Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > it.comp.lang.visual-basic > #18988 > unrolled thread

Prog VB6 e antivirus

Back to article view | Back to it.comp.lang.visual-basic

Contents

  Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-20 14:51 +0200
    Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-20 15:18 +0200
      Re: Prog VB6 e antivirus Luca D <antaniserse@yahoo.it> - 2017-05-20 14:24 -0700
        Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-21 09:42 +0200
          Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-21 09:54 +0200
          Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-21 09:56 +0200
    Re: Prog VB6 e antivirus SB <stNOOObenevSPAM@tin.it> - 2017-05-22 19:15 +0200
      Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-22 19:21 +0200
        Re: Prog VB6 e antivirus SB <stNOOObenevSPAM@tin.it> - 2017-05-22 19:26 +0200
          Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-23 16:35 +0200
            Re: Prog VB6 e antivirus SB <stNOOObenevSPAM@tin.it> - 2017-05-23 17:55 +0200
              Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-23 18:56 +0200
                Re: Prog VB6 e antivirus SB <stNOOObenevSPAM@tin.it> - 2017-05-24 09:59 +0200
                  Re: Prog VB6 e antivirus "Daniele Pinna (Ufficio)" <daniele@oops.dapinna.com> - 2017-05-24 15:52 +0200
                    Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-24 16:55 +0200
                      Re: Prog VB6 e antivirus "Daniele Pinna (Ufficio)" <daniele@oops.dapinna.com> - 2017-05-24 17:22 +0200
                        Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-24 18:07 +0200
                          Re: Prog VB6 e antivirus "Daniele Pinna (Ufficio)" <daniele@oops.dapinna.com> - 2017-05-24 18:15 +0200
                      Re: Prog VB6 e antivirus Paperino <non_te@lo.dico.invalid> - 2017-05-29 10:27 +0200
                        Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-29 16:18 +0200
                        Re: Prog VB6 e antivirus "Daniele Pinna (Ufficio)" <daniele@oops.dapinna.com> - 2017-05-29 16:21 +0200
                          Re: Prog VB6 e antivirus Paperino <non_te@lo.dico.invalid> - 2017-05-29 18:33 +0200
                            Re: Prog VB6 e antivirus "Daniele Pinna (Ufficio)" <daniele@oops.dapinna.com> - 2017-05-29 21:28 +0200
    Re: Prog VB6 e antivirus GbC <info@gbcdepot.com> - 2017-05-23 09:27 +0200
      Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-23 16:30 +0200
        Re: Prog VB6 e antivirus GbC <info@gbcdepot.com> - 2017-05-23 16:36 +0200
        Re: Prog VB6 e antivirus GbC <info@gbcdepot.com> - 2017-05-24 12:05 +0200
          Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-24 16:52 +0200
            Re: Prog VB6 e antivirus GbC <info@gbcdepot.com> - 2017-05-24 17:09 +0200
              Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-24 18:11 +0200
                Re: Prog VB6 e antivirus SB <stNOOObenevSPAM@tin.it> - 2017-05-24 18:42 +0200
                  Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-24 19:24 +0200
                  Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-24 20:41 +0200
                    Re: Prog VB6 e antivirus GbC <info@gbcdepot.com> - 2017-05-25 10:04 +0200
                      Re: Prog VB6 e antivirus GbC <info@gbcdepot.com> - 2017-05-25 10:06 +0200
                      Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-25 11:25 +0200
                    Re: Prog VB6 e antivirus Paperino <non_te@lo.dico.invalid> - 2017-05-25 11:21 +0200
                      Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-25 11:36 +0200
                        Re: Prog VB6 e antivirus Paperino <non_te@lo.dico.invalid> - 2017-05-25 11:55 +0200
                          Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-25 13:12 +0200
                          Re: Prog VB6 e antivirus SB <stNOOObenevSPAM@tin.it> - 2017-05-25 18:20 +0200
                          Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-26 16:14 +0200
                            Re: Prog VB6 e antivirus Paperino <non_te@lo.dico.invalid> - 2017-05-27 17:57 +0200
                              Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-27 20:30 +0200
                                Re: Prog VB6 e antivirus Paperino <non_te@lo.dico.invalid> - 2017-05-28 13:28 +0200
                                  Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-29 16:16 +0200
                                    Re: Prog VB6 e antivirus Paperino <non_te@lo.dico.invalid> - 2017-05-29 18:38 +0200
                                      Re: Prog VB6 e antivirus Paperino <non_te@lo.dico.invalid> - 2017-05-29 21:42 +0200
                                        Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-05-30 15:02 +0200
                                          Re: Prog VB6 e antivirus Paperino <non_te@lo.dico.invalid> - 2017-05-30 17:33 +0200
                    Re: Prog VB6 e antivirus Greg <greg@alicie.com> - 2017-08-20 10:12 +0200
                      Re: Prog VB6 e antivirus GbC <info@gbcdepot.com> - 2017-08-21 09:36 +0200

