Malwarebytes da una advertencia de troyano para C # básico "Hello World!" programa

Question 1

Básicamente, acabo de ejecutar un escaneo de mi computadora con Malwarebytes (actualicé las definiciones antes de ejecutarlo), y dijo que mi programa "helloworld" escrito en C # tiene un troyano .

Sé con certeza que esto es un falso positivo, ya que solo escribí el programa hace 2-3 días y seguí un pequeño sitio web tutorial para hacer el programa en el que confío. Soy nuevo en C #, pero no veo nada que pueda dar una advertencia de troyano.

Informe de Malwarebytes

El programa marca el ejecutable, pero no el archivo fuente.

using System;

namespace HelloWorldApplication
{
    class HelloWorld
    {
        static void Main(string[] args)
        {
            Console.WriteLine("\n\tHello World!");
            Console.WriteLine("This is my first C# program.\nI'm so proud of myself!");
            Console.WriteLine("\tTeehee!");
        }
    }
}

Este es el código, escrito en Notepad ++ , y se ejecuta desde la línea de comandos ( Cygwin , en realidad). ¿Por qué marca esto? ¿Es algo que, como programador de C # en ciernes, debería conocer?

Question 2

El problema podría ser que el troyano Backdoor.MSIL.PGen normalmente se llama "hello.exe". El nombre de su ejecutable es presumiblemente 'hello.exe' o 'helloworld.exe'.

Simplemente cambie el nombre de su proyecto o cambie el ejecutable de salida a algo que no contenga 'hola', y debería dejar de detectarlo.

Esta respuesta es algo especulativa, pero dado el nombre de su proyecto y un historial de detección demasiado agresiva de este malware (ver aquí ), parece una puñalada razonable.

Question 3

La respuesta de Baldrick probablemente sea correcta, pero también existe otra posibilidad: hay virus que buscan ejecutables aleatorios en el sistema y los modifican insertando su propio código en ellos (esta es, de hecho, la definición original de " virus informático "). Cuando descubra que un ejecutable que sabe que es confiable de repente se informa como infectado, es posible que esté lidiando con dicho virus.

Pero a menos que su escáner de virus informe otros ejecutables como el mismo virus, esto es poco probable.

Question 4

Me acabo de dar cuenta de esto: cambie un poco el "Guid" en AssemblyInfo.cs y vuelva a intentarlo.

Eso funcionó para mí.

Answer 1

85

Básicamente, acabo de ejecutar un escaneo de mi computadora con Malwarebytes (actualicé las definiciones antes de ejecutarlo), y dijo que mi programa "helloworld" escrito en C # tiene un troyano .

Sé con certeza que esto es un falso positivo, ya que solo escribí el programa hace 2-3 días y seguí un pequeño sitio web tutorial para hacer el programa en el que confío. Soy nuevo en C #, pero no veo nada que pueda dar una advertencia de troyano.

Informe de Malwarebytes

El programa marca el ejecutable, pero no el archivo fuente.

using System;

namespace HelloWorldApplication
{
    class HelloWorld
    {
        static void Main(string[] args)
        {
            Console.WriteLine("\n\tHello World!");
            Console.WriteLine("This is my first C# program.\nI'm so proud of myself!");
            Console.WriteLine("\tTeehee!");
        }
    }
}

Este es el código, escrito en Notepad ++ , y se ejecuta desde la línea de comandos ( Cygwin , en realidad). ¿Por qué marca esto? ¿Es algo que, como programador de C # en ciernes, debería conocer?

c# false-positive trojan Qwurticus
fuente

1

Debo agregar, ninguno de los otros archivos fuente o ejecutables de C # en la misma carpeta está marcado.

Qwurticus

2

¿Descargó un ejemplo de código de un sitio web? Podría ser que se esté ejecutando un código que no se da cuenta de que se está ejecutando a través de pasos de compilación personalizados o referencias a dlls en la carpeta bin, etc. No veo nada allí que se relacione con una firma de virus.

BateTech

13

no relacionado, pero la imagen en esta publicación fue bloqueada por sophos con una advertencia de malware

puser

4

Además, aunque no es probable en este escenario, vale la pena observar que el hecho de que su código fuente no contenga un código incorrecto no significa que su ejecutable no lo haga: scienceblogs.com/goodmath/2007/04/15/…

Fabio Beltramini

4

En mi trabajo de tesis, utilicé alrededor de 14 antivirus para probar más de 2500 malwares y descubrí que Malwarebytes es un antivirus muy pobre. Aquí hay diapositivas - Diapositiva 32 para gráfico de comparación

Grijesh Chauhan

Answer 2

1

Debo agregar, ninguno de los otros archivos fuente o ejecutables de C # en la misma carpeta está marcado.

Qwurticus

Answer 3

2

¿Descargó un ejemplo de código de un sitio web? Podría ser que se esté ejecutando un código que no se da cuenta de que se está ejecutando a través de pasos de compilación personalizados o referencias a dlls en la carpeta bin, etc. No veo nada allí que se relacione con una firma de virus.

