Versehentlich einen Virus erstellt?

Question

Ich habe es ziemlich oft gesehen passieren: Ich schreibe eine Anwendung in Delphi und wenn ich es kompilieren, das Virus-Scanner sagt mir, dass ich einen Virus erstellt haben und löscht dann sofort die ausführbare Datei erneut. Es ist ärgerlich, aber angemessen leicht zu beheben, indem Sie einen vollständigen Neuaufbau tun, löschen Sie die * .dcu Dateien zuerst und manchmal einfach zu warten.

Es passiert mit Delphi 6, 7, 2005 und 2007, soweit ich weiß. Und Symantec, Kaspersky, McAfee und NOD32 haben alle schuldig gewesen, diese Fehlalarme zu melden. Ich weiß, es ist, weil Delphi Zeitstempel in seine DCU-Dateien hinzufügt und diese Zeitstempel am Ende in die endgültige ausführbare und scheinbar scheinen Teil einer zufälligen Virensignatur zu sein.

Ich will nicht den Virus-Scanner deaktivieren, nicht einmal für einen einzelnen Ordner oder eine Datei. Und ich bin nicht wirklich eine Lösung, aber ich frage mich, über die folgenden Möglichkeiten:

• Haben diese Fehlalarme auch mit anderen Compilern auftreten?
• Ist es auch mit .NET ausführbaren Dateien geschehen?
• Sie bemerken auch andere ähnliche Probleme mit Delphi?

Answer 1

  

Haben diese Fehlalarme auch auftreten,   mit anderen Compilern?

Ja, das ist ist ein weit verbreitetes Problem in der Vergangenheit für AutoIt wie in diesem Forum posten adressiert < a href = "http://www.autoitscript.com/forum/index.php?showtopic=34658" rel = "noreferrer"> "Sind meine AutoIt EXE-Dateien infiziert wirklich?" . In den meisten Fällen einschließlich AutoIt es aus armen heuristischen Praktiken stammt. Da AutoIt die freie und offene UPX Kompressor, ist es oft fälschlicherweise für bösartigen Code, der auch verwendet UPX .

Die beste (und möglicherweise nur), was man tun kann, ist, diese Fehler zu melden, damit sie ihre Heuristiken verfeinern oder zumindest weiße Liste Ihrer Anwendung.

Im Folgenden finden Sie eine Liste der Kontaktinformationen für einige bekannte Anti-Viren-Unternehmen. Sie alle behaupten, Eingaben zu schätzen, da es hilft ihnen, ihr Produkt besser zu machen.

• AntiVir - Kontakt
• A2 (A-Squared) - Kontakt (E-Mail-Adresse)
• Avast ! - Kontakt
• AVG - Kontakt
• BitDefender - Kontakt
• Bullguard - Kontakt
• CA Anti-Virus - Kontakt
• ClamAV - Kontakt
• ClamWin - Kontakt
• Comodo - Kontakt
• ESET NOD32 - Kontakt
• eSafe - Kontakt (Login erforderlich)
• Fortinet - Kontakt
• F-Prot - Kontakt
• F-Secure - Kontakt
• G-Data - Kontakt
• Kaspersky - Kontakt
• McAfee - Kontakt (E-Mail-Adresse)
• Norman - Kontakt (E-Mail-Adresse)
• Panda Anti-Virus - Kontakt
• Sophos - Kontakt
• Symantec (Norton) - Kontakt
• Vipre - Kontakt
• Windows Live OneCare - Kontakt
• Zonelabs - Kontakt

Es stellt sich heraus gibt es eine große Liste von AV-Software auf wikipedia, ‚Liste der Antiviren-Software‘ genannt . Es ist vollständiger als meine Liste oben.

Ein Mitglied der Autoit Foren gemacht

Answer 2

Klingt eher wie eine heuristische verschraubte bis zu mir. Haben Sie Heuristik eingeschaltet (einige Scanner, um es als „Virus-like-Code“ beziehen)? Die Chancen, dass Zeitstempel entspräche „ein Teil von einiger Virus-Signatur“ zu klein scheint die ganze Zeit zu sein geschieht.

Als ich noch einen Virenscanner laufen zu lassen, habe ich nie gesehen, dieses Problem mit D6 oder D7.

Es ist in der Tat Delphi-Virus in freier Natur finden Sie unter http: //www.sophos .com / blogs / Sophos /? p = 6117

Ja, hat mein Team erlebt vielleicht ein halbes Dutzend Mal in 2-3 Jahren mit Sophos in einer Unternehmensumgebung. Also, sehr selten, aber es passiert.