Page 2 of 3 — ← Prev page 1 [2] 3  Next page →

#19044

Il 29/05/2017 10:27, Paperino ha scritto:

> 
> Una delle vulnerabilità patchate da poco da MS - e fateli,
> 'sti cavolo di aggiornamenti! - permette di infettare una macchina
> anche solo mentre visualizza un sito infetto o... peggio.
> Per esempio ricevendo una mail infetta, senza che venga
> neanche aperta e tantomeno che venga cliccato qualcosa all'interno:
> è sufficiente che venga *ricevuta*.
> 
> Poi, a infettare la macchina ci pensa... *l'antivirus*.
> 
> 
> Sì. Avete letto bene.
> No, non mi sono sbagliato.
> No, non sto sparando cazzate.
> No, non è una bufala.
> Sì, aggiornate MSE *ora*, se non lo fate da un po'.
> Sì, anche se non lo usate. (Un po' perché non si sa mai, e poi
>   perché ho un sospetto
> e sto aspettando che venga smentito o confermato).

Per MSE intendi Windows Defender?
Sul mio PC è disattivato (credo per il semplice fatto che c'è un altro 
AV installato).

Se è disattivato non dovrebbe entrare per niente in funzione... o sbaglio?

Hai maggiori info riguardo questo "BUG"? Magari qualche link...



-- 
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM        :  http://www.dapinna.com
Il Docfa in Pillole:  http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook: https://www.facebook.com/dapinnadotcom
BLOG: http://storielaboratorioinformatica.wordpress.com

[toc] | [prev] | [next] | [standalone]

#19045

"Daniele Pinna (Ufficio)" scritto:
> Paperino ha scritto:
>> Una delle vulnerabilità patchate da poco da MS - e fateli,
>> 'sti cavolo di aggiornamenti! - permette di infettare una macchina
>> anche solo mentre visualizza un sito infetto o... peggio.
>> Per esempio ricevendo una mail infetta, senza che venga
>> neanche aperta e tantomeno che venga cliccato qualcosa all'interno:
>> è sufficiente che venga *ricevuta*.
>> 
>> Poi, a infettare la macchina ci pensa... *l'antivirus*.
>> 
>> 
>> Sì. Avete letto bene.
>> No, non mi sono sbagliato.
>> No, non sto sparando cazzate.
>> No, non è una bufala.
>> Sì, aggiornate MSE *ora*, se non lo fate da un po'.
>> Sì, anche se non lo usate. (Un po' perché non si sa mai, e poi
>>   perché ho un sospetto
>> e sto aspettando che venga smentito o confermato).
> 
> Per MSE intendi Windows Defender?
> Sul mio PC è disattivato (credo per il semplice fatto che c'è un altro 
> AV installato).
> 
> Se è disattivato non dovrebbe entrare per niente in funzione... o sbaglio?

Ecco. Non /dovrebbe/, no.
Ma diciamo che è comunque meglio tenere tutti i componenti
aggiornati. E poi, fai conto che un giorno vuoi disinstallare,
che so, Avira per mettere AVG. Fra l'uno e l'altro...?

> Hai maggiori info riguardo questo "BUG"? Magari qualche link...

