Trojan:Win32/Wacatac.B!ml

Alexandre Silva · Mensagem por **Alexandre Silva** » 06 Mai 2024 11:30

Ao instalar nova versao nos clientes é comum o aplicativo ser confundido com virus.
Entao normalmente coloco ele em Excecao

Mas agora o windows defender diz existir esse trojan no aplicativo
Trojan:Win32/Wacatac.B!ml

É um virus mesmo ? Ou o windows esta confundindo ?
O que devo fazer ?

Mensagem por **JoséQuintas** » 06 Mai 2024 12:25

extraído da internet

A detecção de tais arquivos é baseada em um conjunto muito frouxo de regras. Um conjunto de regras pode, por exemplo, ser a combinação de 2 acertos de um conjunto de 3 regras: (1) um nome de arquivo de tipo genérico (SQOTT.exe por exemplo), (2) ausência de uma assinatura digital e (3) o código executável sendo empacotado.

Em termos práticos: é normal alarme falso, vai de você confiar no seu EXE, se ele estiver igual ao original, e por isso uma assinatura se torna interessante, porque detecta mudanças.

Alexandre Silva · Mensagem por **Alexandre Silva** » 06 Mai 2024 13:54

Agora fiz um teste, nao mandando o aplicativo zipado e passou.
Mas o trojan existe.
Pode ser que realmente nao tenha no meu aplicativo.
Mas o windows está "dando diagnostico errado"

Como se poderia fazer uma assinatura ? verifica que o .exe nao foi alterado ?

Mensagem por **Kapiaba** » 07 Mai 2024 08:38

bom dia, você consegue incorporar arquivos.rc em seu sistema? Se sim, é assim:

VERSION.RC

Código: Selecionar todos

1 VERSIONINFO LOADONCALL MOVEABLE DISCARDABLE IMPURE
FILEVERSION 1,0,0,0
PRODUCTVERSION 1,0,0,0
FILEFLAGSMASK 0x0
FILEFLAGS 0x0
FILEOS VOS__WINDOWS32
FILETYPE VFT_APP
FILESUBTYPE VFT2_UNKNOWN
{
 BLOCK "StringFileInfo"
 {
  BLOCK "040904E4"
  {
   VALUE "Comments",    "Sistema Desenvolvido Pela Empresa TAL - www.empresatal.com.br \0"
   VALUE "CompanyName",   "Sistema Desenvolvido Pela Empresa TAL - www.empresatal.com.br \0"
   VALUE "FileDescription", "NOME DO SISTEMA\0"
   VALUE "FileVersion",   "1.0000\0"
   VALUE "InternalName",  "Projeto TAL\0"
   VALUE "LegalCopyright", "Sygecom Informática Ltda\0"
   VALUE "LegalTrademarks", "NOME SISTEMA / SYGECOM\0"
   VALUE "OriginalFilename", "NOME_EXE.EXE\0"
   VALUE "ProductName",   "NOME DO SISTEMA\0"
   VALUE "ProductVersion", "1.0000\0"
  }
 }
 BLOCK "VarFileInfo"
 {
  VALUE "Translation", 0x416, 0x4B0
 }
}

Regards, saludos.

Mensagem por **Kapiaba** » 07 Mai 2024 08:43

No Editor de Recursos Workshop.exe, você visualiza assim:

Regards, saludos.

Alexandre Silva · Mensagem por **Alexandre Silva** » 18 Mar 2025 15:36

Como faco para incorporar o arquivo version.rc na compilacao harbour 3.2 Console ?
Ou tem outra forma do windows nao confundir com Trojan/Virus ?
ou esse Win32/Wacapew.C!ml é realmente um virus ?

Mensagem por **JoséQuintas** » 19 Mar 2025 05:56

Aqui acusa isso se usar UPX diferente de 4.1.0 ou compactaçào -lzma

developer · Mensagem por **developer** » 19 Mar 2025 11:48

Como faco para incorporar o arquivo version.rc na compilacao harbour 3.2 Console ?

Pega o arquivo .RC que o Kapiaba mostrou, adiciona no seu EXE assim:

Código: Selecionar todos

hbmk2 exemplo.prg arquivo.rc -gui

Onde exemplo.prg é o seu fonte console (não precisa colocar extensão) e arquvio.rc é o seu arquivo .RC.

Depois, pode até usar alguma coisa do conteúdo com hb_gtInfo()

Se não conseguir, fazer isso, manda seu fonte.prg e seu arquivo.rc que eu testo aqui e vejo o que é o problema e envio de volta com possível ajuste/correção (aqui no forum para todos aprenderem)

Mas tem que ser algo simples, sem dependências, tem que ser auto-contido só para ser exemplo mesmo.

Mensagem por **Kapiaba** » 19 Mar 2025 13:31

Ou,

https://linguagemclipper.com.br/compilar-rc

Regards, saludos.

