Hallo,
als ich heute bei Torry.net nach ein paar Tips suchen wollte, meldete mir der IE plötzlich

Zitat:

Diese Webseite wird als unsicher gemeldet.

Solange man noch bei SwissDelphiCenter ist (Z.B. www.swissdelphicenter.ch/torry/math.php), gibt's keine Probleme. Wählt man aber außer den Tips z.B. Tools oder Apps (also www.torry.net), kommt die Meldung.

Ist das nur bei mir so oder tritt das Problem auch bei euch auf?
Und wenn ja, weiß jemand, was da los ist?

Danke und beste Grüße
Mathematiker

Das ist der Microsoft "SmartScreen Filter". Soll vor Seiten schützen, die Malware oder Phishing enthalten.

Du kannst trotzdem auf die Webseite, wenn du auf "Weitere Informationen" klickst. Oder besser noch: besorge dir einen besseren Browser.

Melden, dass diese Website keine Bedrohungen enthält:
feedback.smartscreen...ft.com/feedback.aspx

Widerspruch!!!!!

Es mag ein Fehlalarm sein, aber ein "besserer Browser" ohne Schutz osder einfach "Wegdrücken" ist keine Lösung.

Wenn man die Seite für seriös hält, dann kann man gemäß SMO die Warnung ignorieren. Aber seriös zählt nicht: Ich erhielt aus sehr vertrauenswürdiger Quelle eine ISO-9000-zertifizierte Diskette (lange her), aber da war ein Virus drauf, die hatten eben einen Fehler gemacht.

Wenn man freundlich ist, dann sollte man den Besitzer der Seite informieren. Wenn man die Infos der Seite dringend braucht, dann mit Vorsicht, am besten von einer anderen (. z. B. virtuellen) Maschine aus.

Gruß
GuaAck

Hallo,
Danke für die Hinweise. Ich habe bei virustotal einmal die URL scannen lassen.
Das Ergebnis ist, dass drei Scanner "anschlagen":

Zitat:

Emsisoft Malware site ParetoLogic Malware site Yandex Safebrowsing Malware site

63 melden keine Gefahr. Gefällt mir trotzdem nicht.
Ich werde wohl erst einmal Torry.net meiden.

Beste Grüße
Mathematiker

Die bei mir wachende Norton Security meldet keinerlei Sicherheitsbedenken, wenn ich diese Seite z.B. mit Opera, Seamonkey oder Firefox besuche. IE verwende ich nur bei der Entwicklung als EmbeddedWebbrowser ... und da kommt auch keine Warnung, wenn ich diese Seite mit dem selbstgebauten Browser aufrufe ...

Anders sieht das aus, wenn ich torry.net mit dem IE aufrufe. Jetzt erhalte ich dieselbe Warnung. Weitere Recherchen führen mich dann zu diesen Einzelheiten:

Zitat:

Norton Safe Web hat torry.net auf Sicherheit und Sicherheitsprobleme analysiert. Unten sehen Sie ein Beispiel der gefundenen Bedrohungen. Zusammenfassung •Computerbedrohungen: 2 •Identitätsbedrohungen: 0 •Störfaktoren: 0 Bedrohungen (gesamt) auf dieser Website: 2 Die Norton-Bewertung basiert auf dem automatischen Analysesystem von Symantec. Weitere Informationen. Backdoor.Graybird Adresse: torry.net/apps/system/tasks/AutoR.exe Backdoor.Trojan Adresse: www.torry.net/vcl/system/keys/crazy.zip

Crazy.zip enthält drei Delphi-Projekte in eigenständigen Verzeichnissen nebst einigen Dlls. Aus der Readme geht hervor, daß es sich um das Programm Crazy Keyboard handelt, mit dessen Hilfe man Tasten ändern kann:

Zitat:

Crazy Keyboard is a small DLL that enables you to change the keys of the of the keyboard. By using a uinversal system wide hooking technique, you can change any of the keyboard key to match your requirement or trap the key to fire other events. Your application will act as a control center to control the keypresses of other applications. The application created is ideal for party tricks and other amusing uses that will confused the unsuspecting user. Additionally, it can find its uses in serious applications. By directly changing the DLL codes, you can lock the keys, change the keys or use keypress to trigger your required function. You can for example, change the keypress 'a' to become 'z' as such that when 'a' is press it will output the character 'z'. Besides, you can code so that when F1 is pressed it will open Windows Notepad instead of the normal Windows Help Files. By locking a certain key, that locked key will output no character when pressed. Crazy Keyboard will find it ways for hundreds of application imaginable.

