Antivirus False Positive in meiner ausführbaren Datei
https://stackoverflow.com/questions/3339136
-
29-09-2020 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich bin gerade auf ein nerviges Problem gestoßen.Plötzlich fing Avira AntiVir an, eine ausführbare Datei meiner Software als Virus zu markieren.
Da die Standardaktion fast aller Benutzer darin besteht, auf OK zu klicken, und Avira vorschlägt, den Virus in Quarantäne zu verschieben, löschen die meisten meiner Benutzer diese ausführbare Datei.
Nun, lassen Sie uns nicht überheblich sein und überprüfen, ob ich nicht tatsächlich infiziert bin.Ich habe die Datei auf http://www.virustotal.com gepostet und von allen Antivirenprogrammen kennzeichnet sie nur Avira als infiziert.Außerdem habe ich meinen Computer mit zwei verschiedenen Antivirenprogrammen gescannt und er ist sauber.
Ich habe bereits eine E-Mail an meine Benutzer gesendet, in der ich erkläre, was passiert, aber dies ist ein Overhead für meinen Support, den ich wirklich nicht möchte.
OK, die Frage ist: Gibt es eine Möglichkeit, dieses Verhalten zu vermeiden?Ich kann an nichts anderes denken, als die Dateien zu signieren (ich weiß nicht wirklich, ob es sich lösen würde), aber mal sehen, ob Sie eine kreative Idee haben.
Lösung
Es ist überraschend häufig, dass Delphi-Anwendungen von AV-Anwendungen als (potenziell) schädlich gemeldet werden.Es ist mir vor einiger Zeit passiert, als ich Delphi 2009 benutzte, siehe http://en.wikipedia.org/wiki/Wikipedia:Reference_desk/Archives/Computing/2010_March_20#Delphi.2FAVG_Issue.
Bei SO haben wir auch
und viele mehr.
Es könnte die tatsächliche Induc-Virus sein. Aber höchstwahrscheinlich ist es ein falsch positives Ergebnis.
Andere Tipps
Die Antwort von Andreas ist ausgezeichnet;Es passiert einfach viel mit Delphi-Anwendungen.
Das Signieren von Code macht keinen Unterschied - NOD32 hat bei signiertem Delphi-Code falsch positive Ergebnisse ausgegeben.
Wenn es irgendwelche Techniken gäbe, die Fehlalarme vermeiden würden, würden Virenautoren sie verwenden, um eine Erkennung zu vermeiden.
Ich habe festgestellt, dass die beste Vorgehensweise leider eher reaktiv als proaktiv ist.Alle AV-Anbieter haben die Möglichkeit, Fehlalarme zu melden, und ich habe festgestellt, dass sie auf Meldungen reagieren.
Es gibt mehrere Gründe, warum ein Antivirenprodukt auf einer von Delphi erstellten Exe ausgelöst werden kann. Einige häufige Gründe sind:
- Viele Viren werden in Delphi geschrieben, und daher kann Ihre exe-Datei einige Codeteile enthalten, die genauso aussehen wie vorhandene Viren.
- Die Importtabelle Ihres Programms wird verwendet, um zu bestimmen, was Ihre exe tun könnte , zum Beispiel löst das Verknüpfen mit Funktionen zur Verwaltung von Anmeldeinformationen oder zur Datenträgerverwaltung einige AVs aus.
Versuchen Sie, wie zuvor vorgeschlagen, Ihre Release-Version mit Online-Diensten wie Virustotal oder Jotti zu scannen, und melden Sie Ihre Fehlalarme immer den Anbietern, anstatt zu versuchen, zu verhindern, dass es sich um Fehlalarme handelt.Meine Erfahrung ist, dass AV-Anbieter ziemlich schnell auf die Einreichung reagieren.
Viele ehrliche Entwickler haben Probleme wegen unvorsichtiger Antivirensoftware. Siehe auch: Wie kann ich einen falschen positiven Virenalarm in meiner Software verhindern?
Stellen Sie sich vor, dass Sie für jedes falsch positive Ergebnis, das sie zeigen, einen möglichen Kunden verlieren.Programmierer sollten Maßnahmen ergreifen gegen solche Antivirus-Produkte vorgehen und sie dazu zwingen, bei Fehlalarmen vorsichtiger zu sein, sogar um einen Teil der Einnahmen für die Verkäufe zurückzubekommen, die wir dadurch verlieren.
Aktualisieren: Kürzlich habe ich Folgendes beobachtet:
- Die Anzahl der Fehlalarme auf VirusTotal.com ist VIEL höher, wenn das Programm im „Release-Modus“ (mit Compiler-Optimierungen) kompiliert wird, als wenn es im „Debug-Modus“ kompiliert wird.
- Die Erkennung schießt in die Höhe, wenn EurekaLog verwendet wird.
Reichen Sie also VirusTotal ein, bevor Sie Ihr Programm veröffentlichen!
Aktualisierung 2019: Leider bleibt auch InnoSetup nicht verschont.Ich habe mit InnoSetup ein Dummy-Installationsprogramm erstellt und es auf VirusTotal hochgeladen.5 von 52 Programmen berichtet falsch positiv!Update über Update: Jetzt wurde die Anzahl der Fehlalarme auf 9 erhöht!
Als Lösung können Sie Folgendes tun:
1 - Stellen Sie sicher, dass Ihr Delphi-Compiler nicht infiziert ist 2 - Stellen Sie sicher, dass Ihre Quellen und Bibliotheken nicht gemildert sind (das war das MO für Induc Virus) 3 - Überprüfen Sie Ihre (garantiert) saubere exe mit den AVs.Wenn sie ein falsches Positiv melden, kontaktieren Sie sie, damit sie ihre Tests korrigieren können.
4 - Wenn Sie verteilen müssen, bevor Sie die AVs korrigieren können, signieren Sie Ihre exe, damit Ihre Benutzer überprüfen können, ob sie sauber ist.
In Free Pascal/Lazarus-Gruppen und Bugtrackern treten solche Meldungen fast in jedem Release und/oder Monat auf.
Wir raten Benutzern im Allgemeinen, alle „generischen“ oder „heuristischen“ Scan-Typen zu ignorieren und beim signaturbasierten Scannen zu bleiben (wie es die meisten Virenscanner in Unternehmen tun).
Dies liegt daran, dass es sich fast immer um heuristische Alarme handelt, niemals um spezifische Malware.Dies ist leicht daran zu erkennen, dass der erkannte „Virus/Trojaner“ fast immer vom Typ „generisch“ ist.Üblicherweise sind die Virenscanner auch typische "Home"-Virenscanner oder Home-Editionen von allgemeinen Virenscannern (früher war Norton besonders schlecht, heute sind es meist die kleineren "billigen" Home-Use-Scanner)
Wir kommunizieren jedoch hauptsächlich mit Entwicklern und haben bereits Probleme, diese Botschaft zu vermitteln.Ich kann mir vorstellen, dass dies bei der Verteilung an ahnungslose Endbenutzer eine wirklich schwierige Botschaft ist.
Trotzdem geht es nicht anders.
