Malwarebytes แจ้งเตือนโทรจันสำหรับ C # พื้นฐาน“ Hello World!” โปรแกรม

โดยทั่วไปฉันวิ่งสแกนเครื่องคอมพิวเตอร์ของฉันกับMalwarebytes (การปรับปรุงคำนิยามก่อนที่จะใช้) และก็กล่าวว่า "HelloWorld" ฉันเขียนโปรแกรมใน C # มีโทรจัน

ฉันรู้ว่านี่เป็นผลบวกที่ผิดเนื่องจากฉันเพิ่งเขียนโปรแกรมเมื่อ 2-3 วันก่อนและติดตามเว็บไซต์สอนเล็ก ๆ เพื่อสร้างโปรแกรมที่ฉันเชื่อถือ ฉันยังใหม่กับ C # แต่ฉันไม่เห็นสิ่งใดที่จะแจ้งเตือนโทรจันเลย

รายงาน Malwarebytes

โปรแกรมแฟล็กที่เรียกทำงานได้ แต่ไม่ใช่ซอร์สไฟล์

using System;

namespace HelloWorldApplication
{
    class HelloWorld
    {
        static void Main(string[] args)
        {
            Console.WriteLine("\n\tHello World!");
            Console.WriteLine("This is my first C# program.\nI'm so proud of myself!");
            Console.WriteLine("\tTeehee!");
        }
    }
}

นี่คือรหัสที่เขียนในNotepad ++และเรียกใช้จากบรรทัดคำสั่ง ( จริงๆแล้วCygwin ) เหตุใดจึงตั้งค่าสถานะนี้ ในฐานะโปรแกรมเมอร์รุ่น C # ฉันควรรู้หรือไม่?

c# false-positive trojan

— Qwurticus
แหล่งที่มา

ฉันควรเพิ่มไฟล์ต้นฉบับ C # หรือไฟล์ปฏิบัติการอื่น ๆ ในโฟลเดอร์เดียวกันไม่ถูกตั้งค่าสถานะ

— Qwurticus

คุณดาวน์โหลดตัวอย่างโค้ดจากเว็บไซต์หรือไม่? อาจเป็นรหัสกำลังดำเนินการโดยที่คุณไม่ทราบว่ากำลังดำเนินการผ่านขั้นตอนการสร้างแบบกำหนดเองหรือการอ้างอิงไปยัง dlls ในโฟลเดอร์ bin เป็นต้น ฉันไม่เห็นสิ่งใดที่เกี่ยวข้องกับลายเซ็นไวรัส

— BateTech

ไม่เกี่ยวข้อง แต่ภาพในโพสต์นี้ถูกบล็อกโดย sophos พร้อมคำเตือนมัลแวร์

— 09:37 น

นอกจากนี้แม้ว่าจะไม่เป็นไปได้ในสถานการณ์นี้ แต่ก็ควรสังเกตว่าเพียงเพราะซอร์สโค้ดของคุณไม่มีโค้ดที่ไม่ดีไม่ได้หมายความว่าไฟล์ปฏิบัติการของคุณไม่ได้: scienceblogs.com/goodmath/2007/04/15/…

— Fabio Beltramini

ในงานวิทยานิพนธ์ของฉันฉันใช้แอนตี้ไวรัสประมาณ 14 ตัวเพื่อทดสอบมัลแวร์มากกว่า 2,500 ตัวและพบว่า Malwarebytes เป็นแอนตี้ไวรัสที่แย่มาก นี่คือสไลด์ - Slide-32 สำหรับกราฟเปรียบเทียบ

— Grijesh Chauhan

คำตอบ:

131

ปัญหาอาจเกิดจากโทรจัน Backdoor.MSIL.PGen มักเรียกว่า 'hello.exe' ชื่อไฟล์ปฏิบัติการของคุณน่าจะเป็น "hello.exe" หรือ "helloworld.exe"

