Vir v EXE

[Fala]

nevím, jestli jsem tohle dobře zařadil, ale stalo se mi to u FM aplikace.

Jeden uživatel mi nahlásil, že AVAST mu hlásí zavirovanou aplikaci. Na kompu mám MS Essential, projde to i přes AVG a bez viru. Zkoušel jsem i nainstalovat Avast Free a tam to také nehlásilo. Nicméně uživatel může mít placenou verzi, která bude zřejmě dělat nějakou heurelistickou analýzu.

Myslíte, že by Delphi mohlo generovat kód, který by mohl antivir vyhodnotit jako vir?

Avast je sice dost známý, ale asi bude hlásit také planý poplach.

Stalo se vám někdy něco podobného?

[pepak]

Myslíte, že by Delphi mohlo generovat kód, který by mohl antivir vyhodnotit jako vir?

Samozřejmě. Antiviry obecně vyhodnotí jako virus kde co, bez ohledu na to, jestli to škodlivé je nebo není.

Avast je sice dost známý, ale asi bude hlásit také planý poplach.

Skoro s jistotou.

Stalo se vám někdy něco podobného?

Jasně. Třeba BitDefender mi v YTD hlásí planý poplach každého půl roku. Já jim vždycky nahlásím false positive, vysvětlím jim, v čem spočívá, oni to "opraví" a za půl roku to zase zavedou do detekce, protože stejnou dekompresní rutinu (7z SFX zkomprimované UPXem) použije některý virus...

[pf1957]

Jasně. Třeba BitDefender mi v YTD hlásí planý poplach každého půl roku. Já jim vždycky nahlásím false positive, vysvětlím jim, v čem spočívá, oni to "opraví" a za půl roku to zase zavedou do detekce, protože stejnou dekompresní rutinu (7z SFX zkomprimované UPXem) použije některý virus...

Ja to zpravidla zkontroluju na www.virustotal.com a podivam se, co je zac ten virtus, co to reportuje. Zatim to bylo vzdycky false positive.

[< z >]

ano, potvrzuji, antiviry jsou zlo

[pf1957]

ano, potvrzuji, antiviry jsou zlo

Vubec nejshorsi jsou ty, ktere se povesi do I/O systemu a strkaji nos do veci, do kterych jim nic neni, napr. do casto se menicich logu :-(

[Mi.Chal.]

Vubec nejshorsi jsou ty, ktere se povesi do I/O systemu a strkaji nos do veci, do kterych jim nic neni, napr. do casto se menicich logu :-(

u slušného antiviru se dají nastavit výjimky, které soubory/adresáře nebo procesy to má ignorovat

[< z >]

to jsou, ale vysvetluj uzivatelovi, jak najit nastaveni a ze je to opravdu nutne a ze to vir neni

[pf1957]

to jsou, ale vysvetluj uzivatelovi, jak najit nastaveni a ze je to opravdu nutne a ze to vir neni

No a ne vzdycky mas sanci nastaveni ovlivnit: zejmena kdyz je to enteprise prostredi s centralne urcenou security policy. Zazil jsem na vlastni kuzi, co dalo usili vydrzkovat vyjimku pro server, na ktery jsme meli dodat nas soft, aby nam AV nelezl po trace logach.

[leonell]

Zrovna v neděli se mně to stalo. Přidal jsem jeden řádek a ESET šup - virus!
Tak jsem to rozdělil na dva řádky, což zřejmě kompilátor přeložil jinak a ESET to sežral i s navijákem k mé spokojenosti Stalo se mi to za rok asi třikrát.

[< z >]

zrovna ted jsem narazil taky na zajimavou vec,
zmensoval jsem EXE a odstranil jsem RTTI ... hned vir

a nejzajimavejsi je, ze sem pres virustotal poslal soubor, kam jsem dam maly volani domu
to bych neveril, kolik serveru antivirovych spolecnosti je zapsano v blacklistu pro spam (hledano pres whois) - vsechny