Unsere IT Kretin begann anspruchsvolle ich alle 1.5M Codezeilen in unserer App „es weggehen“ überprüfen, aber er nicht zu haben bekommen weit diese Linie verfolgt ...

Um fair zu sein, er war zunächst besorgt, dass unsere Kunden auch eine solche Warnung erhalten könnte, aber wir haben nur je gesehen es ausgelöst wird, wenn eine exe aus dem IDE-Gebäude auf einem Entwickler-PC, nie auf einem Release-Build exe auf ein Testbox oder anderswo.

Persönlich es passiert so selten uns darüber keine Sorgen.

Ich habe es mit entfalteten Code mir passieren. Das nächste Update mit dem Scanner das Problem gelöst. Einige Kretin schrieb einen Virus mit dem gleichen Compiler und die Unterschrift war ein Teil der Laufzeitbibliothek, nicht wirklich in der feindlichen Code.

Das ist nicht ungewöhnlich, dass bei der Verwendung von Nicht-Standard-Compiler oder wenn fancy stuff Low-Level zu tun: Ich erinnere mich, falsche positive Ergebnisse, wenn ich in OS-Entwicklung dabbled. AntiVir nicht einige meiner Wohnung Binärdateien mochte

In letzter Zeit wird es einen Beitrag über ein solches Problem bei der tinyCC Mailingliste AVG regading.

Ich habe noch nie gesehen, haben viele C ++ und .NET-Entwicklung mit Visual Studio durchgeführt (ab Version 1.5 bis 2010).

Ich habe nur diese mit Monteuren geschehen gesehen. Zum Beispiel MASM32 warnt tatsächlich Menschen, dass es Virenscannern auslösen könnte, da die EXE-Dateien so klein sind (und / oder einige Viren sind in Assembler geschrieben). Mein McAfee Scanner einige der Beispielprogramme wie Viren Liste steht.

Dies ist nur für Viren-Scanner passieren sollte, dass eine haben „verdächtig aussieht“ Analysemodus.

In einigen Anwendungen, wenn ich RtlVclOptimize.pas verwenden, die Avira Antivirus sagen, dass ich einen Virus geschaffen haben.

und auf das, was others'v sagte, moderne Anti-Virus-Programme steigen Virus-Warnung, wenn Ihre Programme einige „verdächtige“ APIs auch verwendet (wie URLdownloadFile oder andere API Einhaken Zusammenhang sind). wenn Sie "delphi RAT FUD API nicht nachweisbar" google finden Sie viele interessante Themen finden.

Einige Antiviren-Programme kennzeichnen auch eine Batch-Datei als Virus und können nicht davon überzeugt sein, dass es nicht ist. Sehr ärgerlich, wenn die Datei Teil eines Dritten Bibliothek ist und die Virus-Warnung ausgelöst wird, jedes Mal, TortoiseSVN es auscheckt. Ich beendete den Virenscanner zu deaktivieren, löschen Sie die Datei und tun ein begehen. (Ohne die Scanner zu deaktivieren, konnte ich nicht einmal, dass :-( tun)

Ein paar Jahre zurück, jedes Mal wenn wir die GNU-Linker aus mingw Quellen aktualisiert und begann es mit unserem Compiler verteilen, haben wir einige Berichte, dass Virenscanner ld.exe als Virus klassifiziert. (.Exes Schreiben .exes ...)

Ich würde es nicht ein „falsch positiv“, denn streng genommen ist es nicht falsch ist, und die Antiviren-Software ist nicht „schuldig“ nichts in irgendeiner Weise.

Ich bin 99% sicher, dass dies die heuristische Analyse handeln up ist (ich wette, es die ausführbare Datei als etwas entlang der Linien von win32.virus.generic erkennt - beachten Sie die generic , das a unterzeichnen, dass dies nicht in seiner Unterzeichnung db ist, sondern wurde durch die Heuristik erkannt) und mit dem sein heuristischen und alle, ist es nicht geben Ihnen jede Art von Garantie, dass alles, was er findet bösartig ist, macht es nur irgendwie davon Sie bekannt, dass die ausführbare Datei verdächtig ist aus seiner Sicht .

