Aplikacja wykrywana jako wirus przy określonych warunkach.

Question

Cześć, napisałem aplikacje w języku C++ przy pomocy WinApi która okazała się być trojanem :(.

Skopiowałem ją na drugi komputer gdzie antivirus (F-Secure) od razu ją usunął ( Gen:Variant.Razy.211871 ). Sprawdziłem na Virustotal i nie tylko 1 antiwirus tak myśli ale aż 12. Program oczywiście nie jest szkodliwy, ani również nie jest zainfekowany przez inny wirus.

Teraz to co mi się udało ustalić do tej pory:

• Po za komentowaniu wszystkich funkcji biblioteki fstream tylko 3 antiwirusy dalej wysyłały fałszywy alarm.
• Gdy zmienię bibliotekę środowiska uruchomieniowego do konsolidacji z /MT (działa na wszystkich komputerach) na /MD (brak bibliotek) znów tylko 3 antiwirusy się pluły.
• Gdy zmienię  z /MT na /MTd tak samo jak z powyższymi ustaleniami, choć tutaj przynajmniej działa na wszystkich komputerach.

Linki do virustotal:

(\MT z biblioteką fstream) https://www.virustotal.com/pl/file/4e8d5d4fe418c4d53f1be457e3b64e1dd7f9fb9b9eb4987f1374ec596f7b655d/analysis/1501228004/

(inny niż \MT lub bez biblioteki fstream) https://www.virustotal.com/pl/file/2ce7aa188b518499e2513c737005f40b374a72c428dfdf0d46e1b52fdc21fce6/analysis/1501227950/

Nie wiem czy kod jest konieczny, info o użytych funkcjach macie na virustotal. (szczegóły pliku i PE imports)

 

Mam nadzieję, że ktoś będzie wiedział o co chodzi.

Comments

A komputer na którym kompilujesz ten program jest czysty? Rozumiem, że mowa o programie w wersji release, tak?

---

Tak wersja Release. Komputer na 99% czysty. W internecie trochę znalazłem podobnych tematów ale żaden nie podał rozwiązania. Antivirus krzyczy dlatego że program jest "podobny" do tradycyjnych wirusów. Zastanawia mnie jaki ma wpływ na to /MT i /MTd.

Jakby to nie zależało od tego zastanowiłbym się czy nic się nie doczepia do programu.

---

Szczerze mówiąc nie wiem, czy jesteś w stanie coś z tym zrobić. Fałszywe alarmy się zdarzają. Dlaczego akurat u Ciebie? Trudno powiedzieć.

Internety mówią, żeby opcję Linker -> Debugging -> Generate Debug Info ustawić na No, choć podejrzewam, że wersja Release ma tę opcję już ustawioną. Ale sprawdź na wszelki wypadek.

 

---

Zapomniałem o tym napisać, już to na samym początku zrobiłem. Nie daje to żadnego efektu. :(

Answer 1

Jakie antywirusy? U mnie avast wszystko co napiszę skanuje jak głupi ale nie miałem jeszcze przypadku by wykrył wirusa, próbowałeś nim?

Comments

Te antiwirusy które masz w pierwszym linku (do virustotal) akurat avasta na nim nie ma.