Антивирус ложный положительный в моем исполняемом файле

Question

Я только что столкнулся с досадной проблемой.Внезапно Avira AntiVir начал помечать один исполняемый файл из моего программного обеспечения как вирус.

Поскольку действие по умолчанию практически любого пользователя заключается в нажатии OK, а Avira предлагает поместить вирус в карантин, большинство моих пользователей удаляют этот исполняемый файл.

Ну, давайте не будем высокомерны и проверим, действительно ли я не заражен.Я разместил файл на http://www.virustotal.com и из всех антивирусов только Avira помечает его как зараженный.Кроме того, я проверил свой компьютер двумя разными антивирусами, и он чист.

Я уже отправил пользователям письмо с объяснением того, что происходит, но это лишняя поддержка моей поддержки, которую я действительно не хочу.

Хорошо, вопрос такой: есть ли способ избежать такого поведения?Я не могу думать иначе, как подписывать файлы (не знаю, решит ли это все), но давайте посмотрим, есть ли у вас креативная идея.

Answer 1

Удивительно часто, что приложения Delphi считаются (потенциально) вредными для приложений AV.Это случилось со мной некоторое время назад, используя Delphi 2009, см. http://en.wikipedia.org/wiki/Wikipedia:Reference_desk/Archives/Computing/2010_March_20#Delphi.2FAVG_Issue.

В SO у нас также есть

• Вирус в Delphi 7
• Случайно создан вирус?

и многие другие.

Это может быть фактический вирус Induc .Но, скорее всего, это ложное срабатывание.

Answer 2

Андреас отлично ответил;это часто случается с приложениями Delphi.

Код подписи не имеет значения - у меня NOD32 выдавал ложные срабатывания на код со знаком Delphi.

Если были какие-либо методы, которыеизбегать ложноположительных результатов, авторы вирусов будут использовать их, чтобы избежать обнаружения.

Я обнаружил, что лучший способ действий, к сожалению, скорее реактивный, чем проактивный.Все поставщики аудио-видео имеют возможность сообщать о ложных срабатываниях, и я обнаружил, что они реагируют на сообщения.

Answer 3

У многих честных разработчиков проблемы из-за неосторожного антивирусного программного обеспечения.См. Также: Как предотвратить ложное срабатывание вирусов на моем программном обеспечении?

Представьте себе, что при каждом ложном срабатывании, которое они показывают, вы теряете возможного покупателя.Программисты должны принять меры против таких антивирусных продуктов и заставить их быть более осторожными в отношении ложно-положительных сигналов тревоги, даже чтобы получить некоторую прибыль от продаж, которые мы теряем из-за них.

Обновление:
Недавно я заметил, что:

• Количество ложных срабатываний на VirusTotal.com НАМНОГО выше, когда программа компилируется в «Режим выпуска» (с компиляторомоптимизации) затем, когда он скомпилирован в «режиме отладки».
• Обнаружение небесных ракет при использовании EurekaLog.

Итак, отправьте запрос в VirusTotal, прежде чем публиковать свою программу!

Answer 4

В группах Free Pascal / Lazarus и bugtracker такие сообщения появляются почти каждый релиз и / или месяц.

Мы обычно советуем пользователям игнорировать все "общие" или "эвристические" типы сканирования и придерживаться сканирования на основе сигнатур (как это делают большинство корпоративных вирусов).

Это потому, что это почти всегда эвристические тревоги, а не конкретные вредоносные программы. Это можно легко увидеть по тому факту, что обнаруженный «вирус / троян» почти всегда имеет «общий» тип. Обычно вирусы-вирусы также являются типичными «домашними» вирусами-сканерами, или домашними изданиями общих вирусов-сканеров (Раньше Нортон был особенно плох, в настоящее время это в основном мелкие «дешевые» сканеры домашнего использования)

Однако мы общаемся в основном с разработчиками и уже испытываем трудности с передачей этого сообщения. Я могу себе представить, что при распространении среди невежественных конечных пользователей это очень сложное сообщение.

Тем не менее другого пути нет.

Answer 5

Существует несколько причин, по которым продукт Anti-Virus может запускаться на исполняемом файле Delphi. Вот несколько общих причин:

• Множество вирусов написано на Delphi, и поэтому ваш exe-файл может содержать некоторые части кода, которые выглядят так же, как существующие вирусы.
• Таблица импорта вашей программы используется для определения того, что ваш exe может делать, например, при подключении к функциям управления учетными данными или управления дисками запускаются некоторые AV.

Как было предложено, прежде чем пытаться сканировать свою версию выпуска с помощью онлайн-сервисов, таких как Virustotal или Jotti , и всегда сообщайте поставщикам о своих ложных срабатываниях, вместо того чтобы пытаться предотвратить ложные срабатывания. Мой опыт показывает, что поставщики аудио-видео довольно быстро реагируют на отправку.

Answer 6

В качестве решения вы можете:

1 - убедиться, что ваш компилятор Delphi не заражен
2 - убедиться, что ваши исходные коды и библиотеки не закалены (это был МО для Induc Вирус )
3 - Проверьте свой (гарантированный) чистый exe с помощью AV.Если они сообщают о ложном срабатывании, свяжитесь с ними, чтобы они могли исправить свои тесты.

4 - Если вам нужно распространить информацию до того, как появится возможность исправить AV, подпишите свой exe, чтобы пользователи могли убедиться, что он чистый.