delphi - Antivirus Falso positivo en mi ejecutable
delphi-7 executable (6)
Me encontré con un problema molesto. De repente, Avira AntiVir comenzó a marcar un ejecutable de mi software como un virus.
Como la acción predeterminada de casi cualquier usuario es hacer clic en Aceptar y Avira sugiere poner el virus en cuarentena, la mayoría de mis usuarios están eliminando este ejecutable.
Bueno, no seamos arrogantes y compruebe si no estoy infectado de hecho. Publiqué el archivo en http://www.virustotal.com y de todos los antivirus, solo Avira lo marca como infectado. Además, escaneé mi computadora con dos antivirus diferentes y está limpia.
Ya publiqué un mensaje de correo electrónico a mis usuarios explicando lo que está sucediendo, pero esto es una carga para mi soporte que realmente no quiero.
OK, la pregunta es: ¿hay alguna manera de evitar este tipo de comportamiento? No puedo pensar otra cosa que firmar los archivos, (realmente no sé si lo resolvería), pero veamos si tienes alguna idea creativa.
Como solución, es posible que desee:
1 - Verifica que tu compilador Delphi no esté infectado
2 - Verifique que sus fuentes y bibliotecas no estén atemperadas (ese fue el MO del Virus Induc )
3 - Verifique su exe limpio (garantizado) con los AV. Si informan un falso positivo, comuníquese con ellos para que puedan corregir sus pruebas.
4 - Si necesita distribuir antes de que exista la posibilidad de corregir los AV, firme su exe, para que los usuarios puedan verificar que esté limpio.
En los grupos Free Pascal / Lazarus y en el rastreador de errores, dichos mensajes ocurren casi en cada lanzamiento y / o mes.
En general, aconsejamos a los usuarios que ignoren todos los tipos de escaneo "genéricos" o "heurísticos", y se adhieren al escaneo basado en firmas (como lo hacen la mayoría de los virusscanners corporativos).
Esto porque casi siempre es una alarma heurística, nunca malware específico. Esto se puede ver fácilmente en el hecho de que el "virus / troyano" detectado es casi siempre del tipo "genérico". Por lo general, los virusscanners también son viruscanners "caseros" típicos, o ediciones caseras de virusscanners generales (Norton solía ser particularmente malo, hoy en día son en su mayoría los escáneres de uso doméstico "baratos" a menor escala)
Sin embargo, nos comunicamos principalmente con los desarrolladores, y ya tenemos problemas para transmitir este mensaje. Me puedo imaginar, cuando se distribuye a los usuarios finales desorientados, este es un mensaje realmente difícil de comunicar.
Aún así, no hay otra manera.
Es sorprendentemente común que las aplicaciones de AV denuncien como potencialmente dañinas las aplicaciones de Delphi. Me sucedió hace un tiempo, usando Delphi 2009, ver http://en.wikipedia.org/wiki/Wikipedia:Reference_desk/Archives/Computing/2010_March_20#Delphi.2FAVG_Issue .
En SO, también tenemos
y muchos más.
Podría ser el verdadero virus Induc . Pero lo más probable es que sea un falso positivo.
Hay varias razones por las cuales un producto Anti Virus puede desencadenarse en un exe producido por Delphi, algunas razones comunes son:
- Muchos de los virus están escritos en Delphi y, por lo tanto, su exe puede tener algunas partes del código que se parecen a los virus existentes.
- La tabla de importación de su programa se usa para determinar lo que su exe podría hacer, por ejemplo, el enlace a la Administración de credenciales o las funciones de Administración de discos desencadena algunos AV.
Como se sugirió antes, intente escanear su versión de lanzamiento con servicios en línea como Virustotal o Jotti y siempre informe sus falsos positivos a los proveedores en lugar de tratar de evitar que sea un falso positivo. Mi experiencia es que los vendedores de AV reaccionan bastante rápido en el envío.
La respuesta de Andreas es excelente; simplemente sucede mucho con las aplicaciones Delphi.
El código de firma no hace ninguna diferencia. He emitido NOD32 positivos falsos en el código Delphi firmado.
Si hubiera alguna técnica que evite falsos positivos, los autores del virus los usarán para evitar la detección.
He encontrado que el mejor curso de acción es, lamentablemente, reactivo en lugar de proactivo. Todos los proveedores AV tienen la capacidad de informar falsos positivos, y he encontrado que responden a los informes.
Muchos desarrolladores honestos tienen problemas debido a un software antivirus descuidado. Ver esto también: ¿cómo prevenir la alarma de virus falsos positivos en mi software?
Imagina que por cada falso positivo que muestran, pierdes un posible cliente. Los programadores deben docs.google.com/forms/d/… contra dichos productos antivirus y obligarlos a ser más cuidadosos con las alarmas de falsos positivos, incluso para recuperar algunos ingresos por las ventas que perdemos debido a ellos.
Actualizar:
Recientemente he observado que:
- El número de falsos positivos en VirusTotal.com es MUCHO más alto cuando se compila el programa que es ''Modo de lanzamiento'' (con optimizaciones del compilador) luego cuando se compila en ''Modo de depuración''.
- Detecta los cohetes del cielo cuando se usa EurekaLog.
Por lo tanto, envíelo a VirusTotal antes de publicar su programa.