41

面倒な問題に遭遇しました。突然、 Avira AntiVirが私のソフトウェアの 1 つの実行可能ファイルにウイルスとしてフラグを付け始めました。

ほとんどすべてのユーザーのデフォルト アクションは [OK] をクリックすることであり、Avira はウイルスを隔離することを提案するため、ほとんどのユーザーはこの実行可能ファイルを削除しています。

まあ、傲慢にならずに、私が本当に感染していないかどうかを確認しましょう. 私はファイルをhttp://www.virustotal.comに投稿しましたが、すべてのウイルス対策から、Avira だけが感染しているとフラグを立てました。さらに、コンピューターを 2 つの異なるアンチウイルスでスキャンしたところ、問題はありませんでした。

何が起こっているのかを説明するメールをユーザーに投稿しましたが、これは私のサポートのオーバーヘッドであり、私は本当に望んでいません。

わかりました、質問は次のとおりです。この種の動作を回避する方法はありますか? ファイルに署名する以外の方法は考えられませんが (それで解決するかどうかはよくわかりません)、独創的なアイデアがあるかどうか見てみましょう。

4

6 に答える 6

27

Delphi アプリケーションが AV アプリケーションによって (潜在的に) 有害であると報告されることは驚くほど一般的です。少し前に、Delphi 2009 を使用して、http://en.wikipedia.org/wiki/Wikipedia:Reference_desk /Archives/Computing/2010_March_20#Delphi.2FAVG_Issue を参照してください。

SOでは、

などなど。

それは実際の誘導ウイルスかもしれません。しかし、ほとんどの場合、それは偽陽性です。

于 2010-07-26T21:32:19.687 に答える
24

アンドレアスの答えは素晴らしいです。それは、Delphi アプリケーションではよくあることです。

コードに署名しても違いはありません。署名済みの Delphi コードで NOD32 に誤検知をスローさせたことがあります。

誤検知を回避する手法があれば、ウイルス作成者はそれらを使用して検出を回避します。

残念ながら、最善の行動方針は積極的ではなく受動的であることがわかりました. すべての AV ベンダーは、誤検知を報告する機能を備えており、レポートに迅速に対応できることがわかりました。

于 2010-07-27T00:53:47.573 に答える
4

多くの正直な開発者は、不注意なウイルス対策ソフトウェアのために問題を抱えています。これも参照してください:ソフトウェアで誤検知ウイルス アラームを防ぐ方法は?

彼らが示す偽陽性ごとに、潜在的な顧客を失うことを想像してみてください。プログラマーは、そのようなウイルス対策製品に対して行動を起こし、誤検出アラームに対してより注意を払うように強制する必要があります。これにより、売上が失われた場合でも、収益を取り戻すことができます。

更新:
最近、私は次のことを観察しました:

  • VirusTotal.com での誤検知の数は、プログラムが「リリース モード」でコンパイルされている場合 (コンパイラの最適化あり) は、「デバッグ モード」でコンパイルされている場合よりもはるかに多くなります。
  • EurekaLog 使用時のスカイロケットの検出。

プログラムを公開する前に、VirusTotal に提出してください。

2019 年更新:
残念ながら、InnoSetup も例外ではありません。InnoSetup でダミーのインストーラーを作成し、VirusTotal にアップロードしました。52 個のプログラムのうち 5 個が偽陽性を報告しました。更新時の更新: 誤検知の数が 9 に増えました!

于 2010-11-21T12:11:54.877 に答える
3

解決策として、次のことをお勧めします。

1 - Delphi コンパイラが感染していないことを確認します 2 - ソースとライブラリが強化されていないことを確認します (これはInduc Virus
の MO でした) 3 - AV で (保証された) クリーンな exe をチェックします。誤検知が報告された場合は、テストを修正できるように連絡してください。

4 - AV を修正する前に配布する必要がある場合は、exe に署名して、ユーザーがクリーンであることを確認できるようにします。

于 2010-07-27T00:45:18.003 に答える
3

Free Pascal/Lazarus グループとバグトラッカーでは、このようなメッセージがほぼすべてのリリースおよび/または毎月発生します。

通常、「一般的な」または「ヒューリスティックな」スキャン タイプをすべて無視し、シグネチャ ベースのスキャンを使用することをお勧めします (ほとんどの企業のウイルス スキャナが行っているように)。

これは、ほとんどの場合ヒューリスティック アラームであり、特定のマルウェアではないためです。これは、検出された「ウイルス/トロイの木馬」がほぼ常に「一般的な」タイプであるという事実からすぐにわかります。通常、ウイルススキャナは典型的な「家庭用」ウイルススキャナ、または一般的なウイルススキャナの家庭用版でもあります (Norton は特に悪いものでしたが、最近では小規模な「安価な」家庭用スキャナがほとんどです)。

しかし、私たちは主に開発者とコミュニケーションを取っていますが、このメッセージを伝えるのにすでに苦労しています. 無知なエンドユーザーに配布する場合、これを伝えるのは本当に難しいメッセージだと思います。

それでも、他に方法はありません。

于 2010-07-27T10:08:51.413 に答える
3

アンチ ウイルス製品が Delphi によって生成された exe でトリガーされる理由はいくつかあります。いくつかの一般的な理由は次のとおりです。

  • 多くのウイルスが Delphi で作成されているため、既存のウイルスと同じように見えるコード部分が exe ファイルに含まれている可能性があります。
  • プログラムのインポート テーブルは、exe何を行うかを決定するために使用されます。たとえば、資格情報管理またはディスク管理機能にリンクすると、一部の AV がトリガーされます。

前に提案したように、 VirustotalJottiなどのオンライン サービスを使用してリリース バージョンをスキャンし、誤検出を防止しようとするのではなく、常にベンダーに誤検出を報告してください。私の経験では、AV ベンダーは送信時に非常に迅速に反応します。

于 2010-07-27T07:21:20.393 に答える