Hört sich nicht besonders bedrohlich an. Exe-Dateien sind im Zipfile keine enthalten, schon gar nicht nach Backdoor-Trojaner ...

AutoR.exe konnte ich nicht herunterladen, da Norton Security den Versuch sofort blockiert hat. Vielleicht sollte man sich dann doch mal mit dem Betreiber von Torry in Verbindung setzen und nachfragen, was das soll ...

Zu CRAZY: Meldung vom DEFENDER: Backdoor:Win32/UltimateRat.2_1
Kategorie: Hintertür

Beschreibung: Dieses Programm stellt einen Remotezugriff auf den Computer bereit, auf dem es installiert ist.

Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.

Elemente:
file:C:\Users\HATHOR\Downloads\crazy\Small DLLs\basic.dll

www.microsoft.com/se...1&threatid=10439

Hallo,
Danke für die weiteren Hinweise.
Ich habe gerade an das SwissDelphiCenter eine Nachricht mit Perlsaus Hinweisen gesendet.
Ob und wie SwissDelphiCenter reagiert, werden wir sehen. Die Seite wird seit Jahren kaum noch gepflegt.
Zumindest hoffe ich, eine Antwort zu erhalten, da ich mir nicht vorstellen kann, dass jemand Links zu evtl. Malware-Seiten weiterhin angibt.

Es ist etwas schade. SwissDelphiCenter war mir jahrelang eine große Hilfe bei dem einen oder anderen Problem.
Natürlich ist im Vergleich die EE Champions-League und SwissDelphiCenter nur Regionalliga , aber ärgerlich ist es dennoch.

Beste Grüße
Mathematiker

Guten Morgen Mathematiker !

Deine Meldung ging an den Falschen:
www.torry.net/vcl/system/keys/crazy.zip

Hallo,

hathor hat folgendes geschrieben :

Deine Meldung ging an den Falschen:

Richtig.
Ich sende es noch mal direkt an Torry.net.

Beste Grüße
Mathematiker

INFO:
Seite kommt offensichtlich aus Tschechien.

Janecek, Karel
Owner since September 18, 2015

Domain Name: TORRY.NET
Registrar: GRANSY S.R.O D/B/A SUBREG.CZ
Sponsoring Registrar IANA ID: 1505
Whois Server: whois.regtons.com
Referral URL: regtons.com
Name Server: NS.KOM.CZ
Name Server: NS2.KOM.CZ
Status: ok www.icann.org/epp#OK
Updated Date: 24-sep-2015
Creation Date: 23-mar-2000
Expiration Date: 23-mar-2017

Gransy s.r.o.
Borivojova 878/35
130 00 Prague
Czech Republic

whois.domaintools.com/torry.net

Tech Name: Janecek, Karel
Tech Organization:
Tech Street: Prostejovicky 79
Tech City: Plumlov
Tech State/Province: Olomoucky kraj
Tech Postal Code: 79803
Tech Country: CZ
Tech Phone: +420.420731616511
Tech Phone Ext: None
Tech Fax:
Tech Fax Ext:
Tech Email: email@yamaco.cz
Name Server: ns.kom.cz
Name Server: ns2.kom.cz

hathor hat folgendes geschrieben :

INFO: Seite kommt offensichtlich aus Tschechien.

naja.. da Torry von einer tschechischen Softwarefirma übernommen wurde ist das jetzt nicht sonderlich überraschend, oder?