Premessa: è un sito di m...a, usate NoScript o qualcosa di simile.
Sotto c'è il link breve.

http://ibankcoin.com/zeropointnow/2017/05/09/horrendous-security-f
law-allows-windows-to-be-taken-over-by-single-unopened-email-msft/

https://goo.gl/H9KyAD

Ah, per buon peso accludo un altro link su come piantare un PC con
un sistema simile a quelli che si usavano con W9X:
https://arstechnica.co.uk/information-technology/2017/05/in-a-thro
wback-to-the-90s-ntfs-bug-lets-anyone-hang-or-crash-windows-7-8-1/

https://goo.gl/O3NsQe

Dite la verità, non vi viene un po' di nostalgia? :-)

Bye, G.

[toc] | [prev] | [next] | [standalone]

#19047

Il 29/05/2017 18:33, Paperino ha scritto:

>> Se è disattivato non dovrebbe entrare per niente in funzione... o sbaglio?
> 
> Ecco. Non /dovrebbe/, no.
> Ma diciamo che è comunque meglio tenere tutti i componenti
> aggiornati.

Si, concordo... :-)


> E poi, fai conto che un giorno vuoi disinstallare,
> che so, Avira per mettere AVG. Fra l'uno e l'altro...?

Insomma dalla padella alla brace :-D :-D :-D

In effetti ho notato che si attiva Defender quando installo la nuova 
versione di NOD32 quando viene prima disinstallata la vecchia 
versione... ma normalmente non dura più di un minuto.




-- 
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM        :  http://www.dapinna.com
Il Docfa in Pillole:  http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook: https://www.facebook.com/dapinnadotcom
BLOG: http://storielaboratorioinformatica.wordpress.com

[toc] | [prev] | [next] | [standalone]

#19005

Il 20/05/2017 14:51, Greg ha scritto:
> Ho un programmino che all'improvviso è diventato pericoloso per Avast e 
> ZoneAlarm
> 
> Sembrebbe che ci sia una funzione Api che lo insospetisce ma io non ho 
> usato quella funzione: SetWindowsHook Window.
> 
> "The file installs an application-defined hook procedure into a hook 
> chain. You would install a hook procedure to monitor the system for 
> certain types of events. These events are associated either with a 
> specific thread or with all threads in the same desktop as the calling 
> thread. This is done making use of the SetWindowsHook Windows API function.
> 

Come prima cosa cercherei di capire perché, quindi, per evitare i falsi 
positivi, andrei in progetto > proprietà > compila e modificherei il 
modo in cui VB scrive il codice, quindi userei P-Code o Codice Nativo e 
starei a vedere cosa accade.

Solo dopo metterei le mani su cosa fa il mio programma.


-- 
GbC
www.gbc.uno

[toc] | [prev] | [next] | [standalone]

#19006

Il 23/05/17 09:27:19 GbC ha scritto:

> Come prima cosa cercherei di capire perché, quindi, per evitare i falsi positivi, andrei in progetto > proprietà > 
> compila e modificherei il modo in cui VB scrive il codice, quindi userei P-Code o Codice Nativo e starei a vedere 
> cosa accade.

E' impostato Codice Nativo. Ma non ho capito coda fare: se è nativo scelgo p-code e viceversa?

-- 
Greg

[toc] | [prev] | [next] | [standalone]

#19008

Il 23/05/2017 16:30, Greg ha scritto:
> Il 23/05/17 09:27:19 GbC ha scritto:
> 
>> Come prima cosa cercherei di capire perché, quindi, per evitare i 
>> falsi positivi, andrei in progetto > proprietà > compila e 
>> modificherei il modo in cui VB scrive il codice, quindi userei P-Code 
>> o Codice Nativo e starei a vedere cosa accade.
> 
> E' impostato Codice Nativo. Ma non ho capito coda fare: se è nativo 
> scelgo p-code e viceversa?
> 

Si. Cambiando le opzioni del compilatore il codice scritto 
nell'eseguibile è diverso. Se è un falso positivo l'AV non riconoscerà 
questo nuovo exe come virale.