Die einfachste Lösung dieses Problems wäre nur eine Ausnahme für die Datei mit Namen hinzugefügt (es ist immer der gleiche Name, nicht wahr?). Wenn Sie mit dieser unbequem sind, sollten Sie wahrscheinlich machen Sie Ihre Anti-Virus-Software, die Sie auffordern, bevor es beginnt, so können Sie es Ihre Datei manuell vornehmen überspringen.

In der Regel habe ich Codierung in Fenstern mit Antivirus-Software etwas irritierend (tut es nicht viel heutzutage, aber immer noch), vor allem, wenn das genannte Software in „paranoid-Modus“ ist. Irritierend, wie es ist, aber es ist unvermeidlich (IMO).

Es geschah zu mir. Einhaken Tastatur wird fast jede heuristische Scan AV-Software auslösen einen Key-Logger zu melden. Es gibt wahrscheinlich viele andere Systemaufrufe, die es auch auslösen. Lösung -. Versuchen, Ihren Code oder kontaktieren Sie die AV-Hersteller neu zu gestalten Ihre Software in Ausnahmeliste enthält

Ich erinnere mich an einem anderen seltsamen ein:

Eine Datei wurde als verdächtig markiert. Das einzige, was die Datei war ein OBJ! Ein .EXE, die den Code der OBJ enthaltenen enthalten war kein Problem betrachtet.

Wenn Sie Probleme mit falschen Positiven haben, gibt es Virustotal Online-Service dass können Sie Ihre Datei gegen die Anzahl von Antivirenprogrammen helfen, überprüfen.
Es ist kostenlos Service und zur Zeit kann es Antiviruskontrolle mit fast 40 Antivirenprogrammen ausgeführt werden.

VS Platform Toolset 2010 rendert mein einfaches Programm wird als Viren erkannt. Ändern des Toolset auf VS 2013 löst es.

Es schafft nur ein HttpWebRequest und schreibt das Ergebnis in eine Datei.

Answer 3

Klingt eher wie eine heuristische verschraubte bis zu mir. Haben Sie Heuristik eingeschaltet (einige Scanner, um es als „Virus-like-Code“ beziehen)? Die Chancen, dass Zeitstempel entspräche „ein Teil von einiger Virus-Signatur“ zu klein scheint die ganze Zeit zu sein geschieht.

Als ich noch einen Virenscanner laufen zu lassen, habe ich nie gesehen, dieses Problem mit D6 oder D7.

Answer 4

Es ist in der Tat Delphi-Virus in freier Natur finden Sie unter http: //www.sophos .com / blogs / Sophos /? p = 6117

Answer 5

Ja, hat mein Team erlebt vielleicht ein halbes Dutzend Mal in 2-3 Jahren mit Sophos in einer Unternehmensumgebung. Also, sehr selten, aber es passiert.

Unsere IT Kretin begann anspruchsvolle ich alle 1.5M Codezeilen in unserer App „es weggehen“ überprüfen, aber er nicht zu haben bekommen weit diese Linie verfolgt ...

Um fair zu sein, er war zunächst besorgt, dass unsere Kunden auch eine solche Warnung erhalten könnte, aber wir haben nur je gesehen es ausgelöst wird, wenn eine exe aus dem IDE-Gebäude auf einem Entwickler-PC, nie auf einem Release-Build exe auf ein Testbox oder anderswo.

Persönlich es passiert so selten uns darüber keine Sorgen.

Answer 6

Ich habe es mit entfalteten Code mir passieren. Das nächste Update mit dem Scanner das Problem gelöst. Einige Kretin schrieb einen Virus mit dem gleichen Compiler und die Unterschrift war ein Teil der Laufzeitbibliothek, nicht wirklich in der feindlichen Code.

Answer 7

Das ist nicht ungewöhnlich, dass bei der Verwendung von Nicht-Standard-Compiler oder wenn fancy stuff Low-Level zu tun: Ich erinnere mich, falsche positive Ergebnisse, wenn ich in OS-Entwicklung dabbled. AntiVir nicht einige meiner Wohnung Binärdateien mochte

In letzter Zeit wird es einen Beitrag über ein solches Problem bei der tinyCC Mailingliste AVG regading.

Answer 8

Ich habe noch nie gesehen, haben viele C ++ und .NET-Entwicklung mit Visual Studio durchgeführt (ab Version 1.5 bis 2010).

Answer 9

Ich habe nur diese mit Monteuren geschehen gesehen. Zum Beispiel MASM32 warnt tatsächlich Menschen, dass es Virenscannern auslösen könnte, da die EXE-Dateien so klein sind (und / oder einige Viren sind in Assembler geschrieben). Mein McAfee Scanner einige der Beispielprogramme wie Viren Liste steht.

