Italian community of Lazarus and Free Pascal

Programmazione => Generale => Topic aperto da: doc - Giugno 10, 2023, 07:40:02 pm

Titolo: Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: doc - Giugno 10, 2023, 07:40:02 pm
Salve ad tutti,
da qualche giorno ho aggiornato Lazarus alla versione 2.0.6 su Win11_x64 et quando provo ad compilare un mio vecchio progetto ottengo che il Nod32 riconosce l'eseguibile come un file infettato da ML/Augur. Nell'immagine quello che succede. E' capitato a qualcuno?
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: DragoRosso - Giugno 10, 2023, 10:50:37 pm
Io non uso antivirus, a parte Defender.

Prova a effettuare il submit del file a questo indirizzo: https://www.virustotal.com/gui/home/upload (https://www.virustotal.com/gui/home/upload)

Ciao
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: Avogadro - Giugno 11, 2023, 04:50:52 am
ho provato a fare una scansione su un eseguibile generato da lazarus  con il link indicato,  questo l' esito:

"1 security vendor and no sandboxes flagged this file as malicious

84e10412a486bda686948ba91c73bc9a175d7efa83170eafb12155dc1cee295e
project1.exe"

Non so, è un artefatto o è altro ?

Nel dubbio "adwcleaner" - che tra l'altro mi pare sia stato scritto in delphi - .
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: bonmario - Giugno 11, 2023, 07:35:10 am
Salve ad tutti,
da qualche giorno ho aggiornato Lazarus alla versione 2.0.6 su Win11_x64 et quando provo ad compilare un mio vecchio progetto ottengo che il Nod32 riconosce l'eseguibile come un file infettato da ML/Augur. Nell'immagine quello che succede. E' capitato a qualcuno?

In passato mi è capitato almeno un paio di volte.
E' da qualche anno che non mi è più successo, ma li ho sempre considerati falsi positivi.

Ciao, Mario
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: DragoRosso - Giugno 11, 2023, 04:34:39 pm
Come a @bonmario, successe anche a me tantissimi anni fà (una decina) da un cliente con Delphi. Si trattava comunque di un falso positivo e il costruttore dell'antivirus rimediò nel giro di breve tempo (se non vada errato era Kaspersky). Pensavo che con il tempo gli antivirus fossero migliorati.

Ciao
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: nomorelogic - Giugno 12, 2023, 05:44:10 pm
puoi fare una segnalazione a quelli di Nod32
nel frattempo, una bella esclusione ti risolve la noia :)
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: doc - Giugno 12, 2023, 09:17:02 pm
In effetti il supporto tecnico di Eset mi ha confermato essere un "falso positivo" dovuto all'euristica avanzata che avevo, io, imposto ad livello maniacale. Anche perchè ho provato Eset-Windows con lo stesso file compilato in cross sul mio caro sistema Debian et succedeva la stessa cosa.
Però vedo che non sono l'unico che ha avuto falsi positivi dagli antivirus..... faccio prima ad lavorare su Debian et testare con VMware in winzozz.
Grazie ad tutti cmq.  :D
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: bonmario - Giugno 13, 2023, 08:21:46 am
Però vedo che non sono l'unico che ha avuto falsi positivi dagli antivirus..... faccio prima ad lavorare su Debian et testare con VMware in winzozz.

L'ultimo "serio" l'ho avuto qualche anno fa, che mi ha fatto perdere parecchio tempo con l'Ufficio Tecnico prima di convincerli che era un falso positivo.
L'altro, quasi ridicolo, l'ho avuto un paio di settimane fa: venivano segnalati come "sospetti" il programma che ho fatto di cui si parla in questo thread: https://www.lazaruspascal.it/index.php?topic=2725.0 ed un batch che mi parte all'avvio del PC.
Poi ho scoperto che venivano segnalati solo perché uno l'avevo chiamato "AvvioVeloce.exe", e l'altro "EsecuzioneAutomatica.bat" !!!

