1. дома
  2. Вопрос и ответ
  3. Антивирус False positive в моем исполнении

Антивирус False positive в моем исполнении

2010-07-26 4 views
35

Я просто столкнулся с раздражающей проблемой. Внезапно Avira AntiVir начал отмечать один исполняемый файл из моего программного обеспечения как вирус.Антивирус False positive в моем исполнении

Как действие по умолчанию практически любого пользователя - нажать ОК, и Avira предлагает поместить в карантин вирус, большинство моих пользователей удаляют этот исполняемый файл.

Хорошо, давайте не будем высокомерными и не будем ли я действительно заражен. Я отправил файл в http://www.virustotal.com и из всего антивируса только Avira отмечает его как зараженный. Кроме того, я просмотрел свой компьютер с помощью двух разных антивирусов, и он чист.

Я уже отправил письмо своим пользователям, объяснив, что происходит, но это накладные расходы на мою поддержку, которую я действительно не хочу.

ОК, вопрос в том, есть ли способ избежать такого поведения? Я не могу думать иначе, чем подписывать файлы (не знаю, решит ли он), но давайте посмотрим, есть ли у вас какая-нибудь творческая идея.

источник

2010-07-26 Ricardo Acras

+11

Этот сайт VirusTotal классный! Благодарим за включение ссылки! –

+0

AVG также является недельным антивирусом, который сообщает о множестве ложных срабатываний. Я видел это с моими (чистыми) программами. – Ampere

+0

Мое приложение имеет 0 скорости детекции на Virustotal, но оно помечено как «Троян» Защитника Windows. Очень расстраивает! – delphirules

ответ

27

Удивительно распространено, что приложения Delphi сообщаются как потенциально опасные для AV-приложений. Это случилось со мной некоторое время назад, используя Delphi 2009, см. http://en.wikipedia.org/wiki/Wikipedia:Reference_desk/Archives/Computing/2010_March_20#Delphi.2FAVG_Issue.

В SO, мы также имеем

и многое другое.

Возможно, это действительно Induc Virus. Но, скорее всего, это ложный позитив.

источник

2010-07-26 21:32:19

3

В качестве решения, вы можете:

1 - Проверьте ваш Delphi компилятор не заражен
2 - Убедитесь, ваши источники и библиотеки не закаленные с (это было МО для InducVirus)
3 - Проверьте свой (гарантированный) чистый EXE с помощью AV. Если они сообщают о ложном положительном результате, свяжитесь с ними, чтобы они могли исправить свои тесты.

4 - Если вам необходимо распространять до того, как есть возможность исправить AV-файлы, подпишите exe, чтобы ваши пользователи могли проверить его чистоту.

источник

2010-07-27 00:45:18

+0

Цифровое подписание является хорошим вариантом и предотвращает ложноположительное обнаружение, но большинство разработчиков, таких как я не может позволить себе 200-500 долларов США в год. Иногда программное обеспечение было бесплатным, или иногда они не приносят много дохода, чтобы заплатить 200 долларов США в год. –

+0

Подписание приложений не имеет большого значения времени. Все, что он делает, это сказать * Windows *, что ваше приложение исходит из надежного источника. Вот и все. Антивирусы, как правило, игнорируют это, потому что есть много вирусов, которые, возможно, также были подписаны. –

22

Ответ Андреаса превосходный; это просто случается с приложениями Delphi.

Код подписи не имеет значения. У меня был NOD32, который выдавал ложные срабатывания на подписанный код Delphi.

Если бы были какие-либо методы, которые позволили бы избежать ложных срабатываний, авторы вирусов будут использовать их, чтобы избежать обнаружения.

Я нашел, что лучший способ действий, к сожалению, скорее реактивный, чем активный. У всех поставщиков AV есть возможность сообщать о ложных срабатываниях, и я обнаружил, что они реагируют на отчеты.