Se continua a prenderlo per un virus allora devi approfondire.

È un test semplice che elimina una possiilità.


-- 
GbC
www.gbc.uno

[toc] | [prev] | [next] | [standalone]

#19012

Il 23/05/2017 16:30, Greg ha scritto:
> Il 23/05/17 09:27:19 GbC ha scritto:
> 
>> Come prima cosa cercherei di capire perché, quindi, per evitare i 
>> falsi positivi, andrei in progetto > proprietà > compila e 
>> modificherei il modo in cui VB scrive il codice, quindi userei P-Code 
>> o Codice Nativo e starei a vedere cosa accade.
> 
> E' impostato Codice Nativo. Ma non ho capito coda fare: se è nativo 
> scelgo p-code e viceversa?
> 

com'è andata?
hai provato?

non ci credo neanche se lo vedo che il codice che hai indicato come 
incriminato sia la causa di tutto

la stessa cosa che è successa a te mi è successa varie volte ed ho 
risolto come ti ho indicato o contattando i produttori dell'AV

tieni conto che c'è chi scrive codice malevolo in vb, quindi è possibile 
che una sequenza di istruzioni venga interpretata a piffero


-- 
GbC
www.gbc.uno

[toc] | [prev] | [next] | [standalone]

#19014

Il 24/05/17 12:05:59 GbC ha scritto:
> Il 23/05/2017 16:30, Greg ha scritto:
>> Il 23/05/17 09:27:19 GbC ha scritto:
>> 
>>> Come prima cosa cercherei di capire perché, quindi, per evitare i falsi positivi, andrei in progetto > proprietà > 
>>> compila e modificherei il modo in cui VB scrive il codice, quindi userei P-Code o Codice Nativo e starei a vedere 
>>> cosa accade.
>> 
>> E' impostato Codice Nativo. Ma non ho capito coda fare: se è nativo scelgo p-code e viceversa?
>> 
>
> com'è andata?
> hai provato?

Si, provato ed è uguale. A dire il vero diventa buono  per 2 anivirus minori: Jangmin e Rising, mentre rimane uguale 
cioè positivo per Avast e Zone Alarm

> non ci credo neanche se lo vedo che il codice che hai indicato come incriminato sia la causa di tutto

Perchè non ci credi? Se vuoi ti faccio vedere

> la stessa cosa che è successa a te mi è successa varie volte ed ho risolto come ti ho indicato o contattando i 
> produttori dell'AV
>
> tieni conto che c'è chi scrive codice malevolo in vb, quindi è possibile che una sequenza di istruzioni venga 
> interpretata a piffero

Ho provato a scrivere le 3 righe in modo diverso, cambiano nome alle variabili e spostando il tutto qualche riga sopra, 
ma non è cambiato nulla

-- 
Greg

[toc] | [prev] | [next] | [standalone]

#19016

Il 24/05/2017 16:52, Greg ha scritto:
> Il 24/05/17 12:05:59 GbC ha scritto:
>> Il 23/05/2017 16:30, Greg ha scritto:
>>> Il 23/05/17 09:27:19 GbC ha scritto:
>>>
>>>> Come prima cosa cercherei di capire perché, quindi, per evitare i 
>>>> falsi positivi, andrei in progetto > proprietà > compila e 
>>>> modificherei il modo in cui VB scrive il codice, quindi userei 
>>>> P-Code o Codice Nativo e starei a vedere cosa accade.
>>>
>>> E' impostato Codice Nativo. Ma non ho capito coda fare: se è nativo 
>>> scelgo p-code e viceversa?
>>>
>>
>> com'è andata?
>> hai provato?
> 
> Si, provato ed è uguale. A dire il vero diventa buono  per 2 anivirus 
> minori: Jangmin e Rising, mentre rimane uguale cioè positivo per Avast e 
> Zone Alarm
> 
>> non ci credo neanche se lo vedo che il codice che hai indicato come 
>> incriminato sia la causa di tutto
> 
> Perchè non ci credi? Se vuoi ti faccio vedere

No no :) Non credo che quelle tre righe siano la causa.