BateTech

Answer 4

13

no relacionado, pero la imagen en esta publicación fue bloqueada por sophos con una advertencia de malware

puser

Answer 5

4

Además, aunque no es probable en este escenario, vale la pena observar que el hecho de que su código fuente no contenga un código incorrecto no significa que su ejecutable no lo haga: scienceblogs.com/goodmath/2007/04/15/…

Fabio Beltramini

Answer 6

4

En mi trabajo de tesis, utilicé alrededor de 14 antivirus para probar más de 2500 malwares y descubrí que Malwarebytes es un antivirus muy pobre. Aquí hay diapositivas - Diapositiva 32 para gráfico de comparación

Grijesh Chauhan

Answer 7

131

El problema podría ser que el troyano Backdoor.MSIL.PGen normalmente se llama "hello.exe". El nombre de su ejecutable es presumiblemente 'hello.exe' o 'helloworld.exe'.

Simplemente cambie el nombre de su proyecto o cambie el ejecutable de salida a algo que no contenga 'hola', y debería dejar de detectarlo.

Esta respuesta es algo especulativa, pero dado el nombre de su proyecto y un historial de detección demasiado agresiva de este malware (ver aquí ), parece una puñalada razonable.

Baldrick
fuente

58

Ese es un software antivirus de mala calidad.

tom.dietrich

73

Me sorprende que una pieza de software de tan alto perfil como MalwareBytes marque un falso positivo basándose únicamente en el nombre del archivo

Brad Thomas

14

@BradThomas: Bueno, no estoy seguro de que esta sea la razón, pero dado el nombre del proyecto anterior, es una pistola humeante importante ... :) También hay un historial de MalwareBytes detectando con entusiasmo este troyano: forums.malwarebytes.org /index.php?showtopic=135095

Baldrick

23

Tenías razón ... Era el nombre. XP. Encuentro eso bastante estúpido, tbh. Lo cambió a un nombre diferente y no lo marcó. ¡Gracias!

Qwurticus

10

Supongo que la heurística es (a) contiene código MSIL (el tipo de bytecode producido por el compilador de C #), (b) se llama "hello.exe". Uno de esos por sí solo no es suficiente.

nneonneo

Answer 8

58

Ese es un software antivirus de mala calidad.

tom.dietrich

Answer 9

73

Me sorprende que una pieza de software de tan alto perfil como MalwareBytes marque un falso positivo basándose únicamente en el nombre del archivo

Brad Thomas

Answer 10

14

@BradThomas: Bueno, no estoy seguro de que esta sea la razón, pero dado el nombre del proyecto anterior, es una pistola humeante importante ... :) También hay un historial de MalwareBytes detectando con entusiasmo este troyano: forums.malwarebytes.org /index.php?showtopic=135095

Baldrick

Answer 11

23

Tenías razón ... Era el nombre. XP. Encuentro eso bastante estúpido, tbh. Lo cambió a un nombre diferente y no lo marcó. ¡Gracias!

Qwurticus

Answer 12

10

Supongo que la heurística es (a) contiene código MSIL (el tipo de bytecode producido por el compilador de C #), (b) se llama "hello.exe". Uno de esos por sí solo no es suficiente.

nneonneo

Answer 13

14

La respuesta de Baldrick probablemente sea correcta, pero también existe otra posibilidad: hay virus que buscan ejecutables aleatorios en el sistema y los modifican insertando su propio código en ellos (esta es, de hecho, la definición original de " virus informático "). Cuando descubra que un ejecutable que sabe que es confiable de repente se informa como infectado, es posible que esté lidiando con dicho virus.

Pero a menos que su escáner de virus informe otros ejecutables como el mismo virus, esto es poco probable.

Philipp
fuente

6

Ojalá hubiera publicado el ejecutable. Me divertiría bastante si alguien lo descompilara y descubriera que contiene un virus.

Navin

3

@Navin Si lo hubiera publicado, lo habría criticado por publicar a sabiendas un ejecutable potencialmente malicioso.

Philipp

@Navin Y es por eso que Philipp dijo "un ejecutable potencialmente malicioso".

El chico del sombrero

3

@TheGuywithTheHat Bastante justo. Sigo pensando que es seguro publicarlo junto con una advertencia.

Navin

Answer 14

6

Ojalá hubiera publicado el ejecutable. Me divertiría bastante si alguien lo descompilara y descubriera que contiene un virus.

Navin

Answer 15

3

@Navin Si lo hubiera publicado, lo habría criticado por publicar a sabiendas un ejecutable potencialmente malicioso.

Philipp

Answer 16

@Navin Y es por eso que Philipp dijo "un ejecutable potencialmente malicioso".

El chico del sombrero

Answer 17

3

@TheGuywithTheHat Bastante justo. Sigo pensando que es seguro publicarlo junto con una advertencia.

Navin

Answer 18

0

Me acabo de dar cuenta de esto: cambie un poco el "Guid" en AssemblyInfo.cs y vuelva a intentarlo.

Eso funcionó para mí.

SuperBerry
fuente

Malwarebytes da una advertencia de troyano para C # básico "Hello World!" programa

Respuestas: