Всем привет,

На днях гугл хром стал блокировать скачивание нашего ПО и страницы сайтов со ссылками на него (включая сторонние). Сообщение — "содержит вредоносное ПО". Инсталлятор сделан в InnoSetup, сам софт — на Delphi, другой — основа на Qt и ряд DLL на Delphi. Подписано сертификатом, скачиваний много.

Читал подобные темы и статью на Хабре. Раньше помогала отправка false positive репорта через сам Хром, но теперь ничего подобного не нахожу. В search console именно false positive никак не отправить.

Может быть, кто-то сталкивалась недавно с подобными проблемами? Как поскорее снять блокировку от гугла?

а что вирус тотал говорит?

Здравствуйте, Teleum91, Вы писали:

T>Может быть, кто-то сталкивалась недавно с подобными проблемами? Как поскорее снять блокировку от гугла?

По user agents определять google chrome и выводить сообщение что вы пользуетесь не уязвимым и ненадёжным браузером и рекомендовать скачать brave или хотя бы firefox

Здравствуйте, CRT, Вы писали:

CRT>а что вирус тотал говорит?

По одному продукту — ноль срабатываний.
По второму — пара малоизвестных антивирусов показывает Riskware.

Думаю, всё-таки с антивирусами не связано, что-то другое...

Здравствуйте, Teleum91, Вы писали:

У меня был вообще веселый кейс — был JS-файл в ZIP архиве:

archive.zip/
  script.js

Блокировал скачивание. Dengerous, ай-ай-яй.

Перепаковал:

archive.zip/
  dir/
    script.js

Google это устроило

Здравствуйте, Teleum91, Вы писали:

T>Всем привет,

T>На днях гугл хром стал блокировать скачивание нашего ПО и страницы сайтов со ссылками на него (включая сторонние). Сообщение — "содержит вредоносное ПО". Инсталлятор сделан в InnoSetup, сам софт — на Delphi, другой — основа на Qt и ряд DLL на Delphi. Подписано сертификатом, скачиваний много.

T>Читал подобные темы и статью на Хабре. Раньше помогала отправка false positive репорта через сам Хром, но теперь ничего подобного не нахожу. В search console именно false positive никак не отправить.

T>Может быть, кто-то сталкивалась недавно с подобными проблемами? Как поскорее снять блокировку от гугла?

У меня такое было, но давно. Download.com после этого случая все продукты убрал и аккаунт удалил, а с него шло много трафика. После этого они меня просто игнорили.
Я убрал все прямые ссылки на дистрибутивы. Теперь скачивание только через php. И что самое важное, после этого все прямые ссылки со всех файлопомоек перестали работать. Через дней пять всё нормализовалось. А связаться с какой-нибудь поддержкой не получилось. На голове прибавилось седых волос.

Здравствуйте, Teleum91, Вы писали:

T>Может быть, кто-то сталкивалась недавно с подобными проблемами? Как поскорее снять блокировку от гугла?

У меня несколько лет разборки с Гуглом были из-за Adwords и причина была в ложном срабатывании на css файл.
Причем блокирует все робот, люди руками снимают блокировку, а робот снова лочит.
Решилось то-ли переименованием, то-ли перемещением в подкаталог.

По поводу false positive сюда можно попробовать закинуть репорт https://developers.google.com/safe-browsing/v4/reporting?hl=ru

Здравствуйте, Teleum91, Вы писали:


T> Как поскорее снять блокировку от гугла?

клоачить хром на гугл диск — в нем, говорят, тот же антивирус, что у хрома и если что не так то сообщит при попытке загрузки проблемного файла

Кстати, а есть ли у кого-нибудь решение, как получать алерты, что Гугл Хром начал блокировать скачивание файла?

Допустим, у меня есть 100 архивов/инсталляторов в открытом доступе, на разных сайтах. Пока кроме ручной проверки ничего не придумал.

I>По поводу false positive сюда можно попробовать закинуть репорт https://developers.google.com/safe-browsing/v4/reporting?hl=ru

Там на фишинг есть https://www.google.com/safebrowsing/report_error/ , а по вредоносному ПО можно только о новом сообщить: http://www.google.com/safebrowsing/report_badware/

Возможно, раньше было, но теперь убрали?

Возможно ли, что утекла в сеть наша цифровая подпись, ей подписали какое-то вредоносное ПО, а затем это срабатывание перешло на нас?

