Vous avez accidentellement créé un virus ?

Question

Je l'ai vu se produire assez souvent : J'écris une application en Delphi et lorsque je la compile, le détecteur de virus m'indique que j'ai créé un virus, puis il supprime immédiatement l'exécutable. C'est ennuyeux mais raisonnablement facile à réparer en faisant une reconstruction complète, en supprimant d'abord les fichiers *.dcu et parfois en attendant simplement.

Cela se produit avec Delphi 6, 7, 2005 et 2007, pour autant que je sache. Et Symantec, Kaspersky, McAfee et NOD32 ont tous été coupables de signaler ces faux positifs. Je sais que c'est parce que Delphi ajoute des horodatages à ses fichiers DCU et que ces horodatages se retrouvent dans l'exécutable final et semblent faire partie d'une signature virale aléatoire.

Je ne veux pas désactiver le scanner de virus, pas même pour un seul dossier ou fichier. Et je ne suis pas vraiment à la recherche d'une solution, mais je m'interroge sur ce qui suit :

• Ces faux positifs se produisent-ils également avec d'autres compilateurs ?
• Cela se produit-il également avec les exécutables .NET ?
• D'autres personnes rencontrent-elles des problèmes similaires avec Delphi ?

Answer 1

Ces faux positifs se produisent-ils aussi avec d'autres compilateurs ?

Oui, il s'agit d'un problème courant dans le passé pour AutoIt comme indiqué dans ce message du forum "Mes AutoIt EXEs sont-ils vraiment infectés ?" . Dans la plupart des cas, y compris AutoIt elle découle de mauvaises pratiques heuristiques. Puisque AutoIt utilise le logiciel libre et ouvert UPX compresseur, il est souvent confondu avec un code malveillant qui utilise également UPX .

La meilleure (et peut-être la seule) chose que vous pouvez faire est de signaler ces erreurs, afin qu'ils puissent affiner leur heuristique ou au moins mettre votre application sur liste blanche.

Vous trouverez ci-dessous une liste des coordonnées de quelques sociétés antivirus populaires. Elles affirment toutes apprécier les soumissions car elles les aident à améliorer leur produit.

• AntiVir - Contact
• A2 (A au carré) - Contact (adresse e-mail)
• Avast ! - Contact
• AVG - Contact
• BitDefender - Contact
• BullGuard - Contact
• CA Anti-Virus - Contact
• ClamAV - Contact
• ClamWin - Contact
• Comodo - Contact
• Nod32 d'ESET - Contact
• eSafe - Contact (connexion requise)
• Fortinet - Contact
• F-PROT - Contact
• F-Secure - Contact
• G-Data - Contact
• Kaspersky - Contact
• McAfee - Contact (adresse e-mail)
• Norman - Contact (adresse e-mail)
• Panda Anti-Virus - Contact
• Sophos - Contact
• Symantec (Norton) - Contact
• Vipre - Contact
• Windows Live OneCare - Contact
• ZoneLabs - Contact

Il s'avère qu'il existe une excellente liste de logiciels AV sur wikipedia, appelée Liste des logiciels antivirus . Elle est plus complète que ma liste ci-dessus.

Un membre des Forums Autoit a fait un excellent script pour envoyer par e-mail un faux positif à une énorme liste de vendeurs d'antivirus. pour automatiser un peu ce processus.

Answer 2

Ça ressemble plus à une erreur heuristique pour moi. L'heuristique est-elle activée (certains scanners peuvent y faire référence en tant que "code de type virus") ? Les chances que les horodateurs correspondent à "une partie d'une signature virale" semblent trop faibles pour que cela se produise tout le temps.

Lorsque j'utilisais un antivirus, je n'ai jamais rencontré ce problème avec D6 ou D7.

Answer 3

Il existe en effet un virus Delphi dans la nature, voir http://www.sophos.com/blogs/sophoslabs/?p=6117

Answer 4

Oui, mon équipe a connu ce problème une demi-douzaine de fois en 2 ou 3 ans avec Sophos dans un environnement d'entreprise. C'est donc très rare, mais cela arrive.

Notre crétin d'informaticien a commencé par exiger que je passe en revue les 1,5 million de lignes de code de notre application pour "la faire disparaître", mais il n'est pas allé très loin dans cette voie...

Pour être juste, il était initialement préoccupé par le fait que nos clients pourraient également recevoir un tel avertissement, mais nous ne l'avons jamais vu se déclencher que lors de la construction d'un exe à partir de l'IDE sur le PC d'un développeur, jamais sur un exe de release build sur une boîte de test ou ailleurs.

Personnellement, cela arrive si rarement que nous ne nous en préoccupons pas.

Answer 5

Ce n'est pas si rare lorsque l'on utilise des compilateurs non standard ou que l'on fait des choses fantaisistes de bas niveau : Je me souviens avoir créé des faux positifs lorsque je me suis essayé au développement de systèmes d'exploitation : AntiVir n'aimait pas certains de mes binaires plats.

Récemment, il y a eu un post sur un tel problème à l'adresse suivante liste de diffusion tinyCC regading AVG.