Случайно создал вирус?

Question

Случайно создал вирус?

50

Я видел, что это происходит довольно часто: я пишу приложение в Delphi, и когда я его компилирую, вирус-сканер сообщает мне, что я создал вирус, а затем сразу же удаляет исполняемый файл. Это раздражает, но разумно легко исправить, выполнив полную перестройку, сначала удалив файлы *.dcu, а иногда просто ожидая.

Это происходит с Delphi 6, 7, 2005 и 2007, насколько я знаю. И Symantec, Kaspersky, McAfee и NOD32 все были виновны в сообщении этих ложных срабатываний. Я знаю это, потому что Delphi добавляет временные метки к своим файлам DCU, и эти временные метки заканчиваются в конечном исполняемом файле и, по-видимому, являются частью некоторой случайной сигнатуры вируса.

Я не хочу отключать вирус-сканер, даже не для одной папки или файла. И я на самом деле не для решения, но мне интересно следующее:

Имеют ли эти ложные срабатывания другие компиляторы?
Это также происходит с исполняемыми файлами .NET?
Другие также замечают похожие проблемы с Delphi?

Wim ten Brink 14 июнь 2009, в 19:46

Источник

1

Просто хочу добавить, что эта ошибка встречается довольно редко, но она все равно случается примерно раз в три месяца со мной или одним из моих коллег.
Wim ten Brink 14 июнь 2009, в 20:39
12

Я действительно где-то читал, что многие вредоносные программы и вирусы пишутся с использованием Delphi. ИМХО, это что-то говорит о универсальности и силе Delphi. Используется хакерами L33T :-)
Tom 15 июнь 2009, в 05:40
1

/ Я размышляю над этим в контексте этого: cm.bell-labs.com/who/ken/trust.html . Неа:)
Oorang 15 июнь 2009, в 07:47
0

Карпески помечен как вирус одной программой, которую я сделал. Я послал им по электронной почте, и они исправили это для следующих обновлений.
Averroes 15 март 2010, в 13:52
3

@ Том, распространенность Delphi может иметь больше общего с языками, похожими на паскаль, популярными в Восточной Европе.
deft_code 20 авг. 2010, в 21:48
1

Это не ложное срабатывание: троян Win32 / Injector.CKX
Johan 04 окт. 2013, в 03:44
1

Если это троян Win32 / Injector.CKX, то McAfee и другие virusscanners должны сообщать об этом для каждого проекта, скомпилированного с Delphi. Однако перекомпиляция проекта в другой системе с теми же файлами или перекомпиляция всего через несколько часов или даже через день больше не выдали предупреждений. Как полагает Том, Delphi отлично подходил для написания вредоносных программ, поэтому некоторые сигнатуры вредоносных программ могут совпадать с сигнатурами невинных приложений Delphi. (Просто потому, что подпись слишком общая.)
Wim ten Brink 05 окт. 2013, в 11:13

Показать ещё 5 комментариев

Теги:

delphi

virus

false-positive

antivirus

18 ответов

10

Звучит скорее как эвристическая шумиха для меня. У вас включена эвристика (некоторые сканеры могут ссылаться на нее как на "вирусный код" )? Шансы, что отметки времени будут равняться "части некоторой сигнатуры вируса", кажутся слишком маленькими, чтобы все время происходить.

Когда я запускал антивирусный сканер, я никогда не видел эту проблему с D6 или D7.

JimG 14 июнь 2009, в 20:39

1

Да, эвристика включена. Не то чтобы я возражал, поскольку компьютер должен быть защищен, поэтому я скорее имею дело с случайным ложным срабатыванием, чем с источником инфекции. Я часто работаю над программным обеспечением для финансового рынка и, таким образом, большая часть его является конфиденциальной информацией.
Wim ten Brink 14 июнь 2009, в 20:38

8

В действительности существует вирус Delphi, см. http://www.sophos.com/blogs/sophoslabs/?p=6117

Dmitry Osinovskiy 15 нояб. 2009, в 05:16

6

Да, моя команда испытала это, возможно, полдюжины раз в 2-3 года с Sophos в корпоративной среде. Итак, очень редко, но это происходит.