Ciao, Mario
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: DragoRosso - Giugno 13, 2023, 12:22:25 pm
Eh eh eh ... prova a chiamare un tuo programma KERNEL.EXE ... ti arriva l'FBI direttamente a casa ...  ;D ;D ;D
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: Stilgar - Giugno 13, 2023, 12:25:21 pm
Addirittura?


Avrei pensato alla NSA più che alla FBI.... ;D




Stilgar
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: tito_livio - Giugno 13, 2023, 03:33:56 pm
Anche se fai un programma che comprime i file qualche antivirus lo blocca. E mi sembra giusto.
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: Stilgar - Giugno 13, 2023, 03:35:33 pm
A me ha appena segato l'updater di freepascal ;D ;D ;D ;D ;D


Stilgar
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: nomorelogic - Giugno 13, 2023, 03:51:55 pm
windows è come il matrimonio: il modo migliore di risolvere quei problemi che altrimenti non ci sarebbero

 ;D ;D ;D ;D

Edit:
scusate a volte non riesco a trattenermi  ;D ;D
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: Stilgar - Giugno 13, 2023, 03:53:17 pm
Sei di parte...
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: nomorelogic - Giugno 13, 2023, 03:54:21 pm
Si lo so
ma ogni tanto bisogna anche spararne una  ;D
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: Stilgar - Giugno 13, 2023, 03:57:42 pm
Va la pajasso.


Hai visto il video che ti ho mandato piuttosto?


Stilgar
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: bonmario - Giugno 13, 2023, 04:59:21 pm
Poi ci sono cose che faccio fatica a capire ...
Qualche anno fa, ho fatto delle prove per vedere se riuscivo a "catturare" tutto quello che veniva digitato sulla tastiera, e salvarlo sul file, così, per curiosità.
Il tutto era comandato da una booleana: se impostata a True, faceva il lavoro, se impostata a false non lo faceva.
Ho fatto le mie prove e, siccome alla fine non mi serviva più, ho impostato la booleana a False, e mi sono dimenticato della cosa.

Ad inizio anno, facendo delle modifiche ad un programma, m sono reso conto che la unit in cui avevo messo quel codice era richiamata in altri programmi.
Sia a a casa che al lavoro, mai nessun antivirus ha segnalato i miei programmi che usavano quella unit !!!

Ciao, Mario
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: Avogadro - Giugno 14, 2023, 05:24:58 am
""catturare" tutto quello che veniva digitato sulla tastiera, e salvarlo sul file"

Non è una "curiosità",  è un modus operandi comune in tanti gestionali.

Mi spiego meglio: i gestionali sono software complessi che tar le tante cose devono gestire la tracciabilità delle cose fatte .

Vada sè che ci sono diversi approcci per farlo, quello che noto nei sw gestionali commerciali che uso è che ogni cosa che si fa viene registrata su dei  file "log", accessibili solo agli amministratori - e sono per giunta criptati - .

Nel 99% dei casi questi file  vengono usati per le manutenzioni, ossia quando c'è un guasto, il tecnico risale attraverso l' esame di file "log" alla causa e  al momento in cui il problema si è presentato .

Dai file log è possibile vedere tutte le cose fatte dagli utenti del sw: i login, i logout, i dati digitati, le stampe fatte etc .

Questo non per "capricci orwelliani" ma per garantire la tracciabilità dei processi perché i contenziosi sono sempre dietro l'angolo.

Questo appesantisce il sw e richiede buoni hardware perchè diversamente la "lentezza" dei gestionali" diventa "pesante"; si  questo ha dei costi ma ormai il trend è, appunto, questo .

Su lazarus si nota che ci sono diversi modi per gestire gli eventi, ossia  gli oggetti hanno tutta una serie di funzioni che scattano quando un dato evento viene eseguito (after edit, before post etc ) ed è possibile così sia tracciare i passagi, sia validare i data entry , sia gestire gli errori e così via.

Questo port alla creazione, per quanto automatica, di una marea di procedure , ossia , come dicono le leggi di murphy, "il codice si espande spontaneamente fino a consumare tutte le risorse disponibili" .