> 
>> la stessa cosa che è successa a te mi è successa varie volte ed ho 
>> risolto come ti ho indicato o contattando i produttori dell'AV
>>
>> tieni conto che c'è chi scrive codice malevolo in vb, quindi è 
>> possibile che una sequenza di istruzioni venga interpretata a piffero
> 
> Ho provato a scrivere le 3 righe in modo diverso, cambiano nome alle 
> variabili e spostando il tutto qualche riga sopra, ma non è cambiato nulla
> 
Hai aggiornato gli AV dal momento in cui ti hanno segnalato il problema? 
Io risolsi inviando il mio eseguibile.

Comunque non ti faccio perdere altro tempo. Grazie

-- 
GbC
www.gbc.uno

[toc] | [prev] | [next] | [standalone]

#19019

Il 24/05/2017 17:09:50 GbC ha scritto:

>> Perchè non ci credi? Se vuoi ti faccio vedere
>
> No no :) Non credo che quelle tre righe siano la causa.

E' il bello dell'essere marziani, e tu sei un terrestre :)


> Hai aggiornato gli AV dal momento in cui ti hanno segnalato il problema? Io risolsi inviando il mio eseguibile.

Mai fatto una cosa del genere, A chi dovrei mandarlo? Hanno un indirizzo possito che si chiama in un certo modo? Come 
faccio a trovarlo?

> Comunque non ti faccio perdere altro tempo. Grazie

Ma figurati! Sono io che ti faccio perdere tempo :)

-- 
Greg

[toc] | [prev] | [next] | [standalone]

#19021

Il giorno Wed, 24 May 2017 18:11:58 +0200, Greg <greg@alicie.com> ha scritto:

>Il 24/05/2017 17:09:50 GbC ha scritto:
>
>>> Perchè non ci credi? Se vuoi ti faccio vedere
>>
>> No no :) Non credo che quelle tre righe siano la causa.
>
>E' il bello dell'essere marziani, e tu sei un terrestre :)


E provando a fare un eseguibile con solo quelle righe di codice nel Sub Main
cosa succede?



>> Hai aggiornato gli AV dal momento in cui ti hanno segnalato il problema? Io risolsi inviando il mio eseguibile.
>
>Mai fatto una cosa del genere, A chi dovrei mandarlo? Hanno un indirizzo possito che si chiama in un certo modo? Come 
>faccio a trovarlo?

support@avira.com , per esempio, poi sul sito di ogni produttore c'è un modo di
contattare il supporto.



-- 
ciao
  Stefano

[toc] | [prev] | [next] | [standalone]

#19022

Il 24/05/2017 18:42:20 SB ha scritto:

> E provando a fare un eseguibile con solo quelle righe di codice nel Sub Main
> cosa succede?

Bravo!
Spetta li che provo subito!

-- 
Greg

[toc] | [prev] | [next] | [standalone]

#19023

Il 24/05/2017 18:42:20 SB ha scritto:

> E provando a fare un eseguibile con solo quelle righe di codice nel Sub Main
> cosa succede?

Grande SB!
Ho fatto quello che dici e risulta indigesto ad altri 2 antivirus diversi da prima, Cyren e F-Prot vedono 
VbTrojanF1!Maximus


Ecco il codice da incollare in un modulo e compilare, poi testare l'eseguibile su virustotal.com:

Declare Function WritePrivateProfileString Lib "kernel32" Alias "WritePrivateProfileStringA" (ByVal lpApplicationName 
As String, ByVal lpKeyName As Any, ByVal lpString As Any, ByVal lpFileName As String) As Long

Sub SavLog(Chiave As String, Valore As String)
  Dim x As Long
  Chiave = "- " & Chiave
  x = WritePrivateProfileString("Start", Chiave, Valore, App.Path & "\LogFile.txt")
End Sub

