war ja meine ursprüngliche Frage, ob es überhaupt denkbar ist, dass sich ein Trojaner in einem selbstgeschrieben Programm verstecken kann und wenn ja, wie ich ihn darin dann aufspüren könnte.

Andersherum könnte man auch fragen, ob der Defender aus irgendwelchen Gründen ein selbstgeschriebenes Programm als Trojaner erkennt, obwohl es gar keiner ist. Zum Beispiel, weil mein Programm auf Dateien zugreift, den Media-Player verwendet und shell-Anweisungen enthält...

Deine Einschätzung, dass der Trojaner nicht in meiner EXE-Datei sitzt, bestätigt meine Ansicht und lässt mich vermuten, dass der Defender hier etwas erkennt, was da gar nicht ist.

Bleibt aber eine gewisse Unsicherheit... und eben meine ursprüngliche Frage...

P.S.: Dein Hinweis zu den Pfadangaben hatte ich schon in dem Moment befürchtet, in dem ich beschrieben habe, warum ausgerechnet dieses Programm auf einem anderen Rechner nicht läuft. Die besten Pfade helfen aber nicht, wenn als zweiter Computer nur ein Laptop vorhanden ist, bei dem ganz bewusst recht große Datenbanken nicht installiert sind. Vorausschauend möchte ich noch anmerken, dass ich dennoch durchaus etliche Datensicherungen, auch Online habe... (aber das ganze nur schmunzelnd nebenbei - ich bin Dir für all Deine Hinweise sehr dankbar!)
Themenbaum einblendenGesamtübersicht  |  Zum Thema  |  Suchen

Re: Wacatac.B!ml verborgen in selbstgeschriebenen Programm? 
Autor: Der kleine Hacker
Datum: 21.09.20 07:09

Lieber Minimalist!

Vielen Dank für Deine Antwort.

Ich bin es wohl selber schuld, dass ich, wenn ich mich als Hobby-Programmierer bezeichne, hier die Antwort bekomme, ich möge den Sachverhalt doch erstmal googeln...

Ich befürchte, mir muss aber wohl sogar beim Googeln geholfen werden:

Die Frage an dieses Forum war:

Könnte sich der Trojaner Wacatac.B!ml in einem selbstgeschriebenen Visual-Basic-Programm verstecken?

Hilfreich neben der Antwort, wären Antworten auf Fragen, die sich unmittelbar danach ergeben:

Wenn "ja": Wie könnte man ihn im Programmcode aufspüren?

Wenn "nein": Ist denkbar, dass der Defender diesen Trojaner erkennt, obschon er gar nicht da ist?

(Hier ist ein erster Hinweis zu finden im Google-Suchergebnis "Trojan Killer": "Trojan:Win32 / Wacatac.B ist eine allgemeine Erkennung von Microsoft Security Essentials verwendet, Windows Defender und andere Anti-Virus-Produkte für eine Datei, die Trojaner-ähnliche Funktionen oder Verhalten zu haben scheint.")

Dennoch konnte ich selbst mit Google diese Fragen nicht mit Sicherheit klären - wenn Du einen Link für mich hättest, wäre ich Dir sehr dankbar!

Beitrag wurde zuletzt am 21.09.20 um 07:19:57 editiert.
Themenbaum einblendenGesamtübersicht  |  Zum Thema  |  Suchen

Re: Wacatac.B!ml verborgen in selbstgeschriebenen Programm? 
Autor: minimalist
Datum: 21.09.20 07:17

Sorry hatte verpasst den link anzugeben:
https://www.google.com/search?q=wacatac.b+ml+trojan&oq=Wacatac.B!ml&aqs=chrome.3.69i57j0l6j69i61.4342j0j7&sourceid=chrome&ie=UTF-8

viel spass
Themenbaum einblendenGesamtübersicht  |  Zum Thema  |  Suchen

Re: Wacatac.B!ml verborgen in selbstgeschriebenen Programm? 
Autor: Der kleine Hacker
Datum: 21.09.20 07:30

Oh ja!

Nochmals tausend Dank für die minimalistische Antwort...

Soweit ich mal kurz gescrollt habe, beschreiben die Suchergenisse den Trojaner und wie man ihn entfernt...

In meinem Fall brauche ich nur mein selbstgeschriebenes Programm zu löschen. Es ist zwar schwer zu glauben, aber das wusste ich sogar vor dem Googeln...

Nur so aus Spaß die Nachfrage, welcher der 49.100 Suchergebnisse enthält die Antwort auf meine Fragen?
Themenbaum einblendenGesamtübersicht  |  Zum Thema  |  Suchen

Sie sind nicht angemeldet!
Um auf diesen Beitrag zu antworten oder neue Beiträge schreiben zu können, müssen Sie sich zunächst anmelden.

Einloggen  |  Neu registrieren

Funktionen:  Zum Thema  |  GesamtübersichtSuchen 

nach obenzurück
 
   

Copyright ©2000-2020 vb@rchiv Dieter Otter
Alle Rechte vorbehalten.
Microsoft, Windows und Visual Basic sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Weitere auf dieser Homepage aufgeführten Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen Inhaber sein.

Diese Seiten wurden optimiert für eine Bildschirmauflösung von mind. 1280x1024 Pixel