Création involontaire d'un "virus"

**edgarjacobs** · 09/03/2012, 23h32

Bonjour (ou bonsoir, c'est selon),

Mon pc est équipé de windows7, et "protégé" par un antivirus, avira.

J'ai ce soir compilé et linké un projet (pour la première fois), et mon anti-virus a réagi lors de la création du .exe, me disant qu'il contenait le virus "DR/Delphi Gen".

J'ai utlisé des bibliothèques que j'emploie régulièrement (sdl, sdl_ttf, sdl_image et zlib) et les librairies standards de cbuilder.

Je ne me tracasse pas pour la réaction de l' AV, je me demande juste comment il est possible de reproduire un code qui le fasse réagir

Si quelqu'un a une idée...

Edgar.

EDIT: c'est la première fois que j'utilise ensembles les librairies sdl et zlib. J'ai modifié un autre projet, qui n'utilisait que zlib, pour l'obliger à utiliser aussi les librairies sdl. Et même résultat: réaction de l'AV.
Mais, lorsque les librairies sdl et zlib ne sont pas utilisées conjointement, il n'y a pas de réaction de l'AV.

**Obsidian** · 10/03/2012, 00h00

Hello,

Envoyé par edgarjacobs

Je ne me tracasse pas pour la réaction de l' AV, je me demande juste comment il est possible de reproduire un code qui le fasse réagir

Si quelqu'un a une idée...

Deux hypothèses :

Les antivirus utilisent une base de signatures. Ces signatures sont en fait de courts extraits du code de chaque virus, censés être tout de même suffisamment longs pour distinguer de façon certaine ce code d'un autre programme. Cela dit, avec les milliers de signatures que la base contient et si le code malveillant choisi pour représenter DR/Delphi Gen est un peu trop générique, il n'est pas impossible, quoiqu'assez improbable tout de même, que tu aies regénéré du code similaire qui provoque un faux positif ;
Tu es réellement infecté par DR/Delphi Gen et celui-ci vient de s'attaquer à ton exécutable tout neuf.

**edgarjacobs** · 10/03/2012, 02h17

Merci Obsidian,

Non, j'ai vérifié, pas de virus sur ma machine, de même que j'ai soumis zlib à des tests d'infection sur le net, rien du tout.

De plus, j'ai généré plusieurs .exe ce soir,

uniquemet avec sdl
uniquement avec zlib
sans l'un et l'autre
avec l'un et l'autre

et il n'y a que dans ce dernier cas que l'AV réagit.

Et je suppose que si j'avais un virus, il s'attaquerait à tous les .exe que je génère.

D'un autre côté, je suis d'accord avec toi: la probabilité de générer un code qui corresponde à une signature de virus, est malgré tout très faible.

Je reste perplexe

Edgar.

Création involontaire d'un "virus"

C

Vue hybride

Partager

Partager