Discussion :

[Droïde Système7]

et meilleurs voeux 2024

Je dois rêver ou cauchemarder plutôt.

J'avais réalisé une petite appli d'environ 200 lignes à l'occasion des Fêtes et donné cela en libre téléchargement.

Reparti au taf et en soirée je ne m'attendais pas aux feedbacks reçus

En effet cette appli comportait trois ou quatre soit disant vilaines bêbêtes.

Alors qu'absolument rien de spécial en code, ni aucun tiers ajout d'ailleurs.

J'ai alors retenté en repartant de zéro dans un autre dossier.

Mais même avec RIEN en code, enfin si, simplement cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
unit Unit1;
 
interface
 
uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs;
 
type
  TForm1 = class(TForm)
  private
    { Déclarations privées }
  public
    { Déclarations publiques }
  end;
 
var
  Form1: TForm1;
 
implementation
 
{$R *.dfm}
 
end.

Une fois cette "appli" compilée, je l'ai envoyé sur VirusTotal, et là... j'ai droit à un score de 16 grosses vilaines bêbêtes dans ce code hyper complexe à en faire pâlir de jalousie plus d'un en ce forum

Voyez plutôt le score :

https://www.virustotal.com/gui/file/...bd676048875ebf

Mais c'est quoi ce délire ?

Je précise que ma moquette est entière et les bouteilles non débouchées.

Je précise également que de grosses et anciennes appli testées ensuite restent cleans.
Windows 10 à jour.

Si vous avez des éléments de réponses, merci d'avance de m'éclairer.

DS7

[sevyc64]

J'ai moi aussi connu ce phénomène, avec D6, D7 et plus récemment avec VB6. 4 logiciels qui téléchargeaient chacun juste un simple fichier txt depuis un serveur web dédié. Autant dire qu'il n'y avait pas beaucoup plus dans le main() que l'exemple que tu donne. Du jour au lendemain, sans explication, un des 4 a été détecté comme vérolé par certains antivirus uniquement. Rien n'a pu être fait, même en inversant les urls des txt, en recompilant, en rajoutant des lignes de codes bidon, c'était toujours le même qui était détecté comme vérolé.

Puis, sans aucune autres raisons ni explications, au bout de quelques semaines c'est passé.
C'est revenu, une fois quelques mois plus tard, mais avec d'autres antivirus, puis à nouveau disparu.


C'est le lot de l'utilisation de ces vieux systèmes obsolètes même s'ils rendent encore bien des services.

[SergioMaster]

Le vieux faux positif qui revient sur scène ?

[Charly910]

Bonjour,
j'ai eu un problème un peu similaire avec MacFee. Je suis récement passé sous W11 avec cet antivirus installé d'origine.
Je ne pouvais plus compiler et exécuter mes appli car l'antivirus bloquait la suppression de l'ancien exe !
impossible avec MacAfee d'exclure un répertoire, il faut le faire fichier par fichier. J'ai remis Avast qui le permet et tout fonctionne maintenant.

A+
Charly

[Papy214]

Le vieux faux positif qui revient sur scène ?

il y a de fortes chances ... Qu'est-ce que ça a pu nous casser les pieds ce truc

[Droïde Système7]

Merci de vos feedbacks

Au moins je ne suis pas le seul.

Mais tenez-vous bien, des 16 bêbêtes d'hier pour cette même analyse, là ça vient de passer à 21 !



Mais c'est quoi ce délire ?

De plus c'est totalement illogique ; sur quelles bases ces détections rappliquent ?

L'on pourrait penser que c'est parce qu'il existe la trace de delphi 7.

Oui mais ça devrait être à chaque fois la même chose alors sur des appli développées toutes sous Delphi 7

Ceci dit : détecter 21 grosses vilaines bêbêtes sur un exe totalement vierge, faut déjà le faire !

En admirant les libellés, y a de quoi se bidonner légèrement en fonction de la certitude de la provenance de la source de cet exe.

Surtout que de grosses pointures s'alignent là dessus : Microsoft ; Panda ; Symantec ; etc.

Si ça se trouve, les dernières versions de Delphi pondent la même chose, non ?

DS7

[ShaiLeTroll]

Il serait intéressant de le compiler avec les BPL et vérifier chaque BPL requises une par une

Menace "Generic ML PUA" :
Sophos m'a aussi mis en quarantaine un Exe D10 Seattle, sur un petit Exe nommé BDSWrapper mais qui fait un CreateProcess sur BDS.exe (lancé par un BAT) pour compiler avec 3Go de RAM
Méthode de détection : "Deep Learning threat model" ... OK sur une grosse connerie surtout

Menace "CXmail/MalPE-GL" :
Sophos m'a mis une démo compressé par 7z qui utilise un Web Service REST pour envoyer des mails, clairement, cela doit contenir des constantes similaires.

