Антивирусная Ложь, положительная в моем исполняемом файле
Я просто столкнулся с раздражающей проблемой. Внезапно Avira AntiVir начала отмечать один исполняемый файл из моего программного обеспечения, как являющегося вирусом.
Поскольку действие по умолчанию почти от любого пользователя должно нажать "OK", и Avira предлагает поместить вирус в карантин, большинство моих пользователей удаляет этот исполняемый файл.
Ну, давайте не будем высокомерны и проверим, не заражен ли я действительно. Я отправил файл на http://www.virustotal.com, и от всего анти-вируса только Avira отмечает его, как заражено. Кроме того, я просканировал свой компьютер с двумя различными анти-вирусами, и это чисто.
Я уже отправил почту на своих пользователей, объясняющих, что происходит, но это - издержки к моей поддержке, которую я действительно не хочу.
Хорошо, вопрос: существует ли способ избежать этого вида поведения? Я не могу думать никакой путь еще, чем подписание файлов, (действительно не знайте, решило ли это), но давайте посмотрим, есть ли у Вас любая творческая идея.
5 ответов
На удивление часто приложения Delphi сообщаются антивирусными приложениями как (потенциально) вредные. Это случилось со мной некоторое время назад, когда я использовал Delphi 2009, см. http://en.wikipedia.org/wiki/Wikipedia:Reference_desk/Archives/Computing/2010_March_20#Delphi.2FAVG_Issue .
В SO у нас также есть
и многие другие.
Это может быть настоящий Induc Virus . Но скорее всего, это ложное срабатывание.
Андреас ответил превосходно; это часто случается с приложениями Delphi.
Код подписи не имеет никакого значения - у меня были случаи, когда NOD32 выдавал ложные срабатывания на подписанный код Delphi.
Если бы существовали какие-либо методы, позволяющие избежать ложных срабатываний, авторы вирусов использовали бы их, чтобы избежать обнаружения.
Я пришел к выводу, что лучший способ действий, к сожалению, - реактивный, а не проактивный. Все поставщики антивирусов имеют возможность сообщать о ложных срабатываниях, и я обнаружил, что они реагируют на сообщения.
В качестве решения вы можете захотеть:
1 - Убедитесь, что ваш компилятор Delphi не заражен
2 - Убедитесь, что ваши источники и библиотеки не обработаны (это был M.O. для Induc Virus )
3 - Проверьте свой (гарантированно) чистый exe с AV. Если они сообщают о ложном срабатывании, свяжитесь с ними, чтобы они могли исправить свои тесты.
4 - Если вам нужно распространить до того, как появится возможность исправить AV, подпишите свой exe, чтобы ваши пользователи могли убедиться, что он чист.
Существует несколько причин, по которым антивирусный продукт может срабатывать на исполняемом файле, созданном Delphi. Вот несколько наиболее распространенных причин:
- Многие вирусы написаны на Delphi, и поэтому ваш исполняемый файл может иметь некоторые части кода, которые выглядят так же, как существующие вирусы.
- Таблица импорта вашей программы используется для определения того, что ваш exe может делать, например, связывание с функциями управления учетными данными или управления дисками запускает некоторые антивирусные программы.
Как было предложено ранее, попробуйте сканировать свою версию выпуска с помощью онлайн-сервисов, таких как Virustotal или Jotti , и всегда сообщать поставщикам о ложных срабатываниях вместо того, чтобы пытаться предотвратить ложные срабатывания. Мой опыт показывает, что поставщики антивирусных программ довольно быстро реагируют на заявки.
В группах и багтрекере Free Pascal / Lazarus такие сообщения появляются почти каждый выпуск и / или месяц.
Обычно мы советуем пользователям игнорировать все «общие» или «эвристические» типы сканирования и придерживаться сканирования на основе сигнатур (как это делают большинство корпоративных антивирусных сканеров).
Это потому, что это почти всегда эвристические сигналы тревоги, а не конкретное вредоносное ПО. Это легко увидеть по тому факту, что обнаруженный «вирус / троян» почти всегда относится к «универсальному» типу. Обычно антивирусные сканеры также являются типичными «домашними» антивирусными сканерами или домашними версиями обычных антивирусных сканеров (раньше был особенно плох Norton, в настоящее время это в основном меньшие по размеру «дешевые» сканеры для домашнего использования)
. Однако мы общаемся в основном с разработчиками, и уже не можете передать это сообщение. Я могу представить, что при распространении среди невежественных конечных пользователей это сообщение действительно сложно передать.
И все же другого пути нет.