Malwarebytes выдает троянское предупреждение для базового C # «Hello World!» программа

По сути, я просто проверил свой компьютер с помощью Malwarebytes. проверил (обновил определения перед запуском), и он сказал, что в моей программе helloworld, написанной на C #, есть троян .

Я точно знаю, что это ложное срабатывание, поскольку я написал программу всего 2-3 дня назад и следил за небольшим учебным сайтом, чтобы создать программу, которой я доверяю. Я новичок в C #, но я не вижу ничего, что могло бы выдать предупреждение о троянской программе.

Отчет Malwarebytes

Программа помечает исполняемый файл, но не исходный файл.

using System;

namespace HelloWorldApplication
{
    class HelloWorld
    {
        static void Main(string[] args)
        {
            Console.WriteLine("\n\tHello World!");
            Console.WriteLine("This is my first C# program.\nI'm so proud of myself!");
            Console.WriteLine("\tTeehee!");
        }
    }
}

Это код, написанный на Notepad ++ , и он запускается из командной строки (на самом деле Cygwin ). Почему это помечается? Должен ли я, как начинающий программист на C #, знать об этом?

c# false-positive trojan

— Qwurticus
источник

Я должен добавить, что ни один из других исходных файлов C # или исполняемых файлов в той же папке не помечен.

— Qwurticus

Вы скачали пример кода с веб-сайта? Возможно, выполняется код, который, как вы не понимаете, выполняется с помощью настраиваемых шагов сборки или ссылок на библиотеки DLL в папке bin и т. Д. Я не вижу там ничего, что могло бы относиться к сигнатуре вируса.

— BateTech

не имеет отношения, но изображение в этом посте было заблокировано софосом с предупреждением о вредоносном ПО

— puser

Кроме того, хотя это маловероятно в данном сценарии, стоит заметить, что то, что ваш исходный код не содержит плохого кода, не означает, что ваш исполняемый файл его не содержит: scienceblogs.com/goodmath/2007/04/15/…

— Фабио Бельтрамини

В своей дипломной работе я использую около 14 антивирусов для тестирования более 2500 вредоносных программ и обнаружил, что Malwarebytes - очень плохой антивирус. Вот слайды - Слайд-32 для сравнения графика

— Гриджеш Чаухан

Ответы:

131

Проблема может заключаться в том, что троян Backdoor.MSIL.PGen обычно называется hello.exe. Предположительно имя вашего исполняемого файла - hello.exe или helloworld.exe.

Просто переименуйте свой проект или измените выходной исполняемый файл на что-то, не содержащее «привет», и он должен перестать его обнаруживать.

Этот ответ несколько спекулятивный, но, учитывая название вашего проекта и историю чрезмерно агрессивного обнаружения этого вредоносного ПО (см. Здесь ), он кажется разумным ударом.

— Болдрик
источник

Это какой-то грязный антивирус.

— tom.dietrich 08

Я поражен тем, что такая известная программа, как MalwareBytes, помечает ложное срабатывание, основанное исключительно на имени файла,

— Брэд Томас,

@BradThomas: Ну, я не уверен, что это причина, но, учитывая название проекта выше, это серьезный дымящийся пистолет ... :) Также есть история, когда MalwareBytes чрезмерно рьяно обнаруживал этот троян: forum.malwarebytes.org /index.php?showtopic=135095

— Болдрик

Вы были правы ... Это было имя. XP. Я считаю это довольно глупым, черт возьми. Сменил его на другое имя и не пометил. Спасибо!

— Qwurticus

Я бы предположил, что эвристика (а) содержит код MSIL (вид байт-кода, созданный компилятором C #), (б) называется «hello.exe». Одного из них недостаточно.

— nneonneo 08

Ответ Болдрика, вероятно, верен, но есть и другая возможность: существуют вирусы, которые ищут в системе случайные исполняемые файлы и изменяют их, вставляя в них свой собственный код (по сути, это исходное определение « компьютерного вируса»). "). Когда вы обнаружите, что исполняемый файл, заслуживающий доверия, внезапно сообщается как зараженный, возможно, вы имеете дело с таким вирусом.

Но если ваш антивирусный сканер не сообщает о других исполняемых файлах как об одном и том же вирусе, это маловероятно.

— Филипп
источник

Я бы хотел, чтобы он выложил исполняемый файл. Я был бы очень удивлен, если бы кто-нибудь декомпилировал его и обнаружил, что он действительно содержит вирус.

— Navin

@Navin Если бы он опубликовал это, я бы вызвал его за сознательную публикацию потенциально вредоносного исполняемого файла.

— Филипп

@Navin Вот почему Филипп назвал « потенциально вредоносный исполняемый файл».

— Парень в шляпе

@TheGuywithTheHat Достаточно справедливо. Я все еще считаю, что размещать это вместе с предупреждением безопасно.

— Navin

Я только что сообразил: немного измените "Guid" в AssemblyInfo.cs, затем попробуйте еще раз.

Это сработало для меня.

— SuperBerry
источник