[Jipété]

En ce qui me concerne,
zéro problème avec le premier,
zéro problème avec le second.


Merci pour l'idée et les liens,

[Droïde Système7]

Papy214

JP, enfin un qui se dévoue

Alors après tests toujours sur un exe vide de code et décoché simplement la case sur la compatibilité D1 :



Et pour Kaspersky :




Je pensais aussi à une autre éventuelle prise en compte : celle de la signature/certification ?

En attendant, ça fiche mal pour la confiance ; référence d'analyse et du sérieux appuyé en ce qui concerne les détections de très vilaines grosses bêbêtes bidons en papier de soie

[Papy214]

N'allons pas imaginer que c'est un moyen de vendre des antivirus. Pas de négativisme pour la nouvelle année !

[Droïde Système7]

Papy214 jamais je n'ai eu cette pensée.

Au contraire, je me demandais en ce qui concerne cette discussion de l'efficacité réelle de ces détections bidons.

En se mettant à la place de tout développeur connaissant parfaitement le contenu de son code, et qui après une série de scan découvre que son appli est truffée de vilaines bêbêtes bidons.

Franchement, ça laisse pantois et donne envie de laisser passer un petit ricanement nerveux en pensant que c'est vraiment d'une efficacité redoutable !

[Droïde Système7]

Ce serait sympa et intéressant si d'autres utilisateurs de versions récentes de Delphi pouvaient nous montrer le résultat de test sur VirusTotal d'un projet totalement vide de code

Ce serait très très très intéressant pour la communauté, merci

DS7

[Papy214]

C'est un forum sur Delphi ici. C'est sur virustotal que ça devrait faire débat, pas ici spécialement.

[Charly910]

c'est vrai, mais moi qui distribue gratuitement mes petits logiciels en Delphi sur mon site j'ai maintenant quelques utilisateurs qui m'ont signalé la présence de virus.

C'est quand même un peu gênant.

Il faudrait que les distributeurs d'antivirus examinent les logiciels créés avec Delphi pour modifier leurs méthodes de détection

A+
Charly

[SergioMaster]

On ne se pose peut-être pas la bonne question. Est-ce Delphi (ou plutôt le langage) qui est en cause ou le fait que le langage utilise des appels à des api windows et provoque la suspicion ?

[Bernard B]

On ne se pose peut-être pas la bonne question. Est-ce Delphi (ou plutôt le langage) qui est en cause ou le fait que le langage utilise des appels à des api windows et provoque la suspicion ?

C'est vrai que je ne pratique que Delphi ou php, mais j'imagine que Delphi n'est pas le seul langage à faire appel aux API windows, les autres langage sont bien obligés d'en passer par là ?

Je suis comme Charly910 et c'est très désagréable d'avoir des retours sur de potentiels virus, décrétés par de pseudo spécialistes.

Pour moi la question est peut être : qu'en pense et que fait Embarcadero ????

[SergioMaster]

les autres langages sont bien obligés d'en passer par là ?

et font front aux mêmes détections d'où ma réflexion.

Pour moi la question est peut-être : qu'en pense et que fait Embarcadero ????

Je vais me renseigner toutefois je pense que signer les applications va devenir une réponse incontournable (hélas )

[Jipété]

Salut,

On ne se pose peut-être pas la bonne question. Est-ce Delphi (ou plutôt le langage) qui est en cause ou le fait que le langage utilise des appels à des api windows et provoque la suspicion ?

J'ai trouvé la remarque intéressante, alors j'ai lancé une machine virtuelle Seven64bits dans laquelle tourne un Lazarus 2.2.6, j'ai suivi le protocole du projet vierge de tout code, j'ai ensuite "poussé" le binaire chez VT et résultat, clean !


Curieux, non ? Car on peut supposer que les appels aux API's sont les mêmes, qu'ils viennent d'un code Pascal vide compilé par Delphi ou par FreePascal.
En fait, tout ce qu'il y a comme code et qui nous est masqué, c'est la demande de dessin de la fiche sur le Bureau et la mise en place du système de gestion des messages et des clics, puisque la fenêtre vide fonctionne quand même : on peut la déplacer à la souris.

[SergioMaster]

Intéressant, c'est un argument que je ferais valoir dans ma question à Embarcadero