Malwarebytesは、基本的なC＃「HelloWorld！」に対してトロイの木馬の警告を出します。プログラム

基本的に、Malwarebytesを使用してコンピューターのスキャンを実行したところ（実行前に定義を更新した）、C＃で記述された「helloworld」プログラムにトロイの木馬が含まれていると表示されました。

私は2〜3日前にプログラムを作成し、小さなチュートリアルWebサイトに従って信頼できるプログラムを作成しただけなので、これが誤検知であることは事実です。私はC＃を初めて使用しますが、トロイの木馬に警告を発するものはまったく見当たりません。

Malwarebytesレポート

プログラムは実行可能ファイルにフラグを立てますが、ソースファイルにはフラグを立てません。

using System;

namespace HelloWorldApplication
{
    class HelloWorld
    {
        static void Main(string[] args)
        {
            Console.WriteLine("\n\tHello World!");
            Console.WriteLine("This is my first C# program.\nI'm so proud of myself!");
            Console.WriteLine("\tTeehee!");
        }
    }
}

これはNotepad ++で記述されたコードであり、コマンドライン（実際にはCygwin）から実行されます。なぜこれにフラグを立てるのですか？それは、新進のC＃プログラマーとして、私が知っておくべきことですか？

c# false-positive trojan

— Qwurticus
ソース

追加する必要があります。同じフォルダー内の他のC＃ソースファイルまたは実行可能ファイルにはフラグが付けられていません。

— qwurticus 2014

Webサイトからコード例をダウンロードしましたか？カスタムビルドステップまたはbinフォルダー内のdllへの参照などを介して実行されていることに気付いていないコードが実行されている可能性があります。ウイルスの署名に関連するものは何もありません。

— BateTech 2014

無関係ですが、この投稿の画像はマルウェア警告でソフォスによってブロックされました

— puser 2014

また、このシナリオでは起こりそうにありませんが、ソースコードに不正なコードが含まれていないからといって、実行可能ファイルに不正なコードが含まれていないとは限らないことに注意

— ファビオベルトラミニ2014

私の論文の仕事では、約14のアンチウイルスを使用して2500を超えるマルウェアをテストしましたが、Malwarebytesは非常に貧弱なアンチウイルスであることがわかりました。ここでスライドで比較グラフのスライド32 -

— Grijesh Chauhan

回答:

131

問題は、Backdoor.MSIL.PGenトロイの木馬が通常「hello.exe」と呼ばれることである可能性があります。実行可能ファイルの名前は、おそらく「hello.exe」または「helloworld.exe」です。

プロジェクトの名前を変更するか、出力実行可能ファイルを「hello」を含まないものに変更するだけで、プロジェクトの検出が停止します。

この答えはやや推測的ですが、プロジェクトの名前と、このマルウェアの過度に攻撃的な検出の履歴（ここを参照）を考えると、それは妥当な刺し傷のようです。

— ボールドリック
ソース

それはそこにあるいくつかの厄介なアンチウイルスソフトウェアです。

— tom.dietrich 2014

MalwareBytesのように注目度の高いソフトウェアが、ファイル名のみに基づいて誤検知のフラグを立てることに驚いています

— Brad Thomas

@BradThomas：これが理由かどうかはわかりませんが、上記のプロジェクトの名前を考えると、これは主要な喫煙銃です... :) MalwareBytesがこのトロイの木馬を熱心に検出した歴史もあります：forums.malwarebytes.org /index.php?showtopic=135095

— Baldrick

あなたは正しかった...それは名前でした。XP。私はそれがかなりばかげていると思います、tbh。フラグを立てなかった別の名前に変更しました。ありがとうございました！

— qwurticus 2014

ヒューリスティックは、（a）MSILコード（C＃コンパイラによって生成されるバイトコードの種類）を含み、（b）「hello.exe」という名前であると推測します。それらの1つだけでは十分ではありません。

— nneonneo 2014

Baldrickの答えは正しいと思われますが、別の可能性もあります。システム上でランダムな実行可能ファイルを検索し、独自のコードを挿入して変更するウイルスがあります（これは実際、「コンピュータウイルス」の元の定義です。"）。信頼できるとわかっている実行可能ファイルが突然感染したと報告された場合は、そのようなウイルスに対処している可能性があります。

ただし、ウイルススキャナーが他の実行可能ファイルを同じウイルスとして報告しない限り、これは起こりそうにありません。

— フィリップ
ソース

彼が実行可能ファイルを投稿していたらよかったのに。誰かがそれを逆コンパイルして、それがウイルスを含んでいるのを見つけたら、私はむしろ面白がるでしょう。

— Navin 2014

@Navinもし彼がそれを投稿していたら、悪意のある可能性のある実行可能ファイルを故意に公開したことで彼を呼んだでしょう。

— フィリップ

@Navinそして、それがフィリップが「潜在的に悪意のある実行可能ファイル」と言った理由です。

— 帽子をかぶった男

@TheGuywithTheHatまあまあ。警告と一緒に投稿しても安全だと思います。

— Navin

私はこれを理解しました：AssemblyInfo.csの「Guid」を少し変更してから、再試行してください。

それは私のために働いた。

— スーパーベリー
ソース