Path: csiph.com!eternal-september.org!feeder.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: Paperino <non_te@lo.dico.invalid>
Newsgroups: it.comp.lang.visual-basic
Subject: Re: Prog VB6 e antivirus
Date: Sat, 27 May 2017 17:57:30 +0200
Organization: Non molta
Lines: 42
Message-ID: <ogc7f7$frf$1@dont-email.me>
References: <ofpe5g$l4s$1@solani.org> <og0o8p$176o$1@gioia.aioe.org> <og1h22$18o$1@solani.org> <og3lub$9bp$1@gioia.aioe.org> <og46n2$ojt$1@solani.org> <og47o3$18t3$1@gioia.aioe.org> <og4bch$rfh$1@solani.org> <okdbictfbl2kf1032ukpud52ndgj3mviup@4ax.com> <og4k4t$1b3$1@solani.org> <og67he$3ki$1@dont-email.me> <og68je$kd$1@solani.org> <og69g5$9of$1@dont-email.me> <og9d8l$31d$1@solani.org>
Reply-To: gaetano_d@hotmail.com
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-15; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Sat, 27 May 2017 15:54:15 -0000 (UTC)
Injection-Info: mx02.eternal-september.org; posting-host="bfe58eb6e4bbfb099c4f245e8bc101a2"; logging-data="16239"; mail-complaints-to="abuse@eternal-september.org";	posting-account="U2FsdGVkX196IDDgsO//dE0KEDzhhi4sMg3aCx/sBFo="
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Thunderbird/45.8.0
In-Reply-To: <og9d8l$31d$1@solani.org>
Cancel-Lock: sha1:+uXu8yW6TvRsjesMp7VgWMFKjFc=
Xref: csiph.com it.comp.lang.visual-basic:19036

Il 26/05/2017 16:14, Greg ha scritto:
> Il 25/05/2017 11:55:28 Paperino ha scritto:
>
> Ciao Paperino,
> ricevuto tutto? Non vorrei averti fulminato il pc :)

Naaaahhh :-P
Ho semplicemente avuto un po' da fare in questi giorni...

Allora, il punto principale e importante è che è sicuramente
pulito, visto che nonostante tutto qualche dubbio uno poteva
averlo.

Ho controllato sia aprendo il file, sia analizzandolo a mano
con ProcMon e altro per vedere cosa fa.
A parte un paio di chiamate di sistema leggermente diverse al
momento dell'apertura della VM di VB6 (vedi sotto), il comportamento
è virtualmente identico..
Tra l'altro, adesso sono in 4 gli AV su Virustotal che lo
riconoscono :-(

Per tutti si tratta comunque di un riconoscimento generico;
alcuni dei nomi e degli alias di quel riconoscimento sono:
BackDoor.Generic.738, W32/VBTrojan.19F2!Maximus,
Win32/DelfInject.gen!AC, Suspicious.Cloud.2, Win32/VB.RGB
Suspicious_Gen2.WADLY, PE:Trojan.Win32.Generic.15D390B2!366186674
Mal/Behav-034, PAK_Generic.001, Generic.dx!E3E721EADB9A
...eccetera.

In altre parole, un /qualche cosa/ scritto in un VB6 di qualche
anno fa. Il perché non venga riconosciuto anche il mio può
dipendere da una questione di versione di qualche componente
di VB, presumibilmente il compilatore che effettua delle chiamate
leggermente diverse. Il come e il perché probabilmente non lo
sanno più neanche quelli della MS, se li conosco bene :-)

L'ultima possibilità resta quella degli aggiornamenti: nella mail 
specificavi che l'ultimo che hai è l'SP6, ma dopo l'SP6 in effetti
*c'è* stato altro. Questo "cumulative update" del 2012 ce l'hai?
https://www.microsoft.com/en-us/download/details.aspx?id=7030

Bye, G.