Провели такой эксперимент:

— Файлы скачивали через Dropbox
— Скачали неподписанный — нормально
— Подписали, скачали еще раз — ругается после скачивания

Это Гугл что-то мутит. У меня заблокировал за фишинг несколько сайтов (красный экран — Осторожно, поддельный сайт!).
Пару удалось вытащить — нормальные сайты с софтом.
Есть несколько сателлитов для размещения ссылок и рекламы, их вытащить не получается.

Пара советов: Если есть рекламные коды (вкл. Adsense/Adwords) — все убрать (можно сначала попробовать обновить их коды и убрать устаревшие). Проверить, чтобы в страницу не включался http контент на https доменах. Проверить SSL сертификаты. Проверить, что http и https открывают один сайт. Убрать счетчики. Проверить ссылки на сайты Allsoft и др. — что они актуальны и ведут на страницу именно этой программы.

Потом на красном экране нажать Сведения — Сообщите о зараженном сайте — заполнить, отправить.

Здравствуйте, Teleum91, Вы писали:

T>Возможно ли, что утекла в сеть наша цифровая подпись, ей подписали какое-то вредоносное ПО, а затем это срабатывание перешло на нас?

возможно, но в вашем случае имхо маловероятно

T>Провели такой эксперимент:
T>- Файлы скачивали через Dropbox
T>- Скачали неподписанный — нормально
T>- Подписали, скачали еще раз — ругается после скачивания

пути ИИ неисповедимы
попробуй оба файла рядом на одном сайте — удивишься.

Пара советов:
Убрать включаемый контент с других своих сайтов (баннеры, скрипты и пр)

Здравствуйте, temnik, Вы писали:


T>Пара советов: Если есть рекламные коды (вкл. Adsense/Adwords) — все убрать

да, была раньше история что рекламодатели нашли дыры какиие-то дырки в адвордсе и через него вирусню рекламировали
и вместо того чтобы наказать прогамеров своих же, гугул начал тотально банить всех кто

Здравствуйте, temnik, Вы писали:

T>Потом на красном экране нажать Сведения — Сообщите о зараженном сайте — заполнить, отправить.

Там пишет:

Система Google по проверке безопасности сайтов недавно обнаружила вредоносное ПО.
Если вы готовы подвергнуть риску ваши личные данные, вы можете перейти на зараженный сайт, не дожидаясь удаления вредоносного ПО.

Может быть, не во всех случаях есть опция "Сообщите о зараженном сайте"?

Здравствуйте, Teleum91, Вы писали:

T>Всем привет,

T>На днях гугл хром стал блокировать скачивание нашего ПО и страницы сайтов со ссылками на него (включая сторонние). Сообщение — "содержит вредоносное ПО". Инсталлятор сделан в InnoSetup, сам софт — на Delphi, другой — основа на Qt и ряд DLL на Delphi. Подписано сертификатом, скачиваний много.

T>Читал подобные темы и статью на Хабре. Раньше помогала отправка false positive репорта через сам Хром, но теперь ничего подобного не нахожу. В search console именно false positive никак не отправить.

T>Может быть, кто-то сталкивалась недавно с подобными проблемами? Как поскорее снять блокировку от гугла?

На хабре почитайте внимательнее.
1. Убрать файлы с сайта как можно скорее. Иначе получите больше проблем: заблокируют сайт, домен, хостинг.

2. Искать кто начал детект: Virustotal, Google, appesteem.com или еще кто-то.
3. Писать письма ко всеми постепенно снимать. Выкладывать только чистые версии.
Терпения набраться и удачи!

G>1. Убрать файлы с сайта как можно скорее. Иначе получите больше проблем: заблокируют сайт, домен, хостинг.

Да там не в файлах проблема.

Здравствуйте, rp5, Вы писали:

rp5>Теперь скачивание только через php.

Не могли бы вы уточнить, что вы имеете в виду под "скачиванием через php"? Какой-то специальный HTTP ответ отдается? Какой? Что мешает тому же роботу или web crawler'y "скачать через php" вместо человека?

Здравствуйте, Aquilaware, Вы писали:

A>Здравствуйте, rp5, Вы писали:

rp5>>Теперь скачивание только через php.

A>Не могли бы вы уточнить, что вы имеете в виду под "скачиванием через php"? Какой-то специальный HTTP ответ отдается? Какой? Что мешает тому же роботу или web crawler'y "скачать через php" вместо человека?