Наш IT-кретин начал требовать, чтобы я просмотрел все 1.5M-строки кода в нашем приложении, чтобы "заставить его уйти", но он не слишком затягивал эту линию...

Справедливости ради следует сказать, что он изначально был обеспокоен тем, что наши клиенты также могут получить такое предупреждение, но мы только когда-либо видели его срабатывание при создании exe из среды IDE на компьютере разработчика, никогда в выпуске exe exe на тестового окна или в другом месте.

Лично это случается так редко, что мы не беспокоимся об этом.

Conor Boyd 14 июнь 2009, в 23:54

0

Я тоже не беспокоюсь об этом. Это просто раздражает, так как означает некоторую дополнительную задержку при создании нового исполняемого файла. На нашем сервере автоматической сборки все немного хуже. Компиляция идет хорошо, но так как исполняемый файл удаляется немедленно, он просто захлебывается в таких случаях. Но опять же, это крайне редко. (И на сервере сборки, новый запуск сборки просто исправляет это снова.)
Wim ten Brink 15 июнь 2009, в 11:03

3

У меня это случилось со мной с развернутым кодом. Следующее обновление для сканера решило проблему. Некоторый cretin написал вирус, используя тот же самый компилятор, и подпись была частью библиотеки времени выполнения, а не во враждебном коде.

Loren Pechtel 14 июнь 2009, в 23:51

0

Это похоже на проблему, с которой часто сталкивается AutoIt. Я чувствую вашу боль, с развернутым кодом очень трудно (полностью) убедить клиента, что это ложный положительный результат.
Copas 15 июнь 2009, в 00:50
0

Это для меня внутри, я знаю людей, управляющих им.
Loren Pechtel 15 июнь 2009, в 04:07

3

Это не так уж редко встречается при использовании нестандартных компиляторов или при создании необычных низкоуровневых материалов: я помню создание ложных срабатываний, когда я занимался разработкой ОС: AntiVir не нравился некоторые из моих плоских двоичных файлов.

В последнее время сообщение о такой проблеме появилось в списке рассылки tinyCC, сохраняющем AVG.

Christoph 14 июнь 2009, в 22:07

0

На самом деле, я знаю, что мне нужно вызывать только одну функцию Windows API в проекте DLL, чтобы вызывать тревожные сигналы почти на каждом вируссаннере. (API Keyhook считается подозрительным.) Но чтобы обойти ложные срабатывания, мне не нужно менять исходный код. Все, что мне нужно сделать, это выбросить файлы DCU (Delphi Compiled Units), чтобы он снова перестроил их с разными временными метками, создав, таким образом, другую подпись.
Wim ten Brink 14 июнь 2009, в 20:44

2

плюс к тому, что говорят другие, современные антивирусные программы повышают уровень вирусов, если ваши программы также используют некоторые "подозрительные" API (например, URLdownloadFile или другие связанные с API привязки). если вы используете Google delphi RAT FUD API undetectable, вы найдете много интересных тем.

avar 15 июнь 2009, в 04:10

2

В некоторых приложениях, если я использую RtlVclOptimize.pas, антивирус Avira сообщает, что я создал вирус.

Junior-RO 15 июнь 2009, в 00:24

0

Это интересно, потому что Avira не предупреждает меня о вирусе во всех наших приложениях. Может быть, это сочетание с другими подразделениями.
Andreas Hausladen 15 июнь 2009, в 10:28

2

Я никогда не видел этого, выполнив большую часть разработки на С++ и .NET с помощью Visual Studio (начиная с версии от 1.5 до 2010).

RichieHindle 14 июнь 2009, в 21:35

9

Первая инфекция вирусом C # все еще продолжается, поэтому, пожалуйста, подождите немного. Для установки вам нужны рамки 250 МБ и права администратора. :-)
Wouter van Nifterick 16 июнь 2009, в 02:34

2

Я видел это только с ассемблерами. Например, MASM32 фактически предупреждает людей о том, что он может запускать антивирусные сканеры, так как EXE настолько малы (и/или некоторые вирусы написаны в монтаж). Мой сканер McAfee помешал некоторые из примеров программ как вирусы.

