Malwarebytes видає попередження про троян для основного C # "Hello World!" програма

В основному, я щойно провів сканування мого комп'ютера за допомогою Malwarebytes (оновив визначення перед запуском), і він сказав, що моя програма "helloworld", написана на C #, має трояна .

Насправді я знаю, що це помилковий позитив, оскільки я написав програму лише 2-3 дні тому і перейшов на невеликий веб-сайт з підручниками, щоб зробити програму, якій я довіряю. Я не новачок у C #, але я не бачу нічого, що могло б дати попередження про троян.

Звіт про зловмисне програмне забезпечення

Програма позначає виконуваний файл, але не вихідний файл.

using System;

namespace HelloWorldApplication
{
    class HelloWorld
    {
        static void Main(string[] args)
        {
            Console.WriteLine("\n\tHello World!");
            Console.WriteLine("This is my first C# program.\nI'm so proud of myself!");
            Console.WriteLine("\tTeehee!");
        }
    }
}

Це код, написаний у Notepad ++ , і він запускається з командного рядка ( насправді Cygwin ). Чому це позначає це? Це щось, про що я, як початківець програміст C #, мав би знати?

c# false-positive trojan

— Qwurticus
джерело

Слід додати, що жоден з інших вихідних файлів C # або виконуваних файлів у тій же папці не позначений.

— Qwurticus

Ви завантажили приклад коду з веб-сайту? Можливо, виконується код, про який ви не підозрюєте, що виконується за допомогою спеціальних кроків збірки або посилань на dll у папці bin тощо. Я не бачу там нічого, що могло б стосуватися підпису вірусу.

— BateTech

не пов’язано, але зображення в цьому дописі заблокував sophos із попередженням про шкідливе програмне забезпечення

— puser

Крім того, навіть незважаючи на те, що в цьому сценарії це малоймовірно, варто зауважити, що те, що ваш вихідний код не містить поганого коду, не означає, що ваш виконуваний файл не містить: scienceblogs.com/goodmath/2007/04/15/…

— Fabio Beltramini

У своїй дипломній роботі я використовую близько 14 антивірусів для тестування понад 2500 шкідливих програм і виявив, що Malwarebytes дуже поганий антивірус. Ось слайди - Слайд-32 для графіку порівняння

— Грієш Чаухан,

Відповіді:

131

Проблема може полягати в тому, що троянець Backdoor.MSIL.PGen зазвичай називається "hello.exe". Ім'я вашого виконуваного файлу, імовірно, "hello.exe" або "helloworld.exe".

Просто перейменуйте свій проект або змініть виконуваний файл виводу на щось, що не містить "привіт", і він повинен перестати його виявляти.

Ця відповідь є дещо умоглядною, але, враховуючи назву вашого проекту та історію надмірно агресивного виявлення цього шкідливого програмного забезпечення (див. Тут ), це здається розумним ударом.

— Болдрік
джерело

Це якесь брудне антивірусне програмне забезпечення.

— tom.dietrich

Я вражений тим, що настільки високопрофесійне програмне забезпечення, як MalwareBytes, буде позначати помилкові позитивні результати лише на основі імені файлу

— Бред Томас,

@BradThomas: Ну, я не впевнений, що в цьому причина, але, враховуючи назву проекту вище, це головний пістолет для куріння ... :) Існує також історія MalwareBytes, яка надмірно виявляє цього трояна: forums.malwarebytes.org /index.php?showtopic=135095

— Болдрік

Ви мали рацію ... Це було ім'я. XP. Я вважаю це досить дурним, tbh. Змінив його на іншу назву і не позначив. Дякую!

— Qwurticus

Я гадаю, що евристика (a) містить код MSIL (тип байт-коду, створений компілятором C #), (b) називається "hello.exe". Одного з них само по собі недостатньо.

— nneonneo

Відповідь Болдріка, швидше за все, вірна, але є й інша можливість: є віруси, які шукають випадкові виконувані файли в системі та модифікують їх, вставляючи в них власний код (це, власне, оригінальне визначення поняття " комп'ютерний вірус" "). Коли ви виявите, що виконуваний файл, який, на вашу думку, є надійним, раптом повідомляється про зараження, можливо, ви маєте справу з таким вірусом.

Але якщо ваш сканер вірусів не повідомляє про інші виконувані файли як той самий вірус, це малоймовірно.

— Філіпп
джерело

Я хотів би, щоб він опублікував виконуваний файл. Мені було б дуже смішно, якби хтось декомпілював його і виявив, що він справді містить вірус.

— Navin

@Navin Якби він опублікував його, я б закликав його за свідоме опублікування потенційно шкідливого виконуваного файлу.

— Філіпп

@Navin І саме тому Філіп сказав " потенційно шкідливий виконуваний файл".

— Хлопець з капелюхом

@TheGuywithTheHat Ярмарок досить. Я все ще вважаю, що безпечно розмістити його разом із попередженням.

— Navin

Я щойно зрозумів це: трохи змініть «Настанову» в AssemblyInfo.cs, а потім спробуйте ще раз.

Це спрацювало для мене.

— SuperBerry
джерело