Autor Téma: Falešné antivirové hlášení u exe souboru vytvořeného v Delphi 7  (Přečteno 316 krát)

Offline age.new

  • Plnoletý
  • ***
  • Příspěvků: 208
  • Karma: 0
Vážená komunito,

antivir hlásí přítomnost nějakého viru / trojanu v mou "zbilděném" exe souboru v Delphi 7.

Hrozbu hlásí např. Sophos antivir, který se dá brát jako ten lepší a využívají jej i velké firmy. Jiné antiviry ale nic nehlásí. Dá se s tím něco dělat? Samozřejmě, že hrozba je nulová, jen se to špatně vysvětluje.

Děkuji.

Offline Stanislav Hruška

  • Padawan
  • ******
  • Příspěvků: 4858
  • Karma: 41
    • Verze Delphi: XE7 professional
Pozri si históriu. Už sa to tu niekoľkokrát preberalo. Dosť podrobne.
Delphi XE7, FireBird
Expert na kladenie nejasne formulovaných otázok.

Offline vandrovnik

  • Guru
  • *****
  • Příspěvků: 988
  • Karma: 47
    • Verze Delphi: 10.3
Dá se s tím něco dělat? Samozřejmě, že hrozba je nulová, jen se to špatně vysvětluje.

Ideálně to nahlásit výrobci antiviru jako falešně pozitivní detekci.

Offline age.new

  • Plnoletý
  • ***
  • Příspěvků: 208
  • Karma: 0
Takže ... někdo využil volně dostupnou Delphi komponentu k vytvoření viru. Tento vir se dostal do hledáčku antivirových společností a ty jej "označili". A když pak někdo jiný tu komponentu též využije, tak se může stát, že jej antivir falešně detekuje?

Offline pf1957

  • Padawan
  • ******
  • Příspěvků: 2734
  • Karma: 133
    • Verze Delphi: D2007, XE3, DX10
Takže ... někdo využil volně dostupnou Delphi komponentu k vytvoření viru. Tento vir se dostal do hledáčku antivirových společností a ty jej "označili". A když pak někdo jiný tu komponentu též využije, tak se může stát, že jej antivir falešně detekuje?
IMHO ne, jen detekuji nejakou sekvenci kodu, ktera se take vyskytuje v nejakem viru.

Osobne kdyz narazim report o pritomnosti viru, tak to otestuju na virus total a false positive detekci pak reportuju vyrobci antiviru.

Offline JaroB

  • Guru
  • *****
  • Příspěvků: 986
  • Karma: 28
    • Verze Delphi: XE8, Seattle
Setkával jsem se s tím docela pravidelně u Symantecu. Požíral mi cca do 2 minut sestavený program a umísťoval ho do karantény. Byla taková období, která trvala půl dne nebo i týden. Po změně souboru signatur se Symantec vrátil do normálu. Ale byly to nervy, když se to objevilo poprvé. Teď obvykle stačí počkat pár hodin na nové vydání signatur a samo se to spraví.

Offline Jan Fiala

  • Mladík
  • **
  • Příspěvků: 51
  • Karma: 0
    • PSPad editor
Nejrozumnější je pořídit Code sign certifikát a EXE podepisovat. Stačí i ten nejlepvnější od Comodo, pořízený přes resellera K-Software. I tak to není "zadarmo", ale oplátkou bude bezproblémové spouštění aplikací ve Windows a odpadnou false positive poplachy.

Jen je třeba se připravit na online ověřování a návštěvu notáře - ověření podpisu. To nejde udělat na CzechPointu, protože ten neověřuje anglické listiny a pouze notář může udělat ověření s mezinárodní platností. Ona je to celé taková ochcávačka, protože u notáře neověřujete obsah, ale budete chtít ověřit jen podpis, tedy podpisy. Nikdo vám neověří třeba platnost průkazu, takže na stránku nafotíte občanku, k tomu dopíšete, že prohlašujete, že je to fotka vaší občanky a notář vám pod tím ověří váš podpis.
Celé si to nechte pak zapečetit notářskou pečení a všichni budou spokojení.