Dies ist nur für Viren-Scanner passieren sollte, dass eine haben „verdächtig aussieht“ Analysemodus.

Answer 10

In einigen Anwendungen, wenn ich RtlVclOptimize.pas verwenden, die Avira Antivirus sagen, dass ich einen Virus geschaffen haben.

Answer 11

und auf das, was others'v sagte, moderne Anti-Virus-Programme steigen Virus-Warnung, wenn Ihre Programme einige „verdächtige“ APIs auch verwendet (wie URLdownloadFile oder andere API Einhaken Zusammenhang sind). wenn Sie "delphi RAT FUD API nicht nachweisbar" google finden Sie viele interessante Themen finden.

Answer 12

Einige Antiviren-Programme kennzeichnen auch eine Batch-Datei als Virus und können nicht davon überzeugt sein, dass es nicht ist. Sehr ärgerlich, wenn die Datei Teil eines Dritten Bibliothek ist und die Virus-Warnung ausgelöst wird, jedes Mal, TortoiseSVN es auscheckt. Ich beendete den Virenscanner zu deaktivieren, löschen Sie die Datei und tun ein begehen. (Ohne die Scanner zu deaktivieren, konnte ich nicht einmal, dass :-( tun)

Answer 13

Ein paar Jahre zurück, jedes Mal wenn wir die GNU-Linker aus mingw Quellen aktualisiert und begann es mit unserem Compiler verteilen, haben wir einige Berichte, dass Virenscanner ld.exe als Virus klassifiziert. (.Exes Schreiben .exes ...)

Answer 14

Ich würde es nicht ein „falsch positiv“, denn streng genommen ist es nicht falsch ist, und die Antiviren-Software ist nicht „schuldig“ nichts in irgendeiner Weise.

Ich bin 99% sicher, dass dies die heuristische Analyse handeln up ist (ich wette, es die ausführbare Datei als etwas entlang der Linien von win32.virus.generic erkennt - beachten Sie die generic , das a unterzeichnen, dass dies nicht in seiner Unterzeichnung db ist, sondern wurde durch die Heuristik erkannt) und mit dem sein heuristischen und alle, ist es nicht geben Ihnen jede Art von Garantie, dass alles, was er findet bösartig ist, macht es nur irgendwie davon Sie bekannt, dass die ausführbare Datei verdächtig ist aus seiner Sicht .

Die einfachste Lösung dieses Problems wäre nur eine Ausnahme für die Datei mit Namen hinzugefügt (es ist immer der gleiche Name, nicht wahr?). Wenn Sie mit dieser unbequem sind, sollten Sie wahrscheinlich machen Sie Ihre Anti-Virus-Software, die Sie auffordern, bevor es beginnt, so können Sie es Ihre Datei manuell vornehmen überspringen.

In der Regel habe ich Codierung in Fenstern mit Antivirus-Software etwas irritierend (tut es nicht viel heutzutage, aber immer noch), vor allem, wenn das genannte Software in „paranoid-Modus“ ist. Irritierend, wie es ist, aber es ist unvermeidlich (IMO).

Answer 15

Es geschah zu mir. Einhaken Tastatur wird fast jede heuristische Scan AV-Software auslösen einen Key-Logger zu melden. Es gibt wahrscheinlich viele andere Systemaufrufe, die es auch auslösen. Lösung -. Versuchen, Ihren Code oder kontaktieren Sie die AV-Hersteller neu zu gestalten Ihre Software in Ausnahmeliste enthält

Answer 16

Ich erinnere mich an einem anderen seltsamen ein:

Eine Datei wurde als verdächtig markiert. Das einzige, was die Datei war ein OBJ! Ein .EXE, die den Code der OBJ enthaltenen enthalten war kein Problem betrachtet.

Answer 17

Wenn Sie Probleme mit falschen Positiven haben, gibt es Virustotal Online-Service dass können Sie Ihre Datei gegen die Anzahl von Antivirenprogrammen helfen, überprüfen.
Es ist kostenlos Service und zur Zeit kann es Antiviruskontrolle mit fast 40 Antivirenprogrammen ausgeführt werden.

Answer 18

VS Platform Toolset 2010 rendert mein einfaches Programm wird als Viren erkannt. Ändern des Toolset auf VS 2013 löst es.

Es schafft nur ein HttpWebRequest und schreibt das Ergebnis in eine Datei.