Alexandre Silva · Mensagem por **Alexandre Silva** » 20 Mar 2025 12:33

Eu compilo hbmk2 teste.hbp

resulta:
D:\hb32\comp\mingw\bin\windres.exe: ver.rc:1: syntax error
hbmk2[teste]: Erro: Ao executar o compilador de recursos. 1
D:\hb32\comp\mingw\bin\windres.exe -ID:/hb32/include ver.rc -O coff -o C:/Users/usuario/AppData/Local/Temp/hbmk_sx05s3.dir/ver.reso

mesmo resultado se fizer comando de linha
hbmk2 teste.prg ver.rc -gui

Deveria suportar a extencao .rc , a menos que tenha erro ai . alguma dica ?

hbmk2 [opcoes] [<script>] <fontes[.prg|.c|.obj|.o|.rc|.res|.def|.po|.pot|.hbl|@.clp|.d|.ch]>

teste.hbp

Código: Selecionar todos

teste.prg
ver.rc
-gui

teste.prg

Código: Selecionar todos

cls
@ 1,1 say 'teste'

ver.rc

Código: Selecionar todos

1 VERSIONINFO LOADONCALL MOVEABLE DISCARDABLE IMPURE
FILEVERSION 1,0,0,0
PRODUCTVERSION 1,0,0,0
FILEFLAGSMASK 0x0
FILEFLAGS 0x0
FILEOS VOS__WINDOWS32
FILETYPE VFT_APP
FILESUBTYPE VFT2_UNKNOWN
{
 BLOCK "StringFileInfo"
 {
  BLOCK "040904E4"
  {
   VALUE "Comments",    "Sistema Desenvolvido Pela Empresa TAL - www.empresatal.com.br \0"
   VALUE "CompanyName",   "Sistema Desenvolvido Pela Empresa TAL - www.empresatal.com.br \0"
   VALUE "FileDescription", "NOME DO SISTEMA\0"
   VALUE "FileVersion",   "1.0000\0"
   VALUE "InternalName",  "Projeto TAL\0"
   VALUE "LegalCopyright", "Sygecom Informatica Ltda\0"
   VALUE "LegalTrademarks", "NOME SISTEMA \0"
   VALUE "OriginalFilename", "NOME_EXE.EXE\0"
   VALUE "ProductName",   "NOME DO SISTEMA\0"
   VALUE "ProductVersion", "1.0000\0"
  }
 }
 BLOCK "VarFileInfo"
 {
  VALUE "Translation", 0x416, 0x4B0
 }
}

Mensagem por **Itamar M. Lins Jr.** » 20 Mar 2025 13:46

Olá!
O arquivo rc (recursos) pode conter o arquivo principal que é o manifest além dos icones e bitmaps(imagens) do exe isso é para quem usa modo gráfico, para os sistemas windows xp,7,8,10,11... É a manifestação, informando o proprietário etc...
Essas telas antigas do workshop não ajuda muito a entender. Dá uma olhada aqui nesse link que vc vai entender melhor.
https://pctoledo.org/forum/viewto ... st#p137677

Saudações,
Itamar M. Lins Jr.

Mensagem por **Itamar M. Lins Jr.** » 20 Mar 2025 14:02

Olá!
Meu arquivo rc só tem 1 linha.

Código: Selecionar todos

1 24 win10.manifest

E o arquivo win10.manifest

Código: Selecionar todos

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly manifestVersion="1.0" xmlns="urn:schemas-microsoft-com:asm.v1">
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
<security>
<requestedPrivileges>
<requestedExecutionLevel
               level="asInvoker"
               uiAccess="false"
            />
</requestedPrivileges>
</security>
</trustInfo>
   <compatibility xmlns="urn:schemas-microsoft-com:compatibility.v1">
      <application>
         <!-- Windows 10 -->
         <supportedOS Id="{8e0f7a12-bfb3-4fe8-b9a5-48fd50a15a9a}"/>
         <!-- Windows 8.1 -->
         <supportedOS Id="{1f676c76-80e1-4239-95bb-83d0f6d0da78}"/>
         <!-- Windows Vista -->
         <supportedOS Id="{35138b9a-5d96-4fbd-8e2d-a2440225f93a}"/>
         <!-- Windows 8 -->
         <supportedOS Id="{e2011457-1546-43c5-a5fe-008deee3d3f0}"/>
         <!-- Windows 7 -->
         <supportedOS Id="{4a2f28e3-53b9-4441-ba9c-d69d4a4a6e38}"/>
         <!-- Windows Vista and Windows Server 2008 R2 -->
         <supportedOS Id="{e2011457-1546-43c5-a5fe-008deee3d3f0}"/>
         <!-- Windows XP ignores this section -->
      </application>
   </compatibility>
<dependency>
<dependentAssembly>
<assemblyIdentity
            type="win32"
            name="Microsoft.Windows.Common-Controls"
            version="6.0.0.0"
            processorArchitecture="*"
            publicKeyToken="6595b64144ccf1df"
            language="*" />
</dependentAssembly>
</dependency>
</assembly>

Isso é mais para quem usa libs gráficas, no seu caso só o icone do exe no inicio do arquivo .rc
Outro exemplo com icone no EXE não gráfico.