Offline Jirka

  • Plnoletý
  • ***
  • Příspěvků: 215
  • Karma: 8
    • Verze Delphi: XE2
Nejrozumnější je pořídit Code sign certifikát a EXE podepisovat. Stačí i ten nejlepvnější od Comodo, pořízený přes resellera K-Software. I tak to není "zadarmo", ale oplátkou bude bezproblémové spouštění aplikací ve Windows a odpadnou false positive poplachy.

Z mé zkušenosti určitě odpadnout nemusí , jedna věc je podepsaná aplikace a druhá reputace dané aplikace .

Pokud si to dobře pamatuji tak dříve jsem měl problémy pouze u Avastu (u mých zakazníků minorita) ale pak sloučily AVG + Avast  a musel jsem to řešit "Code sign" certifikátem.
Ale pro celkové řešení problému jsem musel  jít na "Avast – File Whitelisting".
A občas mi to při instalaci u zákazníka odešle Symantec  do virové laboratoře..

Offline Jan Fiala

  • Mladík
  • **
  • Příspěvků: 51
  • Karma: 0
    • PSPad editor
Problémy jsem řešil pořád dokola s různými antiviry. Necháš aplikaci zařadit do whitelistu - to nějakou dobu trvá. Pak vydáš novou verzi a jedeš znovu. Antivir vydá aktualizaci a začne aplikaci hlásit. Vydá další a přestane to.
A vysvětluj zákazníkům, že to je false flag, že to hlásí jeden antivir z 30 (VirusTotal). A to nemluvím o zákaznících, kteří se neozvou, berou to jako malware a šíří o tom informace dál.
Od chvíle, kdy jsem začal podepisovat aplikaci a instalační balík, falešná hlášení přestala. Za mne ty peníze za certifikát stojí za ušetřený čas a nervy.

Offline geby

  • Plnoletý
  • ***
  • Příspěvků: 223
  • Karma: 16
    • Verze Delphi: 7, 2007, XE2, 10.2
    • Synapse
On ten OV certifikát nezaručí odstranění problému, ale umožní program identifikovat a budovat důvěru. Takže jeho pořízení nezaručí, že hlášky okamžitě zmizí, ale antiviraky se mohou naučit, ze programy podepsané tímto certifikátem nejsou automaticky fuj.

To ti zaručují až o dost dražší EV certifikáty.

OV certifikát tě reálně vyjde zhruba na 2000 ročně. To je pakatel pro komerční software, ale třeba pro hobby to už tak málo není. Krom toho, ty procesy validace tak nějak počítají s firmami, někteří nabízejí zvláštní podporu pro OSVČ, ale když si to člověk chce udělat jen tak, soukromě, tak koukají jak Puk.

Skutečný bezpečnostní přínos je mizerný, protože když si to dokážete zařídit vy, dokáže si to udělat i kdejaký bílý kůň. Ve výsledku to otravuje uživatele a z firem taha prachy.

Offline vandrovnik

  • Guru
  • *****
  • Příspěvků: 988
  • Karma: 47
    • Verze Delphi: 10.3
Speciálně Avast/AVG a jejich oblíbený "virus" DRep (= download reputation), se kterým straší uživatele, protože se jedná o málo stahovanou aplikaci - tam samotný certifikát nepomohl, hlásilo to i u podepsané aplikace.

Offline Jirka

  • Plnoletý
  • ***
  • Příspěvků: 215
  • Karma: 8
    • Verze Delphi: XE2
Speciálně Avast/AVG a jejich oblíbený "virus" DRep (= download reputation), se kterým straší uživatele, protože se jedná o málo stahovanou aplikaci - tam samotný certifikát nepomohl, hlásilo to i u podepsané aplikace.

Jak jsem psal , proto nestačil code sign,  ale ještě jsem musel řešit whitelist ... a pak stejně můžeš narazit  na SmartScreen  >:(