1. Inicio
  2. Pregunta y respuesta
  3. La aplicación de actualización automática de mi aplicación activa Anti-Virus

La aplicación de actualización automática de mi aplicación activa Anti-Virus

2010-02-02 18 views
5

He creado una aplicación de actualización automática que se distribuye a cientos de usuarios.La aplicación de actualización automática de mi aplicación activa Anti-Virus

La utilidad de actualización automática está marcada por el 55% de los antivirus en virustotal (link).

Mi aplicación fue creada en Delphi 7. La mayoría de las banderas dicen que se trata de troyano/malware genérico, obviamente el software no es realmente malware (soy el único con acceso al código fuente y al servidor) que lo aloja) pero está causando que muchos usuarios sean

¿Alguien tiene alguna idea de cómo puedo evitar que esto se señale erróneamente?

Fuente

2010-02-02 Mikey

+2

@Mikey check thids enlace http://stackoverflow.com/questions/2006534/virus-in-delphi-7 – RRUZ

Respuesta

0

¿Cómo se llama su ejecutable? ¿A qué API llama? ¿Está firmado digitalmente?

Fuente

2010-02-02 15:32:23 EricLaw

+0

Se llama LibraUpdate.exe - no está firmado digitalmente, utiliza idHTTPHandler para descargar la actualización y shellApi para reiniciar la aplicación una vez que ha sido actualizado (hay una lista en el enlace virustotal) – Mikey

+0

Tengo la corazonada de que de repente los fabricantes de virus decidieron que todos tenemos que firmar digitalmente nuestro software. Tal vez compraron acciones de esas compañías que firman? – Edelcom

+0

Es posible que suficientes virus estén utilizando componentes idHTTP que su presencia se considera potencialmente maliciosa en código sin firmar. Tendrás que preguntar a esas compañías. – EricLaw

0

Depende: si los cientos de usuarios están en una red corporativa, utilizando el mismo software antivirus empresarial administrado por la política de grupo, una solución podría ser especificar su software como una excepción en su paquete de antivirus.

Fuente

2010-02-02 15:35:13 GenericMeatUnit

+0

esto se está distribuyendo a través de Internet, así que desafortunadamente no es una opción – Mikey

0

Intentaré refactorizar el programa, cambiar los nombres, cambiar el orden de los procedimientos y métodos, algunas estructuras de programa, eliminar, reemplazar y agregar código.

Envíe cada cambio a VirusTotal.

Es posible que eventualmente detecte qué está causando el problema.

Fuente

2010-02-02 15:53:04

+0

cargando una aplicación de formularios vacía da esto http://www.virustotal.com/analisis/d592ddc8aff56a928e6dcebf4d8a0f63df3da9523da19f0118c84e9a968584ab-1265126224 estoy infectado o soy el anti-virus basura xD – Mikey

+0

tal vez es Es hora de enviar la muestra a las compañías que le dan los positivos falsos. –

+0

Aplicaciones de antivirus ** ¡¡¡ERROR **! ¡Hemos tenido un archivo de datos en cuarentena al azar! Lamentablemente, las aplicaciones antivirus son algo con lo que tenemos que vivir. Instruimos a nuestro cliente a configurar su producto AV para ignorar nuestra carpeta de datos. –

0

Si su programa "modifica" un ejecutable, será recogido por muchos programas AV. Incluso he visto el programa de parches de Borland que se distribuyó con Delphi 7 marcado como un virus genérico cuando se instaló recién desde el CD.

No estoy seguro de que haya mucho que pueda hacer al respecto, a menos que pueda desactivar esa "característica" en el programa de AV o tenga los derechos para agregar una excepción. Personalmente, creo que es solo un "catch-all" perezoso creado por los escritores de software AV.

Fuente

2010-02-02 21:54:44 Catharz

1

Si, como dijiste, las aplicaciones de formularios vacíos se califican como virus, es muy posible que estés infectado por el virus Delphi. Más información sobre esta ... cosa:

Además, se utiliza Delphi 7, que es un objetivo para este virus (por lo que yo sé, no todas las versiones de Delphi son).

Fuente

2010-02-02 22:18:32 Leo

0

El software AV también verifica la Tabla de importación para la API común utilizada en virus, aunque no veo ninguna API que activará el software AV en el informe de exploración.

Fuente

2010-02-02 22:38:01 pani

1

Delphi 2007: Solicitud de Nuevo VCL

Compilar sin cambiar nada y algunos paquetes antivirus reportará el EXE resultante como un posible virus/troyano. Cambie el nombre del formulario principal o agregue un segundo formulario al proyecto, etc. y las advertencias de antivirus desaparecen. Deshace los cambios y regresan (por lo que no es un puerto D2007 del "Virus de incentivo de actualización de Delphi").

Supongo que alguien, alguna vez, escribió un virus/troyano/malware con Delphi y la firma/heurística asociada a eso, que a veces lamentablemente colisiona con otras aplicaciones de Delphi.

Fuente

2010-02-03 02:15:07 Deltics

+0

Sospecho que la respuesta no es "alguien en algún lado" sino "Mucha gente en muchos lugares". Los CLSID que Microsoft usa en sus documentos en MSDN para las extensiones de IE tienen el mismo problema: a menudo se marcan como maliciosos porque los autores de malware son flojos y los utilizan. – EricLaw

+0

Diría que los autores son ignorantes y los utilizan, en lugar de perezosos. :) –

1

yo creo que hay dos opciones:

a) presentará su programa de actualización automática como un falso positivo a todas aquellas empresas, (y hacerlo por cualquier nuevas versiones que son detectados). Hágalo más fácil asegurándose de que sus metadatos sean correctos y firme tal vez.

b) Dividir la funcionalidad para que no tenga un solo programa Delphi que descargue archivos de Internet, sobrescriba archivos y remueva archivos.

Fuente

2010-02-03 09:55:38

0

Tenemos el mismo problema aquí ... Ant-virus también detecta algunos comportamientos de nuestro software. La compañía antivirus no dice exactamente lo que ven (seguro, problema de seguridad). Aquí, por ejemplo, tengo este problema cuando comencé a usar tuberías.

¿Qué hicimos? Llamamos a las compañías de seguridad, analizaron nuestro .exe y ahora tenemos "bandera blanca" en ellas.

... No, no es un proceso tan rápido.

Fuente

2010-02-03 13:19:03

Cuestiones relacionadas

 Cuestiones relacionadas