Это должно произойти только для антивирусных сканеров, которые имеют режим просмотра "подозрительный".

Jeff Moser 14 июнь 2009, в 21:13

1

Если у вас есть проблемы с ложными срабатываниями, существует VirusTotal онлайн-сервис, который поможет вам проверить ваш файл против количества антивирусных ядер.
Это бесплатный сервис, и в настоящее время он может запускать антивирусную проверку почти с 40 антивирусными ядрами.

zendar 27 июль 2010, в 12:15

0

Это не будет практично, когда мое AV-программное обеспечение сообщает о вирусе в каком-то исполняемом файле, который я только что скомпилировал. Я знаю, что это не вирус, если я сам не написал. Проблема в том, что AV блокирует мой процесс компиляции при обнаружении ложного срабатывания. Это раздражает.
Wim ten Brink 28 июль 2010, в 06:29
0

Я знаю. VirusTotal - это просто место, где вы можете узнать, какие антивирусные движки ошибочно воспринимают ваше программное обеспечение как вирус, и вы можете связаться с ними и попросить их устранить проблему.
zendar 28 июль 2010, в 08:57
0

Если у вас есть точные положительные результаты, я думаю, что это так же полезно, к сожалению.
Casey 14 май 2015, в 17:46

Показать ещё 1 комментарий

1

Я помню еще один странный:

Файл помечен как подозрительный. Единственное, что файл был .OBJ! Файл .EXE, содержащий код, содержавшийся .OBJ, не считался проблемой.

Loren Pechtel 09 сен. 2009, в 03:22

1

Это случилось со мной. Крюковая клавиатура будет запускать почти любое эвристическое программное обеспечение для сканирования AV-сообщений для записи регистратора ключей. Есть, вероятно, много других системных вызовов, которые тоже вызовут его. Решение. Попробуйте переконфигурировать ваш код или связаться с производителем AV, чтобы включить ваше программное обеспечение в список исключений.

Serggio 16 июнь 2009, в 13:24

0

Была и эта проблема. Был модуль Delphi, который использовался в исполняемом файле, и он реализовал связку ключей. Затем устройство использовалось в DLL для запуска под Outlook, и оно оказалось работающим. Но он вызвал довольно много вирусов, кроме сканера Касперского, который я использовал тогда! Опять же, это было еще хуже, так как DLL установил keyhook в каждом процессе. Это невозможно, когда API вызывается из исполняемого файла.
Wim ten Brink 16 июнь 2009, в 21:19

1

Я бы не назвал это "ложным положительным", потому что, строго говоря, это неверно, и антивирусное программное обеспечение никоим образом не "виновато".

Я на 99% уверен, что это эвристический анализ, действующий (я уверен, он обнаруживает ваш исполняемый файл как нечто вроде строк win32.virus.generic - обратите внимание на общий, это знак, что это не его подпись db, а скорее была обнаружена эвристикой), и, будучи эвристикой и всеми, она не дает вам никакой гарантии, что все, что она находит, является злонамеренным, это просто объясняет вам, что исполняемый файл подозрительно с его точки зрения.

Самое простое решение для этого - просто добавить исключение для своего файла по имени (это всегда одно и то же имя, правильно?). Если вам неудобно, вы должны, вероятно, сделать свое антивирусное программное обеспечение, прежде чем предпринимать действия, чтобы вы могли пропустить файл вручную.

В общем, я обнаружил, что кодирование в окнах с антивирусным программным обеспечением несколько раздражает (не делайте этого много в наши дни, но все же), особенно если указанное программное обеспечение находится в "параноидальном режиме". Раздражающее, хотя и оно, неизбежно (IMO).

shylent 15 июнь 2009, в 08:45

0

На самом деле, проблема может возникнуть с ЛЮБЫМ источником, который компилируется в Delphi, поэтому имя файла может быть другим. Создание исключения для исполняемого файла увеличит риск в очень небольшом количестве, но мне нужно сделать это, чтобы обойти очень редкую проблему. Тем более, что есть простой обходной путь, это не реальная проблема. Просто раздражает, когда это происходит. И, как я уже сказал, наши системы работают с финансовыми приложениями, поэтому мы все время параноики. ;-) Раздражает, но требуется.
Wim ten Brink 15 июнь 2009, в 11:11
5

