Autor Téma: Falešné antivirové hlášení u exe souboru vytvořeného v Delphi 7  (Přečteno 1333 krát)

Offline age.new

  • Hrdina
  • ****
  • Příspěvků: 316
  • Karma: 0
Vážená komunito,

antivir hlásí přítomnost nějakého viru / trojanu v mou "zbilděném" exe souboru v Delphi 7.

Hrozbu hlásí např. Sophos antivir, který se dá brát jako ten lepší a využívají jej i velké firmy. Jiné antiviry ale nic nehlásí. Dá se s tím něco dělat? Samozřejmě, že hrozba je nulová, jen se to špatně vysvětluje.

Děkuji.

Offline Stanislav Hruška

  • Padawan
  • ******
  • Příspěvků: 6163
  • Karma: 44
    • Verze Delphi: W10 + D11
Pozri si históriu. Už sa to tu niekoľkokrát preberalo. Dosť podrobne.
W10 64b, Delphi 10.4, FireBird 3.08
Expert na kladenie nejasne formulovaných otázok.

Offline vandrovnik

  • Guru
  • *****
  • Příspěvků: 1301
  • Karma: 51
    • Verze Delphi: 10.3
Dá se s tím něco dělat? Samozřejmě, že hrozba je nulová, jen se to špatně vysvětluje.

Ideálně to nahlásit výrobci antiviru jako falešně pozitivní detekci.

Offline age.new

  • Hrdina
  • ****
  • Příspěvků: 316
  • Karma: 0
Takže ... někdo využil volně dostupnou Delphi komponentu k vytvoření viru. Tento vir se dostal do hledáčku antivirových společností a ty jej "označili". A když pak někdo jiný tu komponentu též využije, tak se může stát, že jej antivir falešně detekuje?

Offline pf1957

  • Padawan
  • ******
  • Příspěvků: 3343
  • Karma: 139
    • Verze Delphi: D2007, XE3, DX10
Takže ... někdo využil volně dostupnou Delphi komponentu k vytvoření viru. Tento vir se dostal do hledáčku antivirových společností a ty jej "označili". A když pak někdo jiný tu komponentu též využije, tak se může stát, že jej antivir falešně detekuje?
IMHO ne, jen detekuji nejakou sekvenci kodu, ktera se take vyskytuje v nejakem viru.

Osobne kdyz narazim report o pritomnosti viru, tak to otestuju na virus total a false positive detekci pak reportuju vyrobci antiviru.

Offline JaroB

  • Guru
  • *****
  • Příspěvků: 1066
  • Karma: 29
    • Verze Delphi: XE8, Sydney
Setkával jsem se s tím docela pravidelně u Symantecu. Požíral mi cca do 2 minut sestavený program a umísťoval ho do karantény. Byla taková období, která trvala půl dne nebo i týden. Po změně souboru signatur se Symantec vrátil do normálu. Ale byly to nervy, když se to objevilo poprvé. Teď obvykle stačí počkat pár hodin na nové vydání signatur a samo se to spraví.

Offline Jan Fiala

  • Hrdina
  • ****
  • Příspěvků: 256
  • Karma: 3
    • Verze Delphi: 10.4.1
    • PSPad editor
Nejrozumnější je pořídit Code sign certifikát a EXE podepisovat. Stačí i ten nejlepvnější od Comodo, pořízený přes resellera K-Software. I tak to není "zadarmo", ale oplátkou bude bezproblémové spouštění aplikací ve Windows a odpadnou false positive poplachy.

Jen je třeba se připravit na online ověřování a návštěvu notáře - ověření podpisu. To nejde udělat na CzechPointu, protože ten neověřuje anglické listiny a pouze notář může udělat ověření s mezinárodní platností. Ona je to celé taková ochcávačka, protože u notáře neověřujete obsah, ale budete chtít ověřit jen podpis, tedy podpisy. Nikdo vám neověří třeba platnost průkazu, takže na stránku nafotíte občanku, k tomu dopíšete, že prohlašujete, že je to fotka vaší občanky a notář vám pod tím ověří váš podpis.
Celé si to nechte pak zapečetit notářskou pečení a všichni budou spokojení.

Offline Jirka

  • Hrdina
  • ****
  • Příspěvků: 447
  • Karma: 9
    • Verze Delphi: XE2
Nejrozumnější je pořídit Code sign certifikát a EXE podepisovat. Stačí i ten nejlepvnější od Comodo, pořízený přes resellera K-Software. I tak to není "zadarmo", ale oplátkou bude bezproblémové spouštění aplikací ve Windows a odpadnou false positive poplachy.

Z mé zkušenosti určitě odpadnout nemusí , jedna věc je podepsaná aplikace a druhá reputace dané aplikace .

Pokud si to dobře pamatuji tak dříve jsem měl problémy pouze u Avastu (u mých zakazníků minorita) ale pak sloučily AVG + Avast  a musel jsem to řešit "Code sign" certifikátem.
Ale pro celkové řešení problému jsem musel  jít na "Avast – File Whitelisting".
A občas mi to při instalaci u zákazníka odešle Symantec  do virové laboratoře..