Ничто не мешает. Просто на сайте не лежат прямые ссылки на exe файлы.

Здравствуйте, rp5, Вы писали:

rp5>Ничто не мешает. Просто на сайте не лежат прямые ссылки на exe файлы.

Тогда где они лежат? Как пользователь получает доступ к доступным дистрибутивам?

Здравствуйте, Aquilaware, Вы писали:

A>Здравствуйте, rp5, Вы писали:

rp5>>Ничто не мешает. Просто на сайте не лежат прямые ссылки на exe файлы.

A>Тогда где они лежат? Как пользователь получает доступ к доступным дистрибутивам?

Дистрибутивы лежат на сайте, но прямых ссылок нет. Если прямые ссылки окажутся на сайте, который Гугл посчитает неблагонадежным, то эти экзешники получат метку неблагонадежных.
Отдаются примерно так:
header("HTTP/1.1 302 Found");
header("Location: https://___/___.exe");

Здравствуйте, Teleum91, Вы писали:

T>Всем привет,

T>На днях гугл хром стал блокировать скачивание нашего ПО и страницы сайтов со ссылками на него (включая сторонние). Сообщение — "содержит вредоносное ПО". Инсталлятор сделан в InnoSetup, сам софт — на Delphi, другой — основа на Qt и ряд DLL на Delphi. Подписано сертификатом, скачиваний много.

Есть шанс, что ваш сайт взломали и с него раздают всякую фигню без вашего ведома.

Независимо от этого, детали блокировки Гуглом должны быть видны на их Webmaster портале. Так же будет опция "Клянемся, что проблема пофиксана".

https://developers.google.com/search

Здравствуйте, sharez, Вы писали:

S>Кстати, а есть ли у кого-нибудь решение, как получать алерты, что Гугл Хром начал блокировать скачивание файла?

S>Допустим, у меня есть 100 архивов/инсталляторов в открытом доступе, на разных сайтах. Пока кроме ручной проверки ничего не придумал.

Скриптом по крону обходить и парсить не?

Здравствуйте, rp5, Вы писали:

rp5>Здравствуйте, Aquilaware, Вы писали:

A>>Здравствуйте, rp5, Вы писали:

rp5>>>Ничто не мешает. Просто на сайте не лежат прямые ссылки на exe файлы.

A>>Тогда где они лежат? Как пользователь получает доступ к доступным дистрибутивам?

rp5>Дистрибутивы лежат на сайте, но прямых ссылок нет. Если прямые ссылки окажутся на сайте, который Гугл посчитает неблагонадежным, то эти экзешники получат метку неблагонадежных.
rp5>Отдаются примерно так:
rp5>header("HTTP/1.1 302 Found");
rp5>header("Location: https://___/___.exe");

это гугл палит уже лет 5 как !
ходит по редиректам он и блочит всю цепочку сайтов на адвару-малвау-вирусняк

Здравствуйте, Teleum91, Вы писали:

T>Возможно, раньше было, но теперь убрали?

видимо надо слать про badware, в описании указать что ложное срабатывание

Здравствуйте, paradok, Вы писали:

P>это гугл палит уже лет 5 как !

правильно сказать — Гугл дурью мается уже несколько лет

Здравствуйте, Teleum91, Вы писали:

T>Провели такой эксперимент:

современные антивирусник настолько тупы, что могут срабатывать на изменение номера версии

Здравствуйте, Teleum91, Вы писали:

уже давно напрашивается создание какой-то ассоциации по борьбе с беспредлом антивирусников
эти продавцы воздуха уже совсем берега попутали, на Virustotal хоть одно срабатывание, но всегда будет

я раньше как-то с понимаем относился, думал что антивирус на шифрование срабатывает, на работу с сетью, типа в песочнице поведение отслеживает
сейчас детекты идут на все подряд, даже названия встречаются типа Trj:Delphi, а если фантазии заканчивается, то просто Malicious/Suspicious

Здравствуйте, icezone, Вы писали:

I>на Virustotal хоть одно срабатывание, но всегда будет
У нас нет ничего. Несколько раз вылезали одиночные предупреждения, но после обращений "false positive" пропадало.

Здравствуйте, icezone, Вы писали:

I>уже давно напрашивается создание какой-то ассоциации по борьбе с беспредлом антивирусников

Антивирус — это относительный легкий способ заработка — очень большой рынок, нет особой отвественности, никаких юнит тестов даже не надо делать. В самом гнусном случае, достаточно взять функцию rnd() и с помощью нее имитировать бурную деятельность по "защите". Видимо, большинство антивирусов так и устроены, поэтому и возникают такие ситуации.