Un modo per affrontare questo problema, che puo' portare alla ridondanza del codice, è l' uso "l'action list" , che centralizza i "comandi" e consente di organizzarli per categorie.

Il punto, è come al solito, trovare letteratura in merito  per affrontare questi problemi.

Ad esempio è difficile, almeno per me, trovare letteratura sull'uso dell' action list (o del datamodule, in delphi funzionava a meraviglia*, aveva anche la possibilità di tracciare le relazioni tra le tabelle dei dati, in lazarus non so se è così ) .

Il web sta cambiando, non so il perchè, ormai è solo l'equivalente dei depliants con le offerte dei supermercati , o meglio, o si paga o nisba, alias anche nel web oggi piu' che mai vale è la famosa legge di murphy  sull'economia: "nulla è gratis", ossia cose gratis si trovano sempre di meno.

Benvenuti nel futuro .


*
o meglio, il borland data base engine, che si poggiava su paradox, funzionava egregiamente  in sincronia  con il data module , ma se ricordo bene fu proprio il poggiarsi su paradox che causo' problemi alla borland con delphi  (tutto il mondo andava e va ad "sql"), conseguenze: vedasi la storia della borland e di delphi su wikipedia.

Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: doc - Giugno 15, 2023, 10:24:05 am
@ Avogadro
Hai perfettamente ragione, molti ERP moderni (io ne uso uno, in azienda, moooolto famoso in tutto il mondo) registrano tutto (proprio tutto!!!) quello che avviene. Anche se la cosa potrebbe essere molto discutibile sotto il profilo della dottrina del diritto del lavoro, devo però dar adito che molte volte è proprio grazie al file LOG che si riesce ad capire dove c'è stato il problema et ad correggerlo.

Tornando all'oggetto del Topic
Ho capito perchè Eset Nod32 contrassegna il mio eseguibile come "pericoloso". Essendo un vecchio programma esso conteneva comandi che l'antivirus "non digeriva" nell'eseguibile: GetMem, FreeMem, SysUtils.ExecuteProcess, ShellExecute, oltre che un uso "spregiudicato" dei puntatori. Se tolgo quei comandi et ridefinisco meglio l'uso dei puntatori il Nod32 non rileva nulla. I tecnici Eset, una volta ottenuto il listato del mio programma, dopo essersi stupiti che era in Pascal et non in C (non capisco il perchè... :o), hanno confermato quello che già io sospettavo et che prima ho scritto. Meno male che in Debian non ho tutti sti problemi!!! Soluzione: in winzozz devo escludere il mio programma dal controllo dell'antivirus se voglio utilizzarlo, oppure "abbassere il livello di guardia" del Nod32.

Grazie ad tutti cmq per le risposte.
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: bonmario - Giugno 15, 2023, 11:18:16 am
""catturare" tutto quello che veniva digitato sulla tastiera, e salvarlo sul file"

Non è una "curiosità",  è un modus operandi comune in tanti gestionali.

Se non ho capito male,
Quello che avevo fatto o era un attimino più invasivo ... tanto per capirci: se premevi il tasto "SHIFT" e poi lo mollavi, nel log scrivevo 2 righe:
- premuto tasto SHIFT
- rilasciato tasto SHIFT

Ad esempio, se uno avesse digitato una password, anche quella sarebbe finita nel mio log ...

Se non ho capito male, quello che intendi tu, è che salvano "i contenuti" dei vari campi.

Ciao, Mario
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: Stilgar - Giugno 15, 2023, 11:45:50 am
@bonmario, ma lavori alla NSA?




 ;D ;D ;D ;D


Stilgar
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: bonmario - Giugno 15, 2023, 12:50:44 pm
L'intento originale, era ricostruire il testo scritto in un form, e salvarlo ogni tot secondi, visto che spesso la persona che lo usava non salvava, e poi perdeva tutto.
Poi la cosa non è più servita, perché quel programma è diventato obsoleto, ma comunque non avrei potuto usare quel codice, perché mi ero accorto in un secondo tempo che non catturava solo quello che tu facevi in quel form, ma catturava qualsiasi cosa, per cui sarebbe stato impensabile usarlo !!!

