Ложное предупреждение о вирусах / троянах при загрузке с веб-сайта только что созданного файла C# .exe
Я создал / обновил установочное приложение на C#, которое устанавливает файлы в папки AppData / Roaming пользователя. Этот установщик загружает и считывает XML-файл с сервера, а затем копирует файл с этого сервера на локальный компьютер по протоколу HTTP.
Начиная с последней модификации, которая была минимальной (был изменен только адрес сервера, на котором расположены XML и файлы для копирования / это просто строковая константа), несколько антивирусных сканеров сообщают о различных троянах, когда пользователь пытается загрузить исполняемый установщик. . URL-адрес внутри установщика указывает на недавно зарегистрированный домен .de, который, конечно же, не включен ни в один черный список или что-то в этом роде.
И, конечно же, среда разработки чистая, а исполняемый установщик вообще НЕ заражен. Это предупреждение от сканеров, таких как «Защитник Windows», «Касперский» и т. д., Появляется только во время процесса загрузки, некоторые другие сканеры в любом случае не сообщают ничего, кроме чистого файла. После того, как исполняемый файл помещен в карантин этими сканерами и повторно просканирован, ни один из них также не обнаружит в этом файле никаких троянских программ или вирусов.
Как я могу избежать этого ложного сообщения, чья-то идея?
Первым шагом будет проверка с помощью virustotal, какие движки выдают ложные срабатывания. Второй шаг - установить контакт с антивирусами, чтобы они могли внести его в белый список. Неподписанные exes обычно помечаются эвристикой как подозрительные и могут быть ложноположительными, если суммируются другие факторы, такие как эти HTTP-запросы. Похоже, это помечается в поведенческом анализе.
Спасибо. Проблема с белыми списками заключается в том, что исполняемый файл переименовывается для разных целей установки, что означает, что это всегда один и тот же exe, но с текущим> 20 именами. Насчет подписания нет. Есть ли учебник или что-то подобное, в котором описывается, как это можно сделать? Меня никогда не волновали такие проблемы, потому что до последнего обновления ни один сканер не распознал это как опасное или подозрительное.
Если вы имели в виду, что если данные установлены в assembly.cs, да, это сделано, но сертификата нет, и Windows сообщает его как исполняемый файл неизвестного издателя.
Ответы 1
Тем временем я выяснил, что тип трояна, который обнаруживает virustotal.com, зависит от содержимого AssemblyInfo.cs, особенно [assembly: Guid ("...")]. Как только я изменяю эту строку, обнаруживаются разные трояны с разными именами.
Я также попытался удалить некоторые функции, особенно те, которые используют любой доступ к файлам, поиск по каталогам и т. д., Но это не имеет никакого эффекта.
Код также содержит зашитое доменное имя «http: //». Когда я меняю его на «https: //», меньше сканеров обнаруживают вредоносный код.
И, конечно же, я просканировал свою систему несколькими антивирусными приложениями, ни одно из них ни о чем не сообщило.
Вы подписали свой установщик?