Programa hecho con PyInstaller ahora visto como un Caballo de Troya por AVG
antivirus virus (3)
Hace aproximadamente un mes, usé PyInstaller e Inno Setup para producir un instalador para mi script Python 3. Mi AVG Business Edition AntiVirus acaba de comenzar a quejarse con la actualización de hoy de que el programa tiene un Caballo de Troya SCGeneric en el archivo principal .exe utilizado para iniciar el programa (en la carpeta creada por PyInstaller que tiene todas las "agallas" de Python). Al principio, pensé que era un falso positivo en AVG, pero al enviar el archivo .exe a VirusTotal obtengo este análisis:
Lo que muestra que 11 de 61 escáneres detectan un problema:
TheHacker Trojan/Agent.am
NANO-Antivirus Trojan.Win32.Agent.elyxeb
DrWeb Trojan.Starter.7246
Yandex Trojan.Crypren!52N9f3NgRrY
Jiangmin Trojan.Agent.asnd
SentinelOne (Static ML) static engine - malicious
AVG SCGeneric.KTO
Rising Malware.Generic.5!tfe (thunder:5:ujHAaqkyw6C)
CrowdStrike Falcon (ML) malicious_confidence_93% (D)
Endgame malicious (high confidence) 20170503
Zillya Dropper.Sysn.Win32.5954
Ahora no puedo decir que estos otros escáneres son de los que he oído hablar antes ... pero aún así me preocupa que no solo AVG dé un falso positivo.
He enviado el archivo .exe en cuestión a AVG para su análisis. Esperemos que retrocedan en lo que sea que pensaron que estaban tratando de detectar.
¿Hay algo más que pueda hacer con PyInstaller para que el iniciador .exe que creó no se considere un troyano?
Gracias por cualquier aportación.
Pude enviar el archivo en cuestión a la página "Informar una detección falsa" de AVG, en https://secure.avg.com/submit-sample . Recibí una respuesta bastante rápida (no recuerdo exactamente cuánto tiempo, pero fue menos de un día) que analizaron mi archivo y determinaron que no tenía un virus. Dijeron que habían ajustado sus definiciones de virus para que ya no provocara un falso positivo. Actualicé mis definiciones y todavía se estaba activando, así que las contacté nuevamente con mi versión de definición de virus y escuché que la versión que tenía no era lo suficientemente alta; creo que hubo un retraso en mis definiciones porque las obtuve de Un servidor local. Pero dentro de un día tuve la versión correcta de las definiciones y el falso positivo ya no se disparó.
Entonces, si tiene un falso positivo con AVG, le recomendaría esta solución, bastante rápida y fácil de resolver el problema.
Siempre estaba obteniendo algunos falsos positivos con Pyinstaller de VirusTotal . Así es como lo arreglé:
Pyinstaller viene con binarios de gestor de arranque precompilados para diferentes sistemas operativos. Sugiero compilarlos usted mismo en su máquina. Asegúrese de que todo sea consistente en su máquina. Para Windows 64 bits, instale Python 64 bits. Descarga PyInstaller 64bit para Windows. Asegúrese de que Visual Studio (VS) correspondiente a su Python esté instalado, verifique a continuación:
https://wiki.python.org/moin/WindowsCompilers
Compile el gestor de arranque de Pyinstaller en su máquina con VS. Actualiza automáticamente run.exe, runw.exe, run_d.exe, runw_d.exe en DownloadedPyinstallerFolder / PyInstaller / bootloader / Windows-64bit. Consulte a continuación para obtener más información:
https://pythonhosted.org/PyInstaller/bootloader-building.html
Al final instale Pyinstaller. Dentro del directorio de Pyinstaller, ejecute
instalación de python setup.py
Volviendo a PyInstaller 3.1.1 desde 3.4 resolvió problemas similares de mi parte (al menos temporalmente).