Hallo,
da "mein" Tschechisch eingerostet ist, war es das wohl für mich.
Das macht nichts.
Wenn ich professionelle Hilfe suche, haben ich ja die EE. Als "Notlösung" gibt's ja noch die DP. Für die DPler: Das ist nicht wirklich ernst gemeint.

Beste Grüße
Mathematiker

war torry nich mal die Seite, die für 800 Mio. US$ über'n Tisch gehen sollte?


ich hatte im ersten Augenblick bei dem Topic schon einen Schrecken bekommen, weil ich dachte, das sei die nächste Seite.


Aber OK, nichts ist ewig ...

Mitte April in der Delphi-Praxis: Torry steht zum Verkauf.

GuaAck hat folgendes geschrieben :

Widerspruch!!!!! Es mag ein Fehlalarm sein, aber ein "besserer Browser" ohne Schutz osder einfach "Wegdrücken" ist keine Lösung. Wenn man die Seite für seriös hält, dann kann man gemäß SMO die Warnung ignorieren. Aber seriös zählt nicht: Ich erhielt aus sehr vertrauenswürdiger Quelle eine ISO-9000-zertifizierte Diskette (lange her), aber da war ein Virus drauf, die hatten eben einen Fehler gemacht.

Besserer Browser war ernst gemeint, da kannst du dir die Anführungszeichen sparen (und die ganzen Ausrufezeichen übrigens auch). Firefox und Chrome bringen ebenfalls Warnmeldung bei potentiell gefährlichen Seiten und sind dabei wahrscheinlich auch sicherer (besonders mit speziellen Addons wie NoScript).
Hier ist es jedenfalls so, dass nicht die Webseite selbst "attackiert", sondern dass sie einfach nur ein paar "verdächtige" Kompilate zum Download anbietet. Dass man vorsichtig sein sollte, wenn man fremden Code herunterlädt und ausführt, sollte jedem klar sein.

hathor hat folgendes geschrieben :

Zu CRAZY: Meldung vom DEFENDER: Backdoor:Win32/UltimateRat.2_1 Kategorie: Hintertür Beschreibung: Dieses Programm stellt einen Remotezugriff auf den Computer bereit, auf dem es installiert ist. Empfohlene Aktion: Entfernen Sie diese Software unverzüglich. Elemente: file:C:\Users\HATHOR\Downloads\crazy\Small DLLs\basic.dll www.microsoft.com/se...1&threatid=10439

Ich hab's mal runtergeladen und diese basic.dll an VirusTotal geschickt: Erkennungsrate 28/53. Also klar ein Virus/Trojaner/Backdoor, oder?

Nein, nicht unbedingt. Ich habe die DLL mal disassembliert und den Code überflogen. Sind ja nur 8 KB, und der Code an sich ist noch weniger.
Ich möchte natürlich keine Garantie für die Unbedenklichkeit geben, aber ich habe keinen Hinweis auf einen Trojaner oder ein Backdoor finden können.
Den Sinn und Zweck dieses "crazy" Projekts hat Perlsau ja schon beschrieben (übrigens: DLLs unterscheiden sich nur marginal von EXEs, auch sie sind ausführbar und können Schadcode enthalten).
Diese basic.dll installiert einen systemweiten Tastatur-Hook via SetWindowsHookExA, und kann auch Tastendrücke simulieren, z.B. "I LOVE YOU" (da gab es doch mal was...). Aber sie öffnet weder Internetverbindungen noch Ports, startet höchstens per ShellExecute den Standardbrowser mit der URL yahoo.com, als Reaktion wenn eine bestimmte Taste gedrückt wurde.

Für Virenscanner sind systemweite Hooks natürlich immer verdächtig. Könnte ja z.B. für Keylogger und so missbraucht werden. Aber Virenscanner sind am Ende nur dumme Mustererkenner. Manche Sicherheitsexperten bezeichnen sie sogar als Schlangenöl. 100% schützen werden sie nie können, und Fehl-Erkennung wird es immer geben (gerade Delphi-Entwickler sollten das wissen). Natürlich können Virenscanner ganz nützlich sein, aber man sollte ihnen nie komplett vertrauen, egal ob sie nun eine Datei als unbedenklich oder als gefährlich einstufen.