Как это не может быть ложным срабатыванием? Программное обеспечение AV ложно идентифицирует его как вредоносное ПО. Значение «ложного срабатывания» зависит от результата, а не от того, является ли процесс разумным или нет. Многие разумные процессы дают ложные срабатывания.
David Thornley 19 июнь 2009, в 14:39

1

Несколько лет назад, каждый раз, когда мы обновляли GNU Linker из источников mingw и начали распространять его вместе с нашим компилятором, мы получили несколько сообщений о том, что vivusscanners классифицировал ld.exe как вирус. (.exes writing.exes...)

Marco van de Voort 15 июнь 2009, в 08:37

1

Некоторые антивирусные программы даже обозначают пакетный файл как вирус и не могут быть уверены, что это не так. Довольно раздражает, если этот файл является частью библиотеки сторонних разработчиков, и вирусное предупреждение запускается каждый раз, когда TortoiseSVN проверяет его. Я закончил отключать антивирусный сканер, удаляя файл и совершая фиксацию. (Без отключения сканера я даже не мог этого сделать:-()

dummzeuch 15 июнь 2009, в 05:52

0

VS Platform toolset 2010 отображает мою простую программу как вирус. Изменение инструментария на VS 2013 решает его.

Он просто создает HttpWebRequest и записывает результат в файл.

Pilso 20 май 2016, в 08:15

0

У многих честных разработчиков проблемы из-за небрежного антивирусного программного обеспечения. Смотрите также: Как предотвратить ложноположительную вирусную сигнализацию на моем программном обеспечении?

Представьте, что для каждого ложного позитива, который они показывают, вы теряете возможного клиента. Возможно, мы можем объединиться против таких антивирусных продуктов и заставить их быть более осторожными в отношении ложных положительных сигналов тревоги, даже чтобы получить некоторый доход для продаж, которые мы теряем из-за них.

Alaun 21 нояб. 2010, в 14:07

0

На самом деле, с предыдущим работодателем мне приходилось управлять приложением, которое было объявлено вирусом несколькими антивирусными продуктами. Как оказалось, DLL в проекте неправильно использовала функцию перехвата API, устанавливая перехват клавиатуры на глобальном уровне. Это было вирусное поведение и должно было быть исправлено! Предыдущий разработчик не знал об этой проблеме, поэтому приложение было не очень стабильным, и многие пользователи не могли его установить ... Действительно раздражает.
Wim ten Brink 22 нояб. 2010, в 10:48
0

Есть разница между вирусным поведением и настоящим вирусом !!!!
Rigel 05 март 2014, в 17:54
0

Ага. Мы не создавали вирус специально. Это был даже не настоящий вирус, но API-интерфейс перехвата позволит некоторому коду подключаться в каждом работающем приложении. Это то, что вирус также любит делать. :-)
Wim ten Brink 06 март 2014, в 20:24
0

Я имею в виду, что ваше приложение не было вирусом. Антивирус не должен был поднять эту тревогу.
Rigel 06 март 2014, в 21:11

