Подскажите что делать? Антивирусы распознают мой софт как троян.
Возможно из-за того что он биндит сокет. Еще планирую добавить туда хуки. Тогда получится вообще полноценный троян.
Вобщем, что делать
K>Подскажите что делать? Антивирусы распознают мой софт как троян. K>Возможно из-за того что он биндит сокет. Еще планирую добавить туда хуки. Тогда получится вообще полноценный троян. K>Вобщем, что делать
Писать письма производителям самых распространённых антивирусов, чтобы исправили лажу. Правда, это только в случае если твой софт распознаётся как троян именно сигнатурными сканерами или фильтрами. Если же бьёт тревогу какая-нибудь проактивная защита, HIPS и т.д. и т.п., тогда это бессмысленно и можно попытаться реализовать функционал продукта каки-либо другим способом, если это возможно. Если нет — ну тогда остаётся только предупреждать об этом пользователей прямо на сайте.
x64>Писать письма производителям самых распространённых антивирусов, чтобы исправили лажу. Правда, это только в случае если твой софт распознаётся как троян именно сигнатурными сканерами или фильтрами. Если же бьёт тревогу какая-нибудь проактивная защита, HIPS и т.д. и т.п., тогда это бессмысленно и можно попытаться реализовать функционал продукта каки-либо другим способом, если это возможно. Если нет — ну тогда остаётся только предупреждать об этом пользователей прямо на сайте.
С недавних пор начали реагировать множество антивирусов, хотя прогу не апдейтил уже давно. Пользователи начали активно жаловаться. Avast, AVG, Norton. Попробовал связаться с AVG по мылу — тихо, уже месяц прошел. С остальными только по телефону на английском. Разговорный инглиш у меня хромает.
Антивирусники затягивают гайки. Про висту я вообще молчу.
Здравствуйте, kibadachi, Вы писали:
K>Антивирусники затягивают гайки.
Скоро они будут предлагать отдельную услугу по исключению нашего софта из их баз вирусов Ну естественно это будет происходить за символическую плату в XXX у.е. ежемесячно
А вообще какая-то засада с этими антивирусами. Иногда они хуже самих вирусов. Ну а пользователям я рекомендую virustotal.com чтоб убедиться в ложном срабатывании.
Здравствуйте, kibadachi, Вы писали:
K>Подскажите что делать? Антивирусы распознают мой софт как троян. K>Возможно из-за того что он биндит сокет. Еще планирую добавить туда хуки. Тогда получится вообще полноценный троян. K>Вобщем, что делать
Возможно, вы еще используете нависную защиту типа AsProtect, Execryptor.. или даже простой UPX. Это всё усугубляет ситуацию с антивирусами.
+ проверяйтеcь перед релизом на virustotal.com
Re[4]: тревога антивирусов
От:
Аноним
Дата:
11.10.08 19:06
Оценка:
Здравствуйте, YuriKobets, Вы писали:
YK>А вообще какая-то засада с этими антивирусами. Иногда они хуже самих вирусов. Ну а пользователям я рекомендую virustotal.com чтоб убедиться в ложном срабатывании.
У меня "пустое" VCL Forms приложение, скомпилированное в Turbo Delphi, при проверке на virustotal выдает 2/36. Это нормально?
"YuriKobets" <21901@users.rsdn.ru> сообщил/сообщила в новостях следующее: news:3134559@news.rsdn.ru... > Здравствуйте, kibadachi, Вы писали: > > K>Антивирусники затягивают гайки. > > Скоро они будут предлагать отдельную услугу по исключению нашего софта из их баз вирусов Ну естественно это будет происходить за символическую плату в XXX у.е. ежемесячно > > А вообще какая-то засада с этими антивирусами. Иногда они хуже самих вирусов. Ну а пользователям я рекомендую virustotal.com чтоб убедиться в ложном срабатывании.
Была такая же проблема трижды с одним небезызвестным отечественным антивирусом.
Оба раза по сигнатуре, и оба раза исключали после письма в саппорт. На третий раз поддержка отписала в стиле что мол они в белых фраках, а я понятно в чем. Намеки на то, что уже дважды исключали из вирусных списков, и вроде как мы друг друга вполне понималиЮ только усиливали упомянутую выше "стилистику" общения поддержки.
Дальше было просто: Огромными такими буквами написал в софтине, "ReadME прочите плз, специально по русски написал что и к чему".
А в ридми текст примерно такого содержания:
"Некоторые отечественные антивирусы определяют софтину как вирус и.т.д. и.тп. Название антивирусу упоминать не буду т.к. мол ценю, люблю, уважаю и вообще не хочу делать им дурной рекламы. Тра ля-ля тра ля-ля, потом историю про то что дважды исключали, а на третий раз развивали не софт свой, а больше великий, русский и могучий. И на третий раз исключать не хотят.
Второе: затем указал чуть ли не ссылку на MSDN с описанием хуков и прочего. И едкими риторическими вопросами "а чего саму Windows не банит сей славный продукт?"
И наконец, вуаля, третье:
Несмотря на продвинутость отечественного тире такого белого и пушистого есть куча антивирусов и ссылочки на них, ссылочки (тот же Avast, тот же Avg) которые вполне легитимно относятся к этой софтине. И главное в отличие от отечественного они БЕСПЛАТНЫЕ плюс у некоторые все-таки есть русская локализация. Мол, господа пользователи решайте сами кому верить, кому нет, пользоваться или удалить"
И с тех пор, та самая софтина волшебным образом испарилась раз и навсегда из вирусных списков отечественного, белого и пушистого антивируса, и больне ни разу в них не появлялась (ну, пристально я конечно не следил — но жалоб не было + периодически сам проверял).
