Antivirus Faux positif dans mon exécutable

je viens de rencontrer un problème ennuyeux. Soudainement Avira Antivirir a commencé à signaler un exécutable de mon logiciel comme étant un virus.

comme l'action par défaut de presque n'importe quel utilisateur est de cliquer OK et Avira suggère de mettre le virus en quarantaine, la plupart de mes utilisateurs suppriment cet exécutable.

ne soyons pas arrogants et vérifions si Je ne suis pas infecté. J'ai posté le dossier à http://www.virustotal.com et de tous les anti-virus seulement Avira signale qu'il est infecté. De plus, j'ai scanné mon ordinateur avec deux anti virus et il est propre.

j'ai déjà posté un mail à mes utilisateurs expliquant ce qui se passe, mais c'est un frais généraux à mon support que je ne veux vraiment pas.

OK, la question Est: y a-t-il un moyen d'éviter ce genre de comportement? Je ne peux pas penser autrement que signer les fichiers., (Je ne sais pas vraiment si ça résoudrait le problème) mais voyons si vous avez une idée créative.

35
demandé sur menjaraz 2010-07-27 01:28:19

6 réponses

il est étonnamment courant que les applications Delphi soient signalées comme (potentiellement) nuisibles par les applications AV. Il m'est arrivé il ya quelque temps, en utilisant Delphi 2009, voir http://en.wikipedia.org/wiki/Wikipedia:Reference_desk/Archives/Computing/2010_March_20#Delphi.2FAVG_Issue .

, DONC, nous avons aussi

et bien d'autres.

il pourrait s'agir du Induc Virus . Mais très probablement, c'est un faux positif.

27
répondu Andreas Rejbrand 2017-05-23 11:54:56

la réponse D'Andreas est excellente; cela arrive beaucoup aux applications Delphi.

le code de signature ne fait aucune différence -- J'ai eu NOD32 jeter les faux positifs sur le code Delphi signé.

S'il y avait des techniques permettant d'éviter les faux positifs, les auteurs du virus les utiliseront pour éviter la détection.

j'ai trouvé le meilleur plan d'action est, malheureusement, réactif plutôt que proactif. Tous les vendeurs AV ont un établissement de rapport sur les faux positifs, et je l'ai trouvé à être sensible aux rapports.

22
répondu glob 2010-07-27 00:53:47

de nombreux développeurs honnêtes ont des problèmes en raison de logiciels antivirus imprudents. Voir aussi: comment prévenir la fausse alerte de virus positive sur mon logiciel?

Imaginez que pour chaque faux positif qu'ils montrent, vous perdez un client possible. Les programmeurs devraient prendre des mesures contre ces produits antivirus et les forcer à être plus prudent sur les fausses alarmes positives, même pour obtenir un certain revenu pour les ventes nous perdre à cause d'eux.

mise à jour:

Récemment, j'ai observé que:

  • nombre de faux positifs sur VirusTotal.com est beaucoup plus élevé lorsque le programme est compilé en mode "Release" (avec des optimisations du compilateur) que lorsqu'il est compilé en mode "Debug".
  • détection de fusées sky lors de L'utilisation D'EurekaLog.

alors, soumettez-vous à VirusTotal devant vous publier votre programme!

4
répondu Everybody_hates_BillTheLizard 2017-06-02 09:28:58

comme solution, vous pouvez vouloir:

1 - Vérifiez votre compilateur Delphi n'est pas infecté

2-Vérifiez que vos sources et bibliothèques ne sont pas tempérées avec (qui était le mode opératoire pour le Induc Virus )

3-Vérifiez votre exe (garanti) propre avec L'AVs. S'ils signalent un faux positif, contactez-les pour qu'ils puissent corriger leurs tests.

4-Si vous besoin de distribuer avant qu'il n'y ait une chance de corriger L'AVs, signer votre exe, afin que vos utilisateurs pourraient vérifier qu'il est propre.

3
répondu François 2010-07-27 00:45:18

il y a plusieurs raisons pour lesquelles un produit antiviral peut déclencher un exe produit par Delphi, quelques raisons courantes sont:

  • beaucoup de virus sont écrits en Delphi et donc votre exe pourrait avoir des parties de code qui ressemblent aux virus existants.
  • la table d'importation de votre programme est utilisé pour déterminer ce que votre exe pourrait faire, par exemple lien vers la gestion des justificatifs d'identité ou la gestion de disque les fonctions déclenchent quelques AV.

comme suggéré avant d'essayer de numériser votre version de publication avec des services en ligne tels que Virustotal ou Jotti et toujours signaler vos faux positifs aux vendeurs au lieu d'essayer d'empêcher d'être un faux positif. Mon expérience est que les vendeurs AV réagissent assez rapidement sur la soumission.

3
répondu Remko 2010-07-27 07:21:20

dans les groupes libres Pascal/Lazarus et bugtracker, de tels messages se produisent presque chaque version et/ou mois.

nous conseillons généralement aux utilisateurs d'ignorer tous les types de numérisation" générique "ou" heuristique", et de s'en tenir à la numérisation basée sur la signature (comme le font la plupart des virusscanners d'entreprise).

c'est parce que c'est presque toujours une alarme heuristique, jamais de malware spécifique. Cela peut être facilement vu dans le fait que le "virus/cheval de Troie" détecté est presque toujours de le "générique" de type. Habituellement, les virusscanners sont également des virusscanners "maison" typique, ou les Éditions Maison de virusscanners généraux (Norton utilisé pour être particulièrement mauvais, de nos jours, il principalement la petite échelle "bon marché" à la maison utilisation des scanners)

Cependant, nous communiquons surtout avec les développeurs, et avons déjà du mal à faire passer ce message. Je peux imaginer, lors de la distribution aux utilisateurs finaux ignorants, il s'agit d'un message très difficile à communiquer.

Still, il n'y a pas d'autre moyen.

3
répondu Marco van de Voort 2010-07-27 10:08:51