Антивирус Ложное срабатывание в моем исполняемом файле

На удивление часто приложения на Delphi сообщаются антивирусными приложениями как (потенциально) вредные. Это случилось со мной некоторое время назад, когда я использовал Delphi 2009, см. http://en.wikipedia.org/wiki/Wikipedia:Reference_desk/Archives/Computing/2010_March_20#Delphi.2FAVG_Issue.

В SO у нас также есть

• Вирус в Delphi 7
• Случайно создали вирус?

и многое другое.

Это может быть настоящий Induc Virus. Но скорее всего, это ложное срабатывание.

Андреас ответил превосходно; это часто случается с приложениями Delphi.

Код подписи не имеет никакого значения - у меня были ложные срабатывания NOD32 на подписанный код Delphi.

Если бы существовали какие-либо методы, позволяющие избежать ложных срабатываний, авторы вирусов использовали бы их, чтобы избежать обнаружения.

Я обнаружил, что лучший способ действий, к сожалению, - скорее реактивный, чем проактивный. Все поставщики антивирусных программ имеют возможность сообщать о ложных срабатываниях, и я обнаружил, что они реагируют на сообщения.

Многие честные разработчики сталкиваются с проблемами из-за неосторожного обращения с антивирусами. См. Также: Как предотвратить ложное срабатывание вируса на мое программное обеспечение?

Представьте, что за каждое ложное срабатывание вы теряете потенциального покупателя. Программисты должны принять меры против таких антивирусных продуктов. будьте более осторожны с ложными срабатываниями тревог, даже если вы хотите вернуть часть выручки от продаж, которые мы теряем из-за них.

Обновление:
Недавно я заметил, что:

• Количество ложных срабатываний на VirusTotal.com НАМНОГО больше, когда программа скомпилирована в «режиме выпуска» (с оптимизацией компилятора), чем когда она скомпилирована в «режиме отладки».
• Обнаружение ракет в небе при использовании EurekaLog.

Итак, отправьте VirusTotal перед публикацией своей программы!

Обновление 2019:
К сожалению, InnoSetup тоже не обошел стороной. Я создал фиктивный установщик с InnoSetup и загрузил его на VirusTotal. 5 из 52 программ, сообщили о ложном срабатывании. Обновление при обновлении: теперь количество ложных срабатываний увеличено до 9!

В качестве решения вы можете захотеть:

1 - Убедитесь, что ваш компилятор Delphi не заражен
2 - Убедитесь, что ваши источники и библиотеки не обработаны (это было MO для Induc вирус) < br> 3 - Проверьте свой (гарантированно) чистый exe с AV. Если они сообщают о ложном срабатывании, свяжитесь с ними, чтобы они могли исправить свои тесты.

4 - Если вам нужно распространить до того, как появится возможность исправить AV, подпишите свой exe, чтобы ваши пользователи могли убедиться, что он чист.

Существует несколько причин, по которым антивирусный продукт может срабатывать на исполняемом файле, созданном Delphi. Вот несколько наиболее распространенных причин:

• Многие вирусы написаны на Delphi, поэтому в вашем исполняемом файле могут быть некоторые части кода, которые выглядят так же, как существующие вирусы.
• Таблица импорта вашей программы используется для определения того, что ваш исполняемый файл может делать, например, ссылка на функции управления учетными данными или управления дисками запускает некоторые антивирусные программы.

Как было предложено ранее, попробуйте сканировать свою версию выпуска с помощью онлайн-сервисов, таких как Virustotal или Jotti и всегда сообщать поставщикам о своих ложных срабатываниях вместо того, чтобы пытаться предотвратить ложные срабатывания. Мой опыт показывает, что поставщики антивирусных программ довольно быстро реагируют на заявки.

В группах Free Pascal / Lazarus и багтрекере такие сообщения появляются почти каждый выпуск и / или месяц.

Обычно мы советуем пользователям игнорировать все «общие» или «эвристические» типы сканирования и придерживаться сканирования на основе сигнатур (как это делают большинство корпоративных антивирусных сканеров).

Это потому, что это почти всегда эвристические сигналы тревоги, а не конкретное вредоносное ПО. Это легко увидеть по тому факту, что обнаруженный «вирус / троян» почти всегда относится к «универсальному» типу. Обычно сканеры вирусов также являются типичными "домашними" сканерами вирусов или домашними версиями обычных сканеров вирусов (раньше Norton был особенно плохим, в настоящее время это в основном более мелкие "дешевые" сканеры для домашнего использования)

Однако мы общаемся в основном с разработчиками и уже не можем донести это сообщение. Я могу представить, что при распространении среди невежественных конечных пользователей это сообщение действительно сложно передать.

Но другого пути нет.