Раньше хотя бы в журналах делались периодические обзоры продуктов и экспертами проводились лабораторные конкурсы, помогающие пользователям лучше соорентироваться. Сейчас же, это чистой воды свободное плавание и развод, основанный на красивых презентациях и сладких речах заливаемых в уши. С формальной точки зрения, вся эта сладость и красивость естественно бесполезна, поскольку выгоду в этом случае получают только сами разводилы, а не клиенты.

Здравствуйте, Aquilaware, Вы писали:


A>Антивирус — это относительный легкий способ заработка — очень большой рынок,

этот рынок съеживается, многие пользуется микрософтовским Защитником и не парятся

Здравствуйте, Ivanoff, Вы писали:

I>У нас нет ничего. Несколько раз вылезали одиночные предупреждения, но после обращений "false positive" пропадало.

везет
я пробовал просто пустые проекты на Делфи компилировать — детекты есть регулярно

Здравствуйте, Aquilaware, Вы писали:

A>Антивирус — это относительный легкий способ заработка — очень большой рынок, нет особой отвественности, никаких юнит тестов даже не надо делать. В самом гнусном случае, достаточно взять функцию rnd() и с помощью нее имитировать бурную деятельность по "защите". Видимо, большинство антивирусов так и устроены, поэтому и возникают такие ситуации.

поэтому я и называю их продавцами воздуха
Windows Defender периодически выдает важное уведомление что он ничего не нашел

A>Раньше хотя бы в журналах делались периодические обзоры продуктов и экспертами проводились лабораторные конкурсы, помогающие пользователям лучше соорентироваться. Сейчас же, это чистой воды свободное плавание и развод, основанный на красивых презентациях и сладких речах заливаемых в уши. С формальной точки зрения, вся эта сладость и красивость естественно бесполезна, поскольку выгоду в этом случае получают только сами разводилы, а не клиенты.

сейчас эти уроды все в облаках проверяют, даже проверка на Virustotal толком не помогает
ну и воруют друг у друга — один добавил кривую сигнатуру — у десятка появилась аналогичная

Здравствуйте, CRT, Вы писали:

CRT>этот рынок съеживается, многие пользуется микрософтовским Защитником и не парятся

у них есть крутой детект "wacatac", который срабатывает на все подряд
можно реально менять номер версии или копирайт и версия "вируса" будет меняться

Здравствуйте, icezone, Вы писали:

I>один добавил кривую сигнатуру — у десятка появилась аналогичная

Как говорится, «ты виноват уж тем, что хочется мне кушать».

Здравствуйте, icezone, Вы писали:

I>я пробовал просто пустые проекты на Делфи компилировать — детекты есть регулярно
Все вирусы на дельфи пишут? Неожиданно )

И даже подпись не помогает?

Здравствуйте, Ivanoff, Вы писали:

I>>я пробовал просто пустые проекты на Делфи компилировать — детекты есть регулярно
I>Все вирусы на дельфи пишут? Неожиданно )

первый раз увидел детект Trojan:Delph?

ради прикола создал пустой проект с одной формой, закинул на VT
https://www.virustotal.com/gui/file/f34606e6707859238c5bdb70b9f7053c81dfd4dbfd69bc47a9a846de43cfa103/detection

I>И даже подпись не помогает?

нет, не помогает
с ней только Malwarebytes замолкает

Здравствуйте, icezone, Вы писали:

I>ради прикола создал пустой проект с одной формой, закинул на VT
I>https://www.virustotal.com/gui/file/f34606e6707859238c5bdb70b9f7053c81dfd4dbfd69bc47a9a846de43cfa103/detection

Кстати, почти все говно-антивирусы на этом тесте дружно отметились.

Здравствуйте, icezone, Вы писали:

I>Здравствуйте, Teleum91, Вы писали:

I>уже давно напрашивается создание какой-то ассоциации по борьбе с беспредлом антивирусников
I>эти продавцы воздуха уже совсем берега попутали, на Virustotal хоть одно срабатывание, но всегда будет

I>я раньше как-то с понимаем относился, думал что антивирус на шифрование срабатывает, на работу с сетью, типа в песочнице поведение отслеживает
I>сейчас детекты идут на все подряд, даже названия встречаются типа Trj:Delphi, а если фантазии заканчивается, то просто Malicious/Suspicious

А я смотрю количество антивирусов увеличивается с завидным постоянством. Меня это настолько бесит, что я почти готов выпустить свой антивирус, чтобы это болото поглотило само себя.
Интересно, что в списке антивирусов нет HitManProAlert. Мне клиент уже месяц мозг выносит, что моя программа не работает. У него этот хитмен установлен.