Sub Main()
   CurrH = Screen.Height / Screen.TwipsPerPixelY
    CurrW = Screen.Width / Screen.TwipsPerPixelX
    SavLog "Display", CurrW & "x" & CurrH
    fMain.Show
End Sub

-- 
Greg

[toc] | [prev] | [next] | [standalone]

#19024

Il 24/05/2017 20:41, Greg ha scritto:
> Declare Function WritePrivateProfileString Lib "kernel32" Alias 
> "WritePrivateProfileStringA" (ByVal lpApplicationName As String, ByVal 
> lpKeyName As Any, ByVal lpString As Any, ByVal lpFileName As String) As 
> Long
> 
> Sub SavLog(Chiave As String, Valore As String)
>   Dim x As Long
>   Chiave = "- " & Chiave
>   x = WritePrivateProfileString("Start", Chiave, Valore, App.Path & 
> "\LogFile.txt")
> End Sub
> 
> Sub Main()
>    CurrH = Screen.Height / Screen.TwipsPerPixelY
>     CurrW = Screen.Width / Screen.TwipsPerPixelX
>     SavLog "Display", CurrW & "x" & CurrH
>     fMain.Show
> End Sub

----------------------------------------------
Progetto1 (non ho creato un modulo ma inserito tutto in un form, 
inserito la option explicit e compilato; ho provato anche con l'UPX 
perché lo uso molto):

codice nativo + ottimizza PULITO <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<:
https://www.virustotal.com/it/file/315669d6fb0f013bcb7dad3e141e07acf2633b09b3b86a7490ac13224219e3f2/analysis/1495696765/
http://tinyurl.com/m6bzfqt

PCode 3 RILEV MA 0/0:
https://www.virustotal.com/it/file/d0e17df89b6650fe0cffcc69bb97bfb8dcda2cc4418a83fd4272630fa3b6e3fa/analysis/1495697010/
http://tinyurl.com/mrkjv9v

----------------------------------------------
Progetto2 (esattamente com dice Greg senza option explicit e con il 
codice in un modulo):

codice nativo + ottimizza 1 RILEV MA 0/0:
https://www.virustotal.com/it/file/828dc20a0554674afa239d50bc2c92d1d337e8086ffe47b0947ddce1d29a65a8/analysis/1495697411/
http://tinyurl.com/m9wc4xg

PCode 3 RILEV MA 0/0:
https://www.virustotal.com/it/file/fd8b78291f0b378173b45161ebbc3f59ae10aa55bfc997ef97d70bf0e530f714/analysis/1495697641/
http://tinyurl.com/k3c79xc

----------------------------------------------
I rilevamenti erano effettuati solo da AV poco blasonati, quindi da 
prendere con le molle... Solo che se un cliente ne ha uno non è divertente.


ciao cia'


-- 
GbC
www.gbc.uno

[toc] | [prev] | [next] | [standalone]