AutoR ist mir zum Analysieren zu groß, darüber hinaus auch mit ASPack komprimiert/verschlüsselt.

SMO hat folgendes geschrieben :

Für Virenscanner sind systemweite Hooks natürlich immer verdächtig. Könnte ja z.B. für Keylogger und so missbraucht werden. Aber Virenscanner sind am Ende nur dumme Mustererkenner. Manche Sicherheitsexperten bezeichnen sie sogar als Schlangenöl. 100% schützen werden sie nie können, und Fehl-Erkennung wird es immer geben (gerade Delphi-Entwickler sollten das wissen). Natürlich können Virenscanner ganz nützlich sein, aber man sollte ihnen nie komplett vertrauen, egal ob sie nun eine Datei als unbedenklich oder als gefährlich einstufen.

In gewissen Kreisen ist bekannt, daß auch zahlreiche KeyGeneratoren als Viren oder schädliche Malware eingestuft werden, obwohl sie gar keine schädlichen Anteile enthalten – sieht man einmal davon ab, daß damit quasi kommerzielle Programme geknackt werden und dies angeblich den Software-Herstellern schadet. Da scheint es wohl interne Abkommen zwischen AV-Herstellern und großen Software-Fabriken zu geben. Irgendwo hab ich mal einen diesbezüglichen Test gelesen, der nachwies, daß z.B. Avira irgend einen KeyGenerator als verseucht mit dieser oder jener ganz bestimmten Malware meldete, wogegen von andere AV-Software, die ansonsten genau diese Malware auch erkennt, in genau diesem KeyGenerator nichts finden konnte. Genaueres weiß ich aber nicht mehr, ist schon etwas länger her ... Dennoch ist Vorsicht geboten, insbesondere beim Herunterladen von Raubkopien via Tauschbörsen oder aus dem Usenet, denn dort wimmelt es nur so von Viren, Trojanern und Würmern. Am besten, man läßt da ganz die Finger weg. Es gibt inzwischen für fast jede kommerzielle Software entsprechenden Freeware-Ersatz, wie z.B. das völlig kostenlose OpenOffice statt des immens teuren MS-Office.

File basic.dll ist 2x vorhanden - in Small DLLs\basic.dll und bei einem Demo-Programm: ...crazy\Demos\Basic.
Die Demo-Version scheint sauber zu sein.

Perlsau hat folgendes geschrieben :

In gewissen Kreisen ist bekannt, daß auch zahlreiche KeyGeneratoren als Viren oder schädliche Malware eingestuft werden, obwohl sie gar keine schädlichen Anteile enthalten

Das liegt hauptsächlich daran, dass diese Generatoren oft gepackt werden. Dadurch ähneln sich die Signaturen eben sehr, so dass es auch viele falsche Erkennungen gibt. Da sind die Autoren allerdings selber schuld.

Interessant ist auch der Vergleich der Browser:
Internet Explorer und Chrome blockieren den Download aufgrund der Erkennung während der Firefox damit keine Probleme hat. Naja, kann ja auch sein, dass der Benutzer einen Virus herunterladen möchte, diese Freiheit darf man natürlich nicht einschränken...
Das ist mir bei echten Viren auch schon aufgefallen.

Perlsau hat folgendes geschrieben :

Es gibt inzwischen für fast jede kommerzielle Software entsprechenden Freeware-Ersatz, wie z.B. das völlig kostenlose OpenOffice statt des immens teuren MS-Office.

Ersatz meistens, gleichwertig leider nur selten, wofür dein Vergleich ein exzellentes Beispiel ist... aber das ist ein anderes Thema.

Hallo,
nachdem es den Ärger mit Torry.net gab, ist seit heute Nacht 0 Uhr eine weitere sehr schöne Delphi-Seite Offline.
www.delphiforfun.org von Gary Darby ist nicht mehr erreichbar.
Sehr Schade.

Beste Grüße
Mathematiker