Здравствуйте, rp5, Вы писали:

rp5>А я смотрю количество антивирусов увеличивается с завидным постоянством. Меня это настолько бесит, что я почти готов выпустить свой антивирус, чтобы это болото поглотило само себя.

Из них массово используются от силы пять более-менее приличных. Остальные — нишевые игроки, на которых можно вообще не обращать внимание.

Здравствуйте, Aquilaware, Вы писали:


A>Из них массово используются от силы пять более-менее приличных. Остальные — нишевые игроки, на которых можно вообще не обращать внимание.

пользователи проверяющие вирустоталом, обращают на них внимание

У меня для старой версии продукта (доступна для скачивания старым клиентам) в 2018 году возникла подобная проблема с Chrome.
Решил так:
1. Внес несущественную правку в код программы, перекомпилировал заново.
2. Подписал заново codesign
Проблема решилась и больше не возникала уже 5 лет.

Здравствуйте, Aquilaware, Вы писали:

A>Кстати, почти все говно-антивирусы на этом тесте дружно отметились.

если сделать консольное с минимальным размером, то детектов еще больше будет

я делал примитивную утилитку для миграции со старой версии софта на новый
она старый конфиг из .ini файлов конвертировала в новый .xml
детектов было больше 20 !!!

Прошло уже более 20 дней с момента первой блокировки. Что делали:

1. Отправляли запрос через сёрч консоль.
2. Отправляли запрос через "Сообщить о проблеме" в Хроме.
3. Удаляли файлы, выкладывали по другому адресу.
4. Вносили изменения в дистрибутивы.

В результате с двух продуктов частично удалось снять срабатывания (не на всех сайтах), но теперь заблокировал ещё шесть новых продуктов. Что помогает, а что нет — совершенно непонятно. Пробиться невозможно... Ситуация угрожает всему бизнесу.

Вот думаю, есть ли шанс выйти на реальных людей в гугле? Может, в соцсетях искать и писать? Может быть, по телефону попробовать?

T>Вот думаю, есть ли шанс выйти на реальных людей в гугле? Может, в соцсетях искать и писать? Может быть, по телефону попробовать?

Нет никаких шансов и плевать они хотели на наш бизнес.

Здравствуйте, Teleum91, Вы писали:

> попробовать?

гуглите арбитражники приложений о защите от антивирусов

Здравствуйте, Teleum91, Вы писали:

T>В результате с двух продуктов частично удалось снять срабатывания (не на всех сайтах), но теперь заблокировал ещё шесть новых продуктов. Что помогает, а что нет — совершенно непонятно. Пробиться невозможно... Ситуация угрожает всему бизнесу.

а инсталлятор какой?

Здравствуйте, icezone, Вы писали:

I>а инсталлятор какой?

InnoSetup

P.S. Примерно в эти же даты заблокировали довольно популярный https://skrinshoter.ru . Видимо, есть что-то общее.

T>На днях гугл хром стал блокировать скачивание нашего ПО и страницы сайтов со ссылками на него (включая сторонние). Сообщение — "содержит вредоносное ПО". Инсталлятор сделан в InnoSetup, сам софт — на Delphi, другой — основа на Qt и ряд DLL на Delphi. Подписано сертификатом, скачиваний много.

1. Кто-нибудь использует стороннние сервисы-мониторы сайта? Я уже 2 года использую quttera. За 10$/месяц получаю отчет 2 раза в день и сплю спокойно. Или я в чем-то заблуждаюсь?
2. После перехода на EV серт, кол-во фолсов на VT упало до 0. Забыл, когда уже писал жалобы. Инсталлер 20MB EXE файл, сделан с помощью Inno 5.5.9. Без компрессии. Софт — на Delphi.

Здравствуйте, Teleum91, Вы писали:

T>InnoSetup
T>P.S. Примерно в эти же даты заблокировали довольно популярный https://skrinshoter.ru . Видимо, есть что-то общее.

у меня Innosetup 6.2.1, проблем не наблюдаю