Показать ещё 2 комментария

Ещё вопросы

Просто хочу добавить, что эта ошибка встречается довольно редко, но она все равно случается примерно раз в три месяца со мной или одним из моих коллег.
Я действительно где-то читал, что многие вредоносные программы и вирусы пишутся с использованием Delphi. ИМХО, это что-то говорит о универсальности и силе Delphi. Используется хакерами L33T :-)
/ Я размышляю над этим в контексте этого: cm.bell-labs.com/who/ken/trust.html . Неа:)
Карпески помечен как вирус одной программой, которую я сделал. Я послал им по электронной почте, и они исправили это для следующих обновлений.
@ Том, распространенность Delphi может иметь больше общего с языками, похожими на паскаль, популярными в Восточной Европе.
Это не ложное срабатывание: троян Win32 / Injector.CKX
Если это троян Win32 / Injector.CKX, то McAfee и другие virusscanners должны сообщать об этом для каждого проекта, скомпилированного с Delphi. Однако перекомпиляция проекта в другой системе с теми же файлами или перекомпиляция всего через несколько часов или даже через день больше не выдали предупреждений. Как полагает Том, Delphi отлично подходил для написания вредоносных программ, поэтому некоторые сигнатуры вредоносных программ могут совпадать с сигнатурами невинных приложений Delphi. (Просто потому, что подпись слишком общая.)
Да, эвристика включена. Не то чтобы я возражал, поскольку компьютер должен быть защищен, поэтому я скорее имею дело с случайным ложным срабатыванием, чем с источником инфекции. Я часто работаю над программным обеспечением для финансового рынка и, таким образом, большая часть его является конфиденциальной информацией.
Я тоже не беспокоюсь об этом. Это просто раздражает, так как означает некоторую дополнительную задержку при создании нового исполняемого файла. На нашем сервере автоматической сборки все немного хуже. Компиляция идет хорошо, но так как исполняемый файл удаляется немедленно, он просто захлебывается в таких случаях. Но опять же, это крайне редко. (И на сервере сборки, новый запуск сборки просто исправляет это снова.)
Это похоже на проблему, с которой часто сталкивается AutoIt. Я чувствую вашу боль, с развернутым кодом очень трудно (полностью) убедить клиента, что это ложный положительный результат.
Это для меня внутри, я знаю людей, управляющих им.
На самом деле, я знаю, что мне нужно вызывать только одну функцию Windows API в проекте DLL, чтобы вызывать тревожные сигналы почти на каждом вируссаннере. (API Keyhook считается подозрительным.) Но чтобы обойти ложные срабатывания, мне не нужно менять исходный код. Все, что мне нужно сделать, это выбросить файлы DCU (Delphi Compiled Units), чтобы он снова перестроил их с разными временными метками, создав, таким образом, другую подпись.
Это интересно, потому что Avira не предупреждает меня о вирусе во всех наших приложениях. Может быть, это сочетание с другими подразделениями.
Первая инфекция вирусом C # все еще продолжается, поэтому, пожалуйста, подождите немного. Для установки вам нужны рамки 250 МБ и права администратора. :-)
Это не будет практично, когда мое AV-программное обеспечение сообщает о вирусе в каком-то исполняемом файле, который я только что скомпилировал. Я знаю, что это не вирус, если я сам не написал. Проблема в том, что AV блокирует мой процесс компиляции при обнаружении ложного срабатывания. Это раздражает.
Я знаю. VirusTotal - это просто место, где вы можете узнать, какие антивирусные движки ошибочно воспринимают ваше программное обеспечение как вирус, и вы можете связаться с ними и попросить их устранить проблему.
Если у вас есть точные положительные результаты, я думаю, что это так же полезно, к сожалению.
Была и эта проблема. Был модуль Delphi, который использовался в исполняемом файле, и он реализовал связку ключей. Затем устройство использовалось в DLL для запуска под Outlook, и оно оказалось работающим. Но он вызвал довольно много вирусов, кроме сканера Касперского, который я использовал тогда! Опять же, это было еще хуже, так как DLL установил keyhook в каждом процессе. Это невозможно, когда API вызывается из исполняемого файла.
На самом деле, проблема может возникнуть с ЛЮБЫМ источником, который компилируется в Delphi, поэтому имя файла может быть другим. Создание исключения для исполняемого файла увеличит риск в очень небольшом количестве, но мне нужно сделать это, чтобы обойти очень редкую проблему. Тем более, что есть простой обходной путь, это не реальная проблема. Просто раздражает, когда это происходит. И, как я уже сказал, наши системы работают с финансовыми приложениями, поэтому мы все время параноики. ;-) Раздражает, но требуется.
Как это не может быть ложным срабатыванием? Программное обеспечение AV ложно идентифицирует его как вредоносное ПО. Значение «ложного срабатывания» зависит от результата, а не от того, является ли процесс разумным или нет. Многие разумные процессы дают ложные срабатывания.
На самом деле, с предыдущим работодателем мне приходилось управлять приложением, которое было объявлено вирусом несколькими антивирусными продуктами. Как оказалось, DLL в проекте неправильно использовала функцию перехвата API, устанавливая перехват клавиатуры на глобальном уровне. Это было вирусное поведение и должно было быть исправлено! Предыдущий разработчик не знал об этой проблеме, поэтому приложение было не очень стабильным, и многие пользователи не могли его установить ... Действительно раздражает.
Есть разница между вирусным поведением и настоящим вирусом !!!!
Ага. Мы не создавали вирус специально. Это был даже не настоящий вирус, но API-интерфейс перехвата позволит некоторому коду подключаться в каждом работающем приложении. Это то, что вирус также любит делать. :-)
Я имею в виду, что ваше приложение не было вирусом. Антивирус не должен был поднять эту тревогу.

