Malwarebytes da una advertencia de troyano para C # básico "Hello World!" programa

Básicamente, acabo de ejecutar un escaneo de mi computadora con Malwarebytes (actualicé las definiciones antes de ejecutarlo), y dijo que mi programa "helloworld" escrito en C # tiene un troyano .

Sé con certeza que esto es un falso positivo, ya que solo escribí el programa hace 2-3 días y seguí un pequeño sitio web tutorial para hacer el programa en el que confío. Soy nuevo en C #, pero no veo nada que pueda dar una advertencia de troyano.

Informe de Malwarebytes

El programa marca el ejecutable, pero no el archivo fuente.

using System;

namespace HelloWorldApplication
{
    class HelloWorld
    {
        static void Main(string[] args)
        {
            Console.WriteLine("\n\tHello World!");
            Console.WriteLine("This is my first C# program.\nI'm so proud of myself!");
            Console.WriteLine("\tTeehee!");
        }
    }
}

Este es el código, escrito en Notepad ++ , y se ejecuta desde la línea de comandos ( Cygwin , en realidad). ¿Por qué marca esto? ¿Es algo que, como programador de C # en ciernes, debería conocer?

c# false-positive trojan

— Qwurticus
fuente

Debo agregar, ninguno de los otros archivos fuente o ejecutables de C # en la misma carpeta está marcado.

— Qwurticus

¿Descargó un ejemplo de código de un sitio web? Podría ser que se esté ejecutando un código que no se da cuenta de que se está ejecutando a través de pasos de compilación personalizados o referencias a dlls en la carpeta bin, etc. No veo nada allí que se relacione con una firma de virus.

— BateTech

no relacionado, pero la imagen en esta publicación fue bloqueada por sophos con una advertencia de malware

— puser

Además, aunque no es probable en este escenario, vale la pena observar que el hecho de que su código fuente no contenga un código incorrecto no significa que su ejecutable no lo haga: scienceblogs.com/goodmath/2007/04/15/…

— Fabio Beltramini

En mi trabajo de tesis, utilicé alrededor de 14 antivirus para probar más de 2500 malwares y descubrí que Malwarebytes es un antivirus muy pobre. Aquí hay diapositivas - Diapositiva 32 para gráfico de comparación

— Grijesh Chauhan

Respuestas:

131

El problema podría ser que el troyano Backdoor.MSIL.PGen normalmente se llama "hello.exe". El nombre de su ejecutable es presumiblemente 'hello.exe' o 'helloworld.exe'.

Simplemente cambie el nombre de su proyecto o cambie el ejecutable de salida a algo que no contenga 'hola', y debería dejar de detectarlo.

Esta respuesta es algo especulativa, pero dado el nombre de su proyecto y un historial de detección demasiado agresiva de este malware (ver aquí ), parece una puñalada razonable.

— Baldrick
fuente

Ese es un software antivirus de mala calidad.

— tom.dietrich

Me sorprende que una pieza de software de tan alto perfil como MalwareBytes marque un falso positivo basándose únicamente en el nombre del archivo

— Brad Thomas

@BradThomas: Bueno, no estoy seguro de que esta sea la razón, pero dado el nombre del proyecto anterior, es una pistola humeante importante ... :) También hay un historial de MalwareBytes detectando con entusiasmo este troyano: forums.malwarebytes.org /index.php?showtopic=135095

— Baldrick

Tenías razón ... Era el nombre. XP. Encuentro eso bastante estúpido, tbh. Lo cambió a un nombre diferente y no lo marcó. ¡Gracias!

— Qwurticus

Supongo que la heurística es (a) contiene código MSIL (el tipo de bytecode producido por el compilador de C #), (b) se llama "hello.exe". Uno de esos por sí solo no es suficiente.

— nneonneo

La respuesta de Baldrick probablemente sea correcta, pero también existe otra posibilidad: hay virus que buscan ejecutables aleatorios en el sistema y los modifican insertando su propio código en ellos (esta es, de hecho, la definición original de " virus informático "). Cuando descubra que un ejecutable que sabe que es confiable de repente se informa como infectado, es posible que esté lidiando con dicho virus.

Pero a menos que su escáner de virus informe otros ejecutables como el mismo virus, esto es poco probable.

— Philipp
fuente

Ojalá hubiera publicado el ejecutable. Me divertiría bastante si alguien lo descompilara y descubriera que contiene un virus.

— Navin

@Navin Si lo hubiera publicado, lo habría criticado por publicar a sabiendas un ejecutable potencialmente malicioso.

— Philipp

@Navin Y es por eso que Philipp dijo "un ejecutable potencialmente malicioso".

— El chico del sombrero

@TheGuywithTheHat Bastante justo. Sigo pensando que es seguro publicarlo junto con una advertencia.

— Navin

Me acabo de dar cuenta de esto: cambie un poco el "Guid" en AssemblyInfo.cs y vuelva a intentarlo.

Eso funcionó para mí.

— SuperBerry
fuente