#19025

Il 25/05/2017 10:04, GbC ha scritto:
> Il 24/05/2017 20:41, Greg ha scritto:
>> Declare Function WritePrivateProfileString Lib "kernel32" Alias 
>> "WritePrivateProfileStringA" (ByVal lpApplicationName As String, ByVal 
>> lpKeyName As Any, ByVal lpString As Any, ByVal lpFileName As String) 
>> As Long
>>
>> Sub SavLog(Chiave As String, Valore As String)
>>   Dim x As Long
>>   Chiave = "- " & Chiave
>>   x = WritePrivateProfileString("Start", Chiave, Valore, App.Path & 
>> "\LogFile.txt")
>> End Sub
>>
>> Sub Main()
>>    CurrH = Screen.Height / Screen.TwipsPerPixelY
>>     CurrW = Screen.Width / Screen.TwipsPerPixelX
>>     SavLog "Display", CurrW & "x" & CurrH
>>     fMain.Show
>> End Sub
> 
> ----------------------------------------------
> Progetto1 (non ho creato un modulo ma inserito tutto in un form, 
> inserito la option explicit e compilato; ho provato anche con l'UPX 
> perché lo uso molto):
> 
> codice nativo + ottimizza PULITO <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<:
> https://www.virustotal.com/it/file/315669d6fb0f013bcb7dad3e141e07acf2633b09b3b86a7490ac13224219e3f2/analysis/1495696765/ 
> 
> http://tinyurl.com/m6bzfqt
> 
> PCode 3 RILEV MA 0/0:
> https://www.virustotal.com/it/file/d0e17df89b6650fe0cffcc69bb97bfb8dcda2cc4418a83fd4272630fa3b6e3fa/analysis/1495697010/ 
> 
> http://tinyurl.com/mrkjv9v
> 
> ----------------------------------------------
> Progetto2 (esattamente com dice Greg senza option explicit e con il 
> codice in un modulo):
> 
> codice nativo + ottimizza 1 RILEV MA 0/0:
> https://www.virustotal.com/it/file/828dc20a0554674afa239d50bc2c92d1d337e8086ffe47b0947ddce1d29a65a8/analysis/1495697411/ 
> 
> http://tinyurl.com/m9wc4xg
> 
> PCode 3 RILEV MA 0/0:
> https://www.virustotal.com/it/file/fd8b78291f0b378173b45161ebbc3f59ae10aa55bfc997ef97d70bf0e530f714/analysis/1495697641/ 
> 
> http://tinyurl.com/k3c79xc
> 
> ----------------------------------------------
> I rilevamenti erano effettuati solo da AV poco blasonati, quindi da 
> prendere con le molle... Solo che se un cliente ne ha uno non è divertente.
> 
> 
> ciao cia'
> 
> 

scusa, non ho inserito i risultati degli exe compressi upx perché 
comuqnue alcuni motori quando vedeno UPX non sono affatto felici


-- 
GbC
www.gbc.uno

[toc] | [prev] | [next] | [standalone]

#19027

> Progetto1 (non ho creato un modulo ma inserito tutto in un form, inserito la option explicit e compilato; ho provato 
> anche con l'UPX perché lo uso molto):

Umh... se dichiaro l'api in un form mi da errore :(


> ----------------------------------------------
> I rilevamenti erano effettuati solo da AV poco blasonati, quindi da prendere con le molle... Solo che se un cliente 
> ne ha uno non è divertente.

AVG è abbastanza diffuso. Ad ogni modo grazie per ilte st, non ero sicuro che avrebbe dato positivo anche a te.
E comunque la spiegazione è ancora piu misteriosa, perchè quella sub scrivere su un file la uso identicada da anni in 
altri progetti dove non viene rilevato nulla!!!

-- 
Greg

[toc] | [prev] | [next] | [standalone]

#19026

Greg ha scritto:
> SB ha scritto:
>> E provando a fare un eseguibile con solo quelle righe di codice nel
>> Sub Main cosa succede?
> Grande SB!
> Ho fatto quello che dici e risulta indigesto ad altri 2 antivirus
> diversi da prima, Cyren e F-Prot vedono VbTrojanF1!Maximus
> Ecco il codice da incollare in un modulo e compilare, poi testare
> l'eseguibile su virustotal.com:
> Declare Function WritePrivateProfileString Lib "kernel32" Alias
> "WritePrivateProfileStringA" (ByVal lpApplicationName As String, ByVal
> lpKeyName As Any, ByVal lpString As Any, ByVal lpFileName As String) As
> Long
> Sub SavLog(Chiave As String, Valore As String)
>  Dim x As Long
>  Chiave = "- " & Chiave
>  x = WritePrivateProfileString("Start", Chiave, Valore, App.Path &
> "\LogFile.txt")
> End Sub
> Sub Main()
>   CurrH = Screen.Height / Screen.TwipsPerPixelY
>    CurrW = Screen.Width / Screen.TwipsPerPixelX
>    SavLog "Display", CurrW & "x" & CurrH
>    fMain.Show
> End Sub

<https://virustotal.com/it/file/862f9b203300f50fb0662e61d020d20649c9245095810d96065db1085c187599/analysis/1495703188/#analysis>
A me lo rileva solo "Endgame" (...mai sentito), con l'indicazione
"malicious(high confidence)". Gli altri, saggiamente, tacciono.