Offline Jan Fiala

  • Hrdina
  • ****
  • Příspěvků: 256
  • Karma: 3
    • Verze Delphi: 10.4.1
    • PSPad editor
Problémy jsem řešil pořád dokola s různými antiviry. Necháš aplikaci zařadit do whitelistu - to nějakou dobu trvá. Pak vydáš novou verzi a jedeš znovu. Antivir vydá aktualizaci a začne aplikaci hlásit. Vydá další a přestane to.
A vysvětluj zákazníkům, že to je false flag, že to hlásí jeden antivir z 30 (VirusTotal). A to nemluvím o zákaznících, kteří se neozvou, berou to jako malware a šíří o tom informace dál.
Od chvíle, kdy jsem začal podepisovat aplikaci a instalační balík, falešná hlášení přestala. Za mne ty peníze za certifikát stojí za ušetřený čas a nervy.

Offline geby

  • Plnoletý
  • ***
  • Příspěvků: 241
  • Karma: 17
    • Verze Delphi: 7, 2007, XE2, 10.2
    • Synapse
On ten OV certifikát nezaručí odstranění problému, ale umožní program identifikovat a budovat důvěru. Takže jeho pořízení nezaručí, že hlášky okamžitě zmizí, ale antiviraky se mohou naučit, ze programy podepsané tímto certifikátem nejsou automaticky fuj.

To ti zaručují až o dost dražší EV certifikáty.

OV certifikát tě reálně vyjde zhruba na 2000 ročně. To je pakatel pro komerční software, ale třeba pro hobby to už tak málo není. Krom toho, ty procesy validace tak nějak počítají s firmami, někteří nabízejí zvláštní podporu pro OSVČ, ale když si to člověk chce udělat jen tak, soukromě, tak koukají jak Puk.

Skutečný bezpečnostní přínos je mizerný, protože když si to dokážete zařídit vy, dokáže si to udělat i kdejaký bílý kůň. Ve výsledku to otravuje uživatele a z firem taha prachy.

Offline vandrovnik

  • Guru
  • *****
  • Příspěvků: 1301
  • Karma: 51
    • Verze Delphi: 10.3
Speciálně Avast/AVG a jejich oblíbený "virus" DRep (= download reputation), se kterým straší uživatele, protože se jedná o málo stahovanou aplikaci - tam samotný certifikát nepomohl, hlásilo to i u podepsané aplikace.

Offline Jirka

  • Hrdina
  • ****
  • Příspěvků: 447
  • Karma: 9
    • Verze Delphi: XE2
Speciálně Avast/AVG a jejich oblíbený "virus" DRep (= download reputation), se kterým straší uživatele, protože se jedná o málo stahovanou aplikaci - tam samotný certifikát nepomohl, hlásilo to i u podepsané aplikace.

Jak jsem psal , proto nestačil code sign,  ale ještě jsem musel řešit whitelist ... a pak stejně můžeš narazit  na SmartScreen  >:(

Offline Faltynek

  • Plnoletý
  • ***
  • Příspěvků: 228
  • Karma: 2
    • Verze Delphi: D5 Enterprise, D2009
Excellent
Rated 1 time
Jeden program, co jsem v D2009 sestavil, mi AVG a AVAST blokuje, ostatní antiviry nehlásí nic. Poslal jsem hlášení falešného poplachu do AVG, bezvýsledně. Nevím, jestli se tím někdo zabýval. Vyřešil jsem to výjimkou v AVG.

Jestli nebylo líp v době ZX spectrum a Commodore 64, systém byl v ROM nebo EPROM a žádní výři nebyli. ;)
Dalik.
Dalibor (D2009 Enterprise, dřív D5Enterprise)

Offline Luďan

  • Nováček
  • *
  • Příspěvků: 17
  • Karma: 2
Kdysi jsem si udělal program na generování aktivačních klíčů mé aplikace (KeyGen.exe). Nedávno jsem jej vyhrabal na archivním disku. Po zkopírování mi antivir hlásí problém a exáč odstranil. Asi mu vadil název, protože po přejmenování byl klid.
A pak jsem se setkal s tím, že antivir hlásil, že aplikaci nelze spustit, protože o ni nemá informace a protože není tak rozšířená, je preventivně blokována. To je taky fajn vysvětlovat zákazníkovi, který umí akorát tak počítač zapnout a kliknou na ikonu.

Offline pepak

  • Padawan
  • ******
  • Příspěvků: 1559
  • Karma: 37
    • Pepak.net
Good
Rated 1 time
Bohužel, s tím se musíme smířit. Pro antivirus je menší zlo, když zablokuje to, co nemá - to si vždycky dokáže obhájit a konec konců náklady na to nese někdo jiný. Kdyby pustil něco škodlivého, tak se to bude vysvětlovat podstatně hůře a náprava také nebude zadarmo.