1. Inicio
  2. Pregunta y respuesta
  3. Antivirus Falso positivo en mi ejecutable

Antivirus Falso positivo en mi ejecutable

2010-07-26 16 views
35

Me encontré con un problema molesto. De repente Avira AntiVir comenzó a marcar un ejecutable de mi software como un virus.Antivirus Falso positivo en mi ejecutable

Como la acción predeterminada de casi cualquier usuario es hacer clic en Aceptar y Avira sugiere poner el virus en cuarentena, la mayoría de mis usuarios están eliminando este ejecutable.

Bueno, no seamos arrogantes y compruebe si no estoy infectado de hecho. Publiqué el archivo al http://www.virustotal.com y de todos los antivirus, solo Avira lo marca como infectado. Además, escaneé mi computadora con dos antivirus diferentes y está limpia.

Ya publiqué un mensaje de correo electrónico a mis usuarios explicando lo que está sucediendo, pero esto es una carga para mi soporte que realmente no quiero.

Bien, la pregunta es: ¿hay alguna manera de evitar este tipo de comportamiento? No puedo pensar otra cosa que firmar los archivos, (realmente no sé si lo resolvería), pero veamos si tienes alguna idea creativa.

Fuente

2010-07-26 Ricardo Acras

+11

¡Ese sitio VirusTotal es genial! ¡Gracias por incluir el enlace! –

+0

AVG también es un antivirus de semana que informa muchos falsos positivos. Lo he visto con mis programas (limpios). – Ampere

+0

Mi aplicación tiene 0 tasa de dectección en Virustotal, pero está siendo marcado como 'Troyano' por Windows Defender. Muy frustrante ! – delphirules

Respuesta

3

Como solución, es posible que desee:

1 - Verifica el compilador de Delphi no está infectado
2 - verificar sus fuentes y las bibliotecas no son templados con (que era el modus operandi para la InducVirus)
3 - Verifique su exe limpio (garantizado) con los AV. Si informan un falso positivo, comuníquese con ellos para que puedan corregir sus pruebas.

4 - Si necesita distribuir antes de que haya una posibilidad de corregir los AV, firme su exe, para que los usuarios puedan verificar que esté limpio.

Fuente

2010-07-27 00:45:18

+0

La firma digital es una buena opción y también evita la detección de falsos positivos, pero a la mayoría de los desarrolladores les gusto no puede pagar de 200 a 500 USD por año. Algunas veces el software era freeware o algunas veces no generan muchos ingresos para pagar $ 200/año. –

+0

La firma de aplicaciones no hace ninguna diferencia la mayor parte del tiempo. Todo lo que hace es decirle a * Windows * que su aplicación proviene de una fuente confiable. Eso es todo. Los antivirus tienden a ignorar eso, porque hay muchos virus que también pueden haberse firmado. –

22

La respuesta de Andreas es excelente; simplemente sucede mucho con las aplicaciones Delphi.

El código de firma no hace ninguna diferencia: he emitido NOD32 positivos falsos en el código Delphi firmado.

Si hubiera alguna técnica que evite los falsos positivos, los autores de virus los usarán para evitar la detección.

He encontrado que el mejor curso de acción es, por desgracia, reactivo en lugar de proactivo. Todos los proveedores AV tienen la capacidad de informar falsos positivos, y he encontrado que responden a los informes.

Fuente

2010-07-27 00:53:47 glob

+5

+1: enviar al proveedor de AV es la mejor opción – Remko

+0

De hecho. Avira tardó menos de 12 horas en confirmar el falso positivo. –

3

Hay varias razones por las cuales un producto Anti-Virus podría desencadenar en un Delphi produjo exe, algunas de las razones más comunes son:

  • Un montón de virus están escritos en Delphi y por lo tanto su exe podrían tener algunas partes de código que tener el mismo aspecto que los virus existentes.
  • La tabla de importación de su programa se usa para determinar qué puede hacer su exe ​​, por ejemplo, el enlace a la gestión de credenciales o las funciones de administración de discos desencadena algunos AV.

Como se sugirió antes de intentar el escaneo de su versión de lanzamiento con los servicios en línea tales como Virustotal o Jotti y siempre su informe de falsos positivos a los vendedores en vez de tratar de impedir ser un falso positivo. Mi experiencia es que los vendedores de AV reaccionan bastante rápido en el envío.

Fuente

2010-07-27 07:21:20 Remko

+0

"Los proveedores de AV reaccionan bastante rápido en el envío" --- La mayoría de los proveedores informan que los cambios aparecerán 72 horas después de que revisen su caso. Entonces, esto es como más de 100 horas después de ENVIÓ su caso. Pero Sophos especialmente es una pesadilla. Lento e inútil. – Ampere

3

En los grupos Pascal/Lazarus gratuitos y en el rastreador de errores, dichos mensajes ocurren casi cada versión y/o mes.

En general, aconsejamos a los usuarios que ignoren todos los tipos de escaneo "genéricos" o "heurísticos", y que se atengan al escaneo basado en firmas (como lo hacen la mayoría de los virusscanners corporativos).

Esto porque casi siempre es una alarma heurística, nunca malware específico. Esto se puede ver fácilmente en el hecho de que el "virus/troyano" detectado es casi siempre del tipo "genérico". Por lo general, los virusscanners también son virusscanners "caseros" típicos, o ediciones caseras de virusscanners generales (Norton solía ser particularmente malo, hoy en día son en su mayoría los escáneres de uso doméstico "baratos" a menor escala)

Sin embargo, nos comunicamos principalmente con desarrolladores, y Ya tengo problemas para transmitir este mensaje. Me puedo imaginar, cuando se distribuye a los usuarios finales desorientados, este es un mensaje realmente difícil de comunicar.

Aún así, no hay otra manera.

Fuente

2010-07-27 10:08:51

+0

Recibí algunos comentarios sobre esta publicación y me acusó de descifrar los escáneres "domésticos". No quise hacer eso, ya que supongo que los escáneres corporativos y domésticos de McAfee y Norton son la misma base de código de todos modos. El punto es más que la configuración predeterminada es diferente. Las versiones corporativas normalmente desactivan la heurística incierta. –

+0

Los usuarios domésticos DEBEN ser más lickly para ser golpeados por nuevos viruss, ya que son menos cuidadosos que un departamento de TI, por lo tanto, es razonable que la configuración de inicio haga tantos controles como sea posible. –

+0

Los usuarios domésticos pueden desactivar el avirus en falsos positivos, lo que representa un riesgo mucho mayor. Pero la realidad es que el virus de origen se compra por valor de "susto". Los usuarios domésticos piensan que un virus que no reacciona a diario no tiene valor. –

4

Muchos desarrolladores honestos tienen problemas debido a un software antivirus descuidado. Consulte esto también: How to prevent false positive virus alarm on my software?

Imagine que, por cada falso positivo que muestran, pierde un posible cliente. Los programadores deben take action contra dichos productos antivirus y obligarlos a ser más cuidadosos con las alarmas de falsos positivos, incluso para recuperar algunos ingresos por las ventas que perdemos debido a ellos.

Actualización:
Recientemente he observado que:

  • número de falsos positivos en VirusTotal.com es mucho mayor cuando se compila el programa es 'modo de lanzamiento' (con optimizaciones del compilador), entonces es cuando se compilado en 'Modo de depuración'.
  • Detecta sky rockets cuando se usa EurekaLog.

Por lo tanto, envíelo a VirusTotal antes de publicar su programa.

Fuente

2010-11-21 12:11:54 Ampere

Cuestiones relacionadas

 Cuestiones relacionadas