Código: Selecionar todos

1 24 "WindowsXP.Manifest"
ICON_1 ICON "imagens/remote.ico" 
ICON_2 ICON "imagens/cadeado.ico" 

BOTAO01 BITMAP "imagens/botao01.bmp"

Para os usuários da Hwgui tem um utilitário que agrega todas as imagens ICO/PNG/BMP e roda no Linux e Windows. Motivo pelo qual meu arquivo de recursos ter apenas 1 linha.
Apontando apenas para o MANIFEST. Que é a parte que vc tem interesse, que é a parte do CERTIFICADO.

Saudações,
Itamar M. Lins Jr.

Mensagem por **Itamar M. Lins Jr.** » 20 Mar 2025 14:08

Olá!
Sim, esqueci de informar que é para usuário do Mingw, GCC.

Saudações,
Itamar M. Lins Jr.

Mensagem por **JoséQuintas** » 20 Mar 2025 18:58

Pra qualquer compilador
Atenção às barras duplas de path, funciona em qualquer compilador.
Atenção ao ícone do EXE AppIcon, esse é o nome padrão do ícone do EXE.
Atenção aos nomes de resource entre aspas, com aspas funciona em qualquer compilador

Código: Selecionar todos

#include "build.ch"

1 VERSIONINFO
  FILEVERSION JOSEQUINTAS_VERSAO_RC
  BEGIN
     BLOCK "StringFileInfo"
     BEGIN
        BLOCK "040904E4"
        BEGIN
            VALUE "CompanyName"      , "JPA TECNOLOGIA LTDA"
            VALUE "FileDescription"  , "JPA Integrado"
            VALUE "FileVersion"      , JOSEQUINTAS_VERSAO
            VALUE "LegalCopyright"   , "José M C Quintas"
            VALUE "LegalTrademarks"  , "José M C Quintas"
            VALUE "OriginalFilename" , "JPA.EXE"
            VALUE "ProductName"      , "JPA"
            VALUE "ProductVersion"   , JOSEQUINTAS_VERSAO
        END
    END
    BLOCK "VarFileInfo"
    BEGIN
        VALUE "Translation", 0x0416, 1252
    END
END

#define RT_MANIFEST 24
#define APP_MANIFEST 1

APP_MANIFEST RT_MANIFEST "resource\\exe.manifest"

AppIcon          ICON     "ico\\icoJPA.ico"

aquivo exe.manifest que uso

Código: Selecionar todos

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly manifestVersion="1.0" xmlns="urn:schemas-microsoft-com:asm.v1">
   <assemblyIdentity name="JoseQuintas" processorArchitecture="x86" version="0.0.0.0" type="win32" />
    <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
		<security>
			<requestedPrivileges>
				<requestedExecutionLevel level="asInvoker" uiAccess="false" />
			</requestedPrivileges>
		</security>
	</trustInfo>
   <compatibility xmlns="urn:schemas-microsoft-com:compatibility.v1">
      <application>
         <!-- Windows 10 -->
         <supportedOS Id="{8e0f7a12-bfb3-4fe8-b9a5-48fd50a15a9a}"/>
         <!-- Windows 8.1 -->
         <supportedOS Id="{1f676c76-80e1-4239-95bb-83d0f6d0da78}"/>
         <!-- Windows 8 -->
         <supportedOS Id="{4a2f28e3-53b9-4441-ba9c-d69d4a4a6e38}"/>
         <!-- Windows 7 -->
         <supportedOS Id="{35138b9a-5d96-4fbd-8e2d-a2440225f93a}"/>
         <!-- Windows Vista and Windows Server 2008 R2 -->
         <supportedOS Id="{e2011457-1546-43c5-a5fe-008deee3d3f0}"/>
         <!-- Windows XP ignores this section -->
      </application>
   </compatibility>
	<dependency>
		<dependentAssembly>
			<assemblyIdentity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0"
            processorArchitecture="*" publicKeyToken="6595b64144ccf1df" language="*" />
		</dependentAssembly>
	</dependency>
</assembly>

build.ch que uso, atualizado automaticamente na compilação, o rc faz uso no #include 'build.ch"

Código: Selecionar todos

#define JOSEQUINTAS_VERSAO    "2025.03.20.1850"
#define JOSEQUINTAS_VERSAO_RC  2503,20,18,50

Se quiser adicionar dialog em resource no rc

Código: Selecionar todos

#include <afxres.h>

Teve uma época que eu compilava com BCC, MSVC e MINGW.
Desse jeito funcionava em todos.

Mensagem por **JoséQuintas** » 20 Mar 2025 19:38

Sobre o upx, veja neste link, nunca deixei de usar

http://pctoledo.com.br/forum/viewtopic.php?f=39&t=28223