我的应用程序的自动更新实用程序正在触发防病毒

Question

我创建了一个自动更新应用程序，分发给数百名用户。

virustotal 上 55% 的防病毒软件已标记自动更新实用程序（链接）。

我的应用程序是在 Delphi 7 中创建的。大多数标志都说这是通用木马/恶意软件，显然该软件实际上并不是恶意软件（我是唯一一个可以访问源代码并可以访问托管它的服务器的人）但这导致很多用户

有谁知道我如何才能阻止它被错误标记？

Answer 1

正如您所说，如果空表单应用程序被评为病毒，您很可能会被 Delphi 病毒感染。有关此事件的更多信息：

• http://www.delphipraxis.net/topic163041_virus +infects+delphi.html
• http://www.viruslist.com/ en/weblog?weblogid=208187826
• Delphi 7 中的病毒
• http://www.itwriting.com /blog/1717-delphi-developer-virus-exposes-weakness-in-anti-virus-defences.html

另外，您使用Delphi 7，它是该病毒的目标（据我所知）所有 Delphi 版本都是）。

Answer 2

Delphi 2007：新的 VCL 应用程序

无需任何更改即可编译，某些防病毒软件包会将生成的 EXE 报告为潜在的病毒/特洛伊木马。更改主窗体的名称或向项目添加第二个窗体等，防病毒警告就会消失。撤消更改，它们就会恢复（因此它不是“Delphi 升级激励病毒”的 D2007 端口）。

我的猜测是，很久以前，某个地方的某个人用 Delphi 编写了一个病毒/木马/恶意软件，而与之相关的签名/启发式方法现在有时会不幸地与其他 Delphi 应用程序发生冲突。

Answer 3

我认为您有两种选择：

a）将您的自动更新程序作为误报提交给所有这些公司（并对检测到的任何新版本执行此操作）。确保您的元数据正确并可能进行签名，让他们更轻松。

b) 拆分功能，这样您就不需要从 Internet 下载文件、覆盖文件和修补文件的单个 Delphi 程序。

Answer 4

这取决于 - 如果数百个用户位于公司网络上，使用由组策略管理的同一企业防病毒软件，一种解决方案可能是将您的软件指定为防病毒程序包中的例外。

Answer 5

我会尝试重构程序，更改名称，更改过程和方法的顺序，一些程序结构，删除、替换和添加代码。

将每个更改提交到 VirusTotal。

您最终可能会发现导致问题的原因。

Answer 6

如果你的程序“修改”了一个可执行文件，它就会被很多反病毒程序获取。
我什至见过 Borland 的补丁程序，它是与 Delphi 7 一起发布的，当从 CD 上重新安装时，该程序被标记为普通病毒。

我不确定您对此能做些什么，除非您可以在 AV 程序中关闭该“功能”或有权为其添加例外。就我个人而言，我认为这只是 AV 软件编写者创造的一种懒惰的“包罗万象”。

Answer 7

反病毒软件还会检查导入表中是否有病毒中使用的常见 API，尽管我在扫描报告中没有看到任何会触发反病毒软件的 API。

Answer 8

请参阅我的帖子 任何遇到 delphi 2010 问题的人和诺顿互联网安全。最近，我在使用 Delphi 7 编译的程序（以及使用其他编译器编译的程序）时也遇到了 SONAR 错误。

我将此问题报告给诺顿，另请参阅 hot诺顿董事会的问题。

当然这只是诺顿，你没有指定你遇到了哪些病毒检查程序。

Answer 9

我们这里也遇到同样的问题...
防病毒软件也会检测到我们软件的某些行为。
反病毒公司并没有确切说明他们观看的内容（当然，安全问题）。
例如，当我开始使用管道时，我遇到了这个问题。

我们做了什么？我们打电话给安全公司，他们分析了我们的.exe，现在我们对他们提出了“白旗”。

...不，这不是那么快的过程。