источник

2010-07-27 00:53:47 glob

+5

+1: отправка AV-поставщику - лучший вариант – Remko

+0

Действительно. Авире потребовалось менее 12 часов, чтобы подтвердить ложный результат. –

3

Есть несколько причин, почему Анти Вирус продукт может вызвать на Delphi производства еха, несколько общих причин:

  • Многих вирусов написаны на Delphi и поэтому ваш ех может иметь некоторые части коды, которые выглядят так же, как существующие вирусы.
  • Таблица импорта вашей программы используется для определения того, что может сделать ваш exe , например, ссылка на функции Credentials Management или Disk Management запускает некоторые AV-файлы.

Как было предложено, прежде чем пытаться сканировать вашу версию релиза с онлайн-сервисами, такими как Virustotal или Jotti и всегда сообщают о ваших ложных срабатываний торговцу вместо того, чтобы пытаться предотвратить быть ложноположительный. Мой опыт заключается в том, что поставщики AV довольно быстро реагируют на подачу.

источник

2010-07-27 07:21:20 Remko

+0

«Поставщики AV довольно быстро реагируют на отправку». Большинство поставщиков сообщают, что изменения появятся через 72 часа после того, как они рассмотрят ваш случай. Итак, это примерно через 100 часов после того, как вы представили свое дело. Но Sophos особенно кошмар. Медленный и бесполезный. – Ampere

3

В бесплатных группах Pascal/Lazarus и bugtracker такие сообщения происходят почти каждый выпуск и/или месяц.

Обычно мы рекомендуем пользователям игнорировать все «общие» или «эвристические» типы сканирования и придерживаться сканирования на основе подписи (как это делают большинство корпоративных вирусов).

Это потому, что это почти всегда эвристические сигналы тревоги, никогда не специфические вредоносные программы. Это легко увидеть в том факте, что обнаруженный «вирус/троян» почти всегда относится к «родовому» типу. Обычно вируссканеры также являются типичными «домашними» вирусканерами или домашними изданиями общих вирусов (особенно для Norton, в настоящее время это, в основном, более дешевые «дешевые» сканеры для домашнего использования)

Однако мы общаемся в основном с разработчиками и уже есть проблема с передачей этого сообщения. Я могу себе представить, что при распространении незнакомых конечных пользователей это очень трудное сообщение для общения.

Тем не менее, другого выхода нет.

источник

2010-07-27 10:08:51

+0

Я получил некоторые комментарии к этому сообщению, заставив меня раскрыть «домашние» сканеры. Я не хотел этого делать, так как я предполагаю, что корпоративные и домашние сканеры McAfee и Norton все равно одинаковы. Дело в том, что настройки по умолчанию различаются. Корпоративные версии обычно отключают неопределенные эвристики. –

+0

Домашние пользователи ДОЛЖНЫ более лизать, чтобы их поразила новая вируса, поскольку они менее осторожны, чем ИТ-отдел, поэтому разумно, чтобы домашний параметр по умолчанию выполнял как можно больше проверок. –

+0

Домашние пользователи могут отключить avirus на ложных срабатываниях, что представляет собой гораздо больший риск. Но реальность заключается в том, что домашний avirus покупается для «пугающей» стоимости. Домашние пользователи считают, что вирус, который не реагирует ежедневно, бесполезен. –

4

У многих честных разработчиков проблемы из-за небрежного антивирусного программного обеспечения. См. Также: How to prevent false positive virus alarm on my software?

Представьте, что за каждый ложный позитив, который они показывают, вы теряете возможного клиента. Программисты должны take action против таких антивирусных продуктов и заставить их быть более осторожными относительно ложных положительных сигналов тревоги, даже чтобы получить некоторый доход для продаж, которые мы теряем из-за них.

Update:
Недавно я заметил, что:

  • Количество ложных срабатываний на VirusTotal.com НАМНОГО выше, когда программа компилируется является «режим Release» (с компилятором оптимизаций), тогда, когда это скомпилированный в режиме «Отладка».
  • Обнаружение неба ракеты при использовании EurekaLog.

Итак, отправьте VirusTotal перед публикацией вашей программы!

источник

2010-11-21 12:11:54 Ampere

Смежные вопросы

 Смежные вопросы