Copas · Accepted Answer · 2009-06-14T21-50-00.000Z

Имеются ли эти ложные срабатывания с другими компиляторами?

Да, это была распространенная проблема в прошлом для AutoIt, как описано в этом форуме post "Действительно ли мои файлы AutoIt EXE действительно заражены?" . В большинстве случаев, включая AutoIt, это связано с плохими эвристическими практиками. Поскольку AutoIt использует бесплатный и открытый UPX компрессор часто ошибочно принимается за вредоносный код, который также использует UPX.

Лучшая (и, возможно, единственная) вещь, которую вы можете сделать, это сообщить об этих ошибках, чтобы они могли усовершенствовать свою эвристику или, по крайней мере, белый список вашего приложения.

Ниже приведен список контактных данных для некоторых популярных антивирусных компаний. Все они заявляют, что ценят представления, поскольку они помогают им улучшить свой продукт.

AntiVir - Contact
A2 (A-Squared) - Контакт ( адрес электронной почты)
Avast! - Контакт
AVG - Контакт
BitDefender - Contact
BullGuard - Контакт
CA Anti-Virus - Contact
ClamAV - Контакт
ClamWin - Контакт
Comodo - Contact li >
ESET Nod32 - Contact
eSafe - Контакт (требуется логин)
Fortinet - Contact li >
F-PROT - Контакт
F-Secure - Contact li >
G-Data - Контакт
Kaspersky - Contact li >
McAfee - Контакт (адрес электронной почты)
Norman - Контакт (адрес электронной почты)
Panda Антивирус - Contact
Sophos - Contact
Symantec (Norton) - Contact
Vipre - Контакт
Windows Live OneCare - Контакт
ZoneLabs - Contact li >

Оказывается, есть большой список программного обеспечения AV в википедии, называемый 'Список антивирусных программ. Это более полно, чем мой список выше.

Участник форумов Autoit сделал отличный script, чтобы отправить ложное сообщение большому списку поставщиков AV для автоматизации этот процесс немного.

Очень хорошая ссылка действительно!
Но они заинтересованы только если вы автор. В течение многих лет McAfee объявлял файл .OBJ в моей системе потенциально нежелательной программой, но у него не было проблем с включением .EXE. Однако я не был автором, и поскольку это была старая, более не поддерживаемая версия, автор ничего не собирался делать.
@Loren: Интересно, я не знал, что они сделали такие различия. Спасибо за головы!
Другой для вашего списка (у меня нет представителя для редактирования), VIPRE от Sunbelt Software, www.sunbeltsoftware.com
@Copas: это «Vipre», а не «Viper» - так как вы пытаетесь создать список ссылок
Обратите внимание, что UPX не так уж и полезен. Это заставляет ваши программы занимать значительно больше памяти для запуска и имеет гораздо меньше преимуществ в современных системах, чем раньше.
Есть какой-нибудь успешный судебный иск против антивирусной компании?
Более того, сценарии AutoIt завершены по Тьюрингу и могут содержать встроенные двоичные файлы, поэтому трояны-дропперы часто его используют. К сожалению, антивирус обнаруживает вирусы в оболочке AutoIt, а не читает встроенный скрипт. Бу. Сценарий AutoIt, который не удаляет исполняемый файл, вероятно, не заражен.