เพียงแค่เปลี่ยนชื่อโปรเจ็กต์ของคุณหรือเปลี่ยนเอาท์พุตที่เรียกใช้งานได้เป็นสิ่งที่ไม่มีคำว่า "สวัสดี" ก็ควรหยุดตรวจพบ

คำตอบนี้ค่อนข้างคาดเดา แต่เนื่องจากชื่อโครงการของคุณและประวัติของการตรวจจับมัลแวร์ที่ก้าวร้าวเกินไป (ดูที่นี่ ) ดูเหมือนว่าเป็นการแทงที่สมเหตุสมผล

— Baldrick
แหล่งที่มา

นั่นคือซอฟต์แวร์ป้องกันไวรัสที่น่ารังเกียจที่นั่น

— tom.dietrich

ฉันประหลาดใจที่ซอฟต์แวร์ชิ้นหนึ่งที่มีรายละเอียดสูงพอ ๆ กับ MalwareBytes จะตั้งค่าสถานะเป็นบวกเท็จตามชื่อไฟล์เท่านั้น

— Brad Thomas

@BradThomas: ฉันไม่แน่ใจว่านี่เป็นเหตุผล แต่เนื่องจากชื่อของโครงการข้างต้นมันเป็นปืนสูบบุหรี่ที่สำคัญ ... :) นอกจากนี้ยังมีประวัติของ MalwareBytes ที่ตรวจพบโทรจันนี้อย่างมากเกินไป

— Baldrick

คุณคิดถูก ... มันคือชื่อ XP. ฉันคิดว่ามันค่อนข้างโง่ tbh เปลี่ยนเป็นชื่ออื่นโดยที่ไม่ได้ตั้งค่าสถานะ ขอขอบคุณ!

— Qwurticus

ฉันเดาว่าฮิวริสติกคือ (a) มีรหัส MSIL (ชนิดของรหัสไบต์ที่สร้างโดยคอมไพเลอร์ C #) (b) ชื่อ "hello.exe" หนึ่งในนั้นด้วยตัวเองไม่เพียงพอ

— nneonneo

คำตอบของ Baldrick น่าจะถูกต้อง แต่ก็มีความเป็นไปได้อีกเช่นกัน: มีไวรัสที่ค้นหาไฟล์ปฏิบัติการแบบสุ่มในระบบและแก้ไขโดยการใส่รหัสของตัวเองลงไป (อันที่จริงคำจำกัดความดั้งเดิมของ " ไวรัสคอมพิวเตอร์ "). เมื่อคุณพบว่าไฟล์ปฏิบัติการที่คุณรู้ว่าน่าเชื่อถือถูกรายงานว่าติดไวรัสในทันทีคุณอาจกำลังจัดการกับไวรัสดังกล่าว

แต่ถ้าเครื่องสแกนไวรัสของคุณไม่รายงานไฟล์ปฏิบัติการอื่นว่าเป็นไวรัสตัวเดียวกันก็ไม่น่าเป็นไปได้

— ฟิลิปป์
แหล่งที่มา

ฉันหวังว่าเขาจะโพสต์ปฏิบัติการ ฉันจะค่อนข้างสนุกถ้ามีคนถอดรหัสและพบว่ามันมีไวรัส

— นาวิน

@Navin ถ้าเขาโพสต์ไว้ฉันคงจะเรียกเขาออกไปแล้วเพราะจงใจเผยแพร่ปฏิบัติการที่อาจเป็นอันตราย

— Philipp

@Navin และนั่นคือเหตุผลที่ Philipp กล่าวว่า " ไฟล์ปฏิบัติการที่อาจเป็นอันตราย"

— The Guy with The Hat

@TheGuywithTheHat พอสมควร ฉันยังคิดว่ามันปลอดภัยที่จะโพสต์พร้อมกับคำเตือน

— นาวิน

ฉันเพิ่งค้นพบสิ่งนี้: เปลี่ยน "Guid" ใน AssemblyInfo.cs เล็กน้อยแล้วลองอีกครั้ง

ที่ได้ผลสำหรับฉัน

— ซูเปอร์เบอร์รี่
แหล่งที่มา