P.S. alla NSA già lo fanno, e probabilmente più spesso di quanto si pensi !!

Ciao, Mario
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: bonmario - Giugno 19, 2023, 05:15:46 pm
Stamattina mi hanno scritto questo in chat:
Citazione
Ciao Mario, sono xxxxxx dell'ufficio sicurezza, ci sono arrivati degli alert per delle attività sospette, posso chiederti questo eseguibile a cosa serve: C:\Lazarus\examples\gridexamples\embedded_images\images.exe. Da quello che vedo l'hai compilato te con l'IDE Lazarus, se vuoi possiamo sentirci

Io al momento non potevo, e gli ho detto che l'avrei contattato nel pomeriggio.
Nel pomeriggio, gli ho scritto che ero disponibile, e di chiamarmi quando voleva.

Questa la sua risposta in chat:
Citazione
Eh ho iniziato un'altra call, sorry. Comunque ho fatto il submit a Microsoft In quanto Falso positivo, essendo scritto in linguaggi "datati" probabilmente ha matchato qualche vecchia firma malware

Io non ho più risposto  ;D :D
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: DragoRosso - Giugno 19, 2023, 07:01:43 pm
Lol ... linguaggi datati ...

Potevi rispondere che l'unica cosa datata era l'antivirus  ;D
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: nomorelogic - Giugno 20, 2023, 09:25:33 am
[...]
Questa la sua risposta in chat:
Citazione
Eh ho iniziato un'altra call, sorry. Comunque ho fatto il submit a Microsoft In quanto Falso positivo, essendo scritto in linguaggi "datati" probabilmente ha matchato qualche vecchia firma malware

Io non ho più risposto  ;D :D

questa risposta qua è fantastica :D  (nel senso di "frutto di fantasia") :D
vorrei conoscere il tipo che ha risposto :)
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: bonmario - Giugno 20, 2023, 09:45:37 am
Io non ho risposto perché a me andava bene che la cosa si fermasse lì !!!

Secondo me, ha visto che il compilatore era "Pascal", ed ha pensato che fosse roba antica ...
Tenete conto che i nuovi programmatori che arrivano, appena usciti dalle superiori, se gli faccio vedere un sorgente RPG, Cobol o simili, mi guardano come se fossi un alieno !
Oramai a scuola gli insegnano Java e basta. Solo se i loro insegnanti di informatica hanno un po di fantasia, gli accennano altri linguaggi, ma niente di approfondito.

Ciao, Mario
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: nomorelogic - Giugno 20, 2023, 10:13:56 am
a proposito di robe antiche...
tempo fa mi è capitato di chiedere ad un sistemista (caso vuole che fosse certificato microsoft su windows server), di crearmi una regola sul firewall (di un server microsoft) per poter uscire con client ftp (ftp.exe, a linea di comando).

beh... non riusciva a mettere la regola per farmi uscire con lo script ftp
ricordo che mi disse che "siccome usi software datato, questo è un firewall di nuova generazione e non lo riconosce: devi usare un software più recente"

anche io sono rimasto  un po' basito, stiamo parlando di ftp.exe, credo sia un programma che esiste dalla notte dei tempi (ed è della microsoft)

vabbè siamo un po OT ma ogni tanto ci vuole :)


Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: Stilgar - Giugno 20, 2023, 06:08:12 pm


"La comunità dice che il pascal è morto ma il pascal se ne frega e continua a lavorare alla grande." Semicit.


Stilgar
Titolo: Re:Errore "ML/Augur trovato da ESET NOD32 in un mio eseguibile".
Inserito da: xinyiman - Giugno 21, 2023, 08:21:30 am


"La comunità dice che il pascal è morto ma il pascal se ne frega e continua a lavorare alla grande." Semicit.


Stilgar
;D ;D ;D ;D