Антивирус False positive в моем исполняемом файле

Question

Антивирус False positive в моем исполняемом файле

Я просто столкнулся с досадной проблемой. Вдруг!--1-->Avira AntiVir начал отмечать один исполняемый файл из моего программного обеспечения как вирус.

как действие по умолчанию от почти любого пользователя, чтобы нажать OK и Avira предлагает поставить вирус в карантине большинство моих пользователей удаляют этот исполняемый файл.

ну, давайте не будем высокомерными и проверим, действительно ли я не заражен. Я отправил файл вhttp://www.virustotal.com и из всего антивируса только Avira помечает его как зараженный. Кроме того, я сканировал свой компьютер с двумя различными антивирусами, и он чист.

Я уже отправил письмо своим пользователям, объясняя, что происходит, но это накладные расходы на мою поддержку, которые я действительно не хочу.

хорошо, вопрос в том, есть ли способ избежать такого поведения? Я не могу думать иначе, чем подписывать файлы (не знаю, решит ли это), но давайте посмотрим, есть ли у вас какие-либо творческая идея.

35

antivirus delphi delphi-7 executable false-positive

автор: menjaraz

6 ответов

автор: Andreas Rejbrand · Accepted Answer · 2017-05-23 11:54:56

удивительно часто, что приложения Delphi сообщаются как (потенциально) вредные AV-приложениями. Это случилось со мной некоторое время назад, используя Delphi 2009, см. http://en.wikipedia.org/wiki/Wikipedia:Reference_desk/Archives/Computing/2010_March_20#Delphi.2FAVG_Issue.

в SO, у нас также есть

и много больше.

Это может быть реальная Induc Вирус. Но скорее всего, это ложное срабатывание.

автор: glob · Accepted Answer · 2010-07-27 00:53:47

ответ Андреаса превосходен; это просто происходит много с приложениями Delphi.

подписание кода не имеет никакого значения - у меня был NOD32 бросать ложные срабатывания на подписанный код Delphi.

Если были какие-либо методы, которые позволили бы избежать ложных срабатываний, авторы вирусов будут использовать их, чтобы избежать обнаружения.

Я нашел лучший курс действий, к сожалению, реактивный, а не проактивный. У всех поставщиков AV есть возможность сообщить о false положительные, и я обнаружил, что они реагируют на сообщения.

автор: Everybody_hates_BillTheLizard · Accepted Answer · 2017-06-02 09:28:58

многие честные разработчики имеют проблемы из-за неосторожного антивирусного программного обеспечения. См. также:Как предотвратить ложноположительный сигнал тревоги вируса на моем программном обеспечении?

представьте, что за каждый ложный позитив, который они показывают, вы теряете возможного клиента. Программисты должны принять меры против таких антивирусных продуктов и заставить их быть более осторожными о ложных положительных сигналов тревоги, даже получить некоторый доход обратно для продаж мы теряем из-за них.

обновление:
Недавно я заметил, что:

количество ложных срабатываний на VirusTotal.com гораздо выше, когда программа компилируется, это "режим выпуска" (с оптимизацией компилятора), а затем, когда она компилируется в "режиме отладки".
обнаружение небо ракеты, когда EurekaLog используется.

Итак, отправьте VirusTotal, прежде чем публиковать свою программу!

автор: François · Accepted Answer · 2010-07-27 00:45:18

в качестве решения вы можете:

1-Убедитесь, что ваш компилятор Delphi не заражен
2-Убедитесь, что ваши источники и библиотеки не закалены (это был М. О. для Induc вирус)
3-Проверьте свой (гарантированный) чистый exe с помощью AVs. Если они сообщают о ложном положительном, свяжитесь с ними, чтобы они могли исправить свои тесты.

4-Если вам нужно распространять, прежде чем есть шанс исправить AVs, подпишите exe, поэтому чтобы ваши пользователи могли убедиться, что он чист.

автор: Remko · Accepted Answer · 2010-07-27 07:21:20

Существует несколько причин, по которым антивирусный продукт может запускаться на exe-файле Delphi, несколько распространенных причин:

многие вирусы написаны на Delphi, и поэтому ваш exe может иметь некоторые части кода, которые выглядят так же, как существующие вирусы.
таблица импорта вашей программы используется для определения того, что ваш exe может do, например, ссылка на управление учетными данными или функции управления дисками запускает некоторые АВ.

Как было предложено перед попыткой сканирования версии выпуска с помощью онлайн-сервисов, таких как Virustotal или Jotti и всегда сообщайте о своих ложных срабатываниях поставщикам вместо того, чтобы пытаться предотвратить ложное срабатывание. Мой опыт заключается в том, что поставщики AV реагируют довольно быстро на подачу.

автор: Marco van de Voort · Accepted Answer · 2010-07-27 10:08:51

в бесплатных группах Pascal/Lazarus и bugtracker такие сообщения происходят почти каждый выпуск и / или месяц.

мы обычно советуем пользователям игнорировать все "общие" или "эвристические" типы сканирования и придерживаться сканирования на основе подписи (как и большинство корпоративных virusscanners).

Это потому, что это почти всегда эвристические сигналы тревоги, никогда не конкретные вредоносные программы. Это можно легко увидеть в том, что обнаруженный " вирус / троянец "почти всегда имеет" общий " тип. Обычно virusscanners также являются типичными" домашними " virusscanners или домашними изданиями общих virusscanners (Norton раньше был особенно плохим, в настоящее время это в основном "дешевые" сканеры домашнего использования)

однако мы общаемся в основном с разработчиками,и у нас уже есть проблемы с получением этого сообщения. Я могу себе представить, что при распространении среди невежественных конечных пользователей это действительно трудное сообщение для общения.

тем не менее, другого пути нет.