Софтина бесплатная, поэтому ридми переписывать лениво — все никак не соберусь вписать туда информацию, куда обращаться отечественному, белому и пушистом антивирусу, чтобы я этот эпохальный текст из ридми убрал. И во сколько XXX уборка текста для них обойдется в месяц... Тоже кстати серъезный вопрос: коли бы "Вася с горки" попросил убрать — дык и пожалуйста. Но тут же иной случай — бизнес-лицензия! Можно даже сказать site лицензия — никак не определюсь с ценами ))
Здравствуйте, kibadachi, Вы писали:
K>Подскажите что делать? Антивирусы распознают мой софт как троян. K>Возможно из-за того что он биндит сокет. Еще планирую добавить туда хуки. Тогда получится вообще полноценный троян. K>Вобщем, что делать
А ты уверен что трояна там нет ? В смысле могли ломануть сайт и у тебя в дистрибутиве реально троян.
Здравствуйте, kibadachi, Вы писали:
K>Подскажите что делать? Антивирусы распознают мой софт как троян. K>Возможно из-за того что он биндит сокет. Еще планирую добавить туда хуки. Тогда получится вообще полноценный троян. K>Вобщем, что делать
Могу помочь.
Для начала нужно узнать на какой участок кода он ругается.
Попробуй комментировать некоторые куски — и таким образом ты сможешь вычислить, что им не нравится.
Можешь поставить локально себе какой-н. авирь, который ругается — чтобы дело побыстрее пошло.
Когда будут результаты — отпишись...
Здравствуйте, kibadachi, Вы писали:
K>Подскажите что делать? Антивирусы распознают мой софт как троян. K>Возможно из-за того что он биндит сокет. Еще планирую добавить туда хуки. Тогда получится вообще полноценный троян. K>Вобщем, что делать
Есть аналогичная проблема, но связанная с защитой (пользуйтесь поиском, многократно обсуждалась).
Итого выхода два — 1) модифицировать свой код, 2) Писать письма разработчикам антивирусов, но тут 50\50, некоторые оперативно правят базы, но многие даже не отвечают.
Ну и подписывать исполняемые файлы.
Здравствуйте, BoberPlus, Вы писали:
BP>А ты уверен что трояна там нет ? В смысле могли ломануть сайт и у тебя в дистрибутиве реально троян.
да, проверял — скачивал с сайта специально и устанавливал — все чисто. Сам пользуюсь Avira.
Забыл сказать — все экзешники обработаны упаковщиком PECompacт.
Здравствуйте, kibadachi, Вы писали:
K>да, проверял — скачивал с сайта специально и устанавливал — все чисто. Сам пользуюсь Avira. K>Забыл сказать — все экзешники обработаны упаковщиком PECompacт.
А PECompacт компакт это критично? Отказ от него скорей всего существенно улучшит ситуацию с антивирусами.
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, Nonmanual Worker, Вы писали:
NW>>Ну и подписывать исполняемые файлы.
А>Лично мне подпись исполняемых файлов сертификатом нифига не помогает от ложных срабатываний антивирусов
А это не для антивирусов — это для юзеров и вас. Подпись гарантирует что файл оригинальный, и не был изменен извне. Т.е. юзер пишет — типа антивирус ругается, вы ему — да мы знаем, это лажовый антивирус , а мы гарантируем чистоту наших файлов, проверьте цифровую подпись нашего файла что-бы убедиться что он не был заражен.
NW>А это не для антивирусов — это для юзеров и вас. Подпись гарантирует что файл оригинальный, и не был изменен извне. Т.е. юзер пишет — типа антивирус ругается, вы ему — да мы знаем, это лажовый антивирус , а мы гарантируем чистоту наших файлов, проверьте цифровую подпись нашего файла что-бы убедиться что он не был заражен.
Здравствуйте, Nonmanual Worker, Вы писали:
А>>Лично мне подпись исполняемых файлов сертификатом нифига не помогает от ложных срабатываний антивирусов
NW>А это не для антивирусов — это для юзеров и вас. Подпись гарантирует что файл оригинальный, и не был изменен извне.
А где гарантия что вирус не был наложен ДО подписания файла вашим сертификатом?
Здравствуйте, PolyTech, Вы писали:
NW>>А это не для антивирусов — это для юзеров и вас. Подпись гарантирует что файл оригинальный, и не был изменен извне.
PT>А где гарантия что вирус не был наложен ДО подписания файла вашим сертификатом?
Прочитайте мой пост целиком.
Это должен гарантировать тот, кто является "правообладателем" и выпускает данный файл (Как защититься от вирусов — это другой вопрс). А подпись лишь гарантирует, что файл не был изменен после.
Здравствуйте, AndreyRus, Вы писали:
K>>что такое подпись и где можно почитать про них?
AR>Готов выложить за эл. подпись пару сотен баксов?
Зачем пару сотен ?? для того что бы сказать "да мы знаем, это лажовый антивирус , а мы гарантируем чистоту наших файлов, проверьте цифровую подпись нашего файла что-бы убедиться что он не был заражен" — достаточно просто md5 высчитывать самому^)