Puoi mandare il link alla tua analisi? O magari mandarmi
in mail (il reply-to è buono) il tuo eseguibile?
Ovviamente rinominato in .txt, compresso e criptato con
password, altrimenti col cappero che passa :-D

***********************
BTW, non avevo letto il codice e avevo fatto una compilazione col
solo modulo, senza form. Ovviamente (/me cretino) crashava O:-D
Tanto per provare però ho inviato anche questo a VT e i risultati
sono "quasi" gli stessi: su questo Endgame dice "malicious
(moderate confidence)"
<https://virustotal.com/it/file/28ab457ecd94335f3cba5308971e426e17a7b96231b166f12a1a85c36f979744/analysis/1495703440/#analysis>
***********************

Bye, G.

[toc] | [prev] | [next] | [standalone]

#19028

Il 25/05/17 11:21:56 Paperino ha scritto:

> Puoi mandare il link alla tua analisi? O magari mandarmi
> in mail (il reply-to è buono) il tuo eseguibile?
> Ovviamente rinominato in .txt, compresso e criptato con
> password, altrimenti col cappero che passa :-D

Ti do il link:
https://www.virustotal.com/it/file/16ee97f3a265b52c4d3b0d81e295a35de92e65ff1b7b48e5491388f9615fb7ed/analysis/1495704574/
E' bocciato da 3 AV tra cui F-Prot

Se vuoi l'eseguibile il massimo che posso fare è rinominarlo in txt, non c'è bisogno di comprimere pesa solo 20 k, e 
per la crittografia non sono attrrezato :)

-- 
Greg

[toc] | [prev] | [next] | [standalone]

#19029

Greg ha scritto:
> Paperino ha scritto:
>> Puoi mandare il link alla tua analisi? O magari mandarmi
>> in mail (il reply-to è buono) il tuo eseguibile?
>> Ovviamente rinominato in .txt, compresso e criptato con
>> password, altrimenti col cappero che passa :-D
> Ti do il link:
> https://www.virustotal.com/it/file/16ee97f3a265b52c4d3b0d81e295a35de92e65ff1b7b48e5491388f9615fb7ed/analysis/1495704574/
> E' bocciato da 3 AV tra cui F-Prot

L'unica differenza che vedo è una chiamata diversa in una certa
sezione data.
Hai installato *TUTTI* i service pack e i vari aggiornamenti
di VB, vero?

> Se vuoi l'eseguibile il massimo che posso fare è rinominarlo in txt, non
> c'è bisogno di comprimere pesa solo 20 k, e per la crittografia non sono
> attrrezato :)

Non è una questione di peso: è che se il server mail vede
passare  un eseguibile lo stoppa, senza se e senza ma.
Basta usare un qualunque programma per zippare e mettere
la password. Il migliore è probabilmente 7zip (gratuito).
E va rinominato perché lo scanner controlla anche gli zip,
se ci vede dentro un exe lo blocca anche se non riesce ad
aprirlo.
Ma con la combinazione rinomina/cripta si riesce a passare.

Bye, G.

[toc] | [prev] | [next] | [standalone]

#19030

Il 25/05/17 11:55:28 Paperino ha scritto:

> Non è una questione di peso: è che se il server mail vede
> passare  un eseguibile lo stoppa, senza se e senza ma.
> Basta usare un qualunque programma per zippare e mettere
> la password. Il migliore è probabilmente 7zip (gratuito).
> E va rinominato perché lo scanner controlla anche gli zip,
> se ci vede dentro un exe lo blocca anche se non riesce ad
> aprirlo.
> Ma con la combinazione rinomina/cripta si riesce a passare.
>
> Bye, G.

Fatto tutto come da istruzioni e inviato

-- 
Greg

[toc] | [prev] | [next] | [standalone]

Page 2 of 3 — ← Prev page 1 [2] 3  Next page →

Back to top | Article view | it.comp.lang.visual-basic

csiph-web