Why Antivirus rileva il semplice programma Java come Trojan?

Naviga le tue risposte
5

Proprio ora stavo testando un codice molto semplice in Java quando ho notato una cosa strana. Durante la compilazione del programma il mio antivirus lo ha rilevato come trojan e cancellato il file jar.

Inoltre non mi sta permettendo di compilare il programma. La suddetta caratteristica non viene visualizzata quando si rimuove str.replaceAll() dal codice.

  1. Perché sta succedendo questo?

  2. Che tipo di exploit è in Java e in che modo può essere risolto?

  3. Perché usare str.replaceAll() mostra specificamente questo tipo di comportamento?

Il mio codice Java è 

public static void main(String args[]) 
{
String str="1000010111111010101010101001111110111010110101000001000000000000000000000000000000000000000000000000000"
    + "111111111111111110000000000000000000000000000000000000000000000000000000000000000";

System.out.println("String len="+str.length()+"  No of ones= "+(str.length()-str.replaceAll("1", "").length()));

}

Avviso antivirus

    
posta A. Sinha 15.10.2015 - 09:42
fonte

2 risposte

4

Solo un po 'di congetture qui, ma ci possono essere alcuni modelli comuni che l'av utilizza per tutte le lingue che può analizzare in profondità, e il pattern visualizzato nel tuo programma è abbastanza simile al tipo di codifica che si vede in javascript offuscato (dove avranno una stringa, eseguiranno alcune operazioni su di essa e alla fine finiranno per valutarla). Questa è una firma euristica di cui stiamo parlando, quindi potrebbe essere qualcosa di simile.

La firma continua a sparare senza il codice che conta gli 1 (in particolare la chiamata a str.replaceAll )?

    
risposta data 15.10.2015 - 10:02
fonte
1

Il codice che hai scritto, una volta compilato, corrisponde alla firma che l'AV utilizza per rilevare un trojan. Ciò non significa che il tuo programma java sia un exploit, o che possa fare del male, solo che c'è una somiglianza abbastanza strong che il tuo AV lo ha contrassegnato. Potrebbe essere la lunga stringa di uno e zero o il tuo programma.

    
risposta data 15.10.2015 - 10:17
fonte

Leggi altre domande sui tag

Come verificare gli indirizzi e-mail negli UID di GnuPG? Come convertire un file pcap in un file raw?