[C++/VS/Virus] Erkennen des Programmes als Virus

[cwriter]

Hallo Welt

Ich bin auf ein eher unkonventionelles Problem gestossen:
Einige Dumpfbackenantivirenprogramme behaupten steif und fest, dass mein Programm ein Virus sei. Um es noch lustiger zu gestalten, auch nur die Release-Version.
Ich bin - gelinde gesagt - leicht gereizt darüber, denn die Person, der ich das Programm geschickt habe, war nicht gerade begeistert, als das Antivirenprogramm ihr den Bildschirm mit Warnungen vollkleisterte.
Was kann ich dagegen machen, ausser den 6 Sparflammen-Antivirenhersteller ein false-positive zu melden?

Hier die Scans:
Debug: https://www.virustotal.com/de/file/...c68ce20d39aac0359a13c1a7/analysis/1404566044/
Release: https://www.virustotal.com/de/file/...479c111d74e4d7aca4361514/analysis/1404566187/

Oder weiss einer, welche Codeabschnitte für solche Warnungen verantwortlich sind? Mein Programm soll ein "Gen:Variant.Kazy.237522" sein, aber ganz ehrlich: Ich wüsste nicht einmal, warum ich jemandem die Daten wegsperren sollte...

Gruss
cwriter

 

[ComFreek]

Hallo cwriter,

Da kann man nicht viel machen, siehe auch http://stackoverflow.com/questions/993671/accidentally-created-a-virus. Die einzige Option ist, den Virenbetreibern ein False Positive zu melden, wie du schon sagtest.

Meist sind es Codestücke, die den Prozessspeicher von anderen Prozessen beeinflussen wollen. Auch wenn du dein Programm bspw. mit UPX komprimierst, kann dies zu einem False Positive führen, da einige Viren auch mit UPX komprimiert werden.

 

[cwriter]

Hallo

Danke für die rasche Antwort!

Das Programm macht eigentlich nichts wie Prozess-/Speicherzugriff oder so.
Das einzige, was ein Sicherheitsrisiko wäre, ist, dass das Programm zur Laufzeit DLLs laden kann, aber das macht doch noch lange keinen Virus, oder?
Und ich kann ja schlecht die Debugversion verteilen ;-)

UPX kenne ich nicht mal

Gruss
cwriter

 

[ComFreek]

Die Antiviren-Programme arbeiten unter anderem mit Heuristik. Bei dir kommen vielleicht einige Dinge, die einmal vielleicht bei einem Virus gefunden wurden, zusammen und somit überschreitet dann dein Programm den Schwellwert, was zu einem Virusalarm führt.

Eine Debugversion zu verteilen, finde ich gar nicht so abwegig
Zumindest, bis die AV-Hersteller das False Positive (sofern du es meldest) mittels eines Updates ausbügeln.

 

[cwriter]

Hallo

Das ist durchaus möglich - jedoch lässt mich das an der Heuristik dieser Programme zweifeln. Das Programm öffnet und speichert Dateien, liest dlls und zeigt Inhalte an - sonst gar nix.
Kein Netzwerk, nicht mal Ordnererstellung, keine Löschung, nix.
Es scheint mir eher, als wollten die Antivirenhersteller mit aggressiven Algorithmen ihre Erkennungsraten ein bisschen schönen - auf Kosten der false positive-Rate.

Allerdings muss man sagen, dass zumindest F-Secure ziemlich schnell und freundlich ist. Bei den anderen habe ich noch nichts gemeldet:

Hello,

Thank you for your submission.The file you submitted is indeed clean. A database update will be released to resolve this issue.

For the meantime, you may exclude this file from Real-time Scanning. Instructions for exclusions can be found here:

Internet Security 2013:

http://community.f-secure.com/t5/Security-for-PC/How-do-I-exclude-a-file-or/ta-p/15398

For the latest database updates please visit this page:

http://www.f-secure.com/en/web/labs_global/removal-tools/-/carousel/view/140

We apologize for any inconveniences that this may have brought you. Should you have further questions, please do not hesitate to email us again.

Best regards,
--------
F-Secure Security Labs http://www.f-secure.com/weblog/
F-Secure Corporation http://www.f-secure.com/

Nun: Da die 6 verschiedenen Hersteller alle zufälligerweise dieselben Nummern ausgaben: Kann ich davon ausgehen, dass alle dieselbe Datenbank nutzen oder muss ich bei jedem einzelnen eine Anfrage schreiben?

Gruss
cwriter

 

[ComFreek]

Hallo,

Es scheint mir eher, als wollten die Antivirenhersteller mit aggressiven Algorithmen ihre Erkennungsraten ein bisschen schönen - auf Kosten der false positive-Rate.

Natürlich ist es eine Abwägung zwischen Erkennungsrate von echter Malware und Anzahl an False Positives.

Nun: Da die 6 verschiedenen Hersteller alle zufälligerweise dieselben Nummern ausgaben: Kann ich davon ausgehen, dass alle dieselbe Datenbank nutzen oder muss ich bei jedem einzelnen eine Anfrage schreiben?

Da bin ich überfragt. Ich weiß nicht, wie aufwendig der Melde-Prozess ist, aber 6 Meldungen müsste kein zu großer Aufwand sein, oder?

 

[cwriter]

Hallo

Da bin ich überfragt. Ich weiß nicht, wie aufwendig der Melde-Prozess ist, aber 6 Meldungen müsste kein zu großer Aufwand sein, oder?

Doch, überfordert mich total
Meine Überlegung war eher, dass sich die Definitionen dann überlappen, wenn es jeder das Problem ein bisschen anders löst (Whitelist/Definitionen anpassen/etc.)

Der Aufwand hält sich tatsächlich - zumindest bei F-Secure - in Grenzen: Account in 3 Minuten erstellen, es wird praktisch nur eine Emailadresse verlangt, Datei hochladen, kurze Beschreibung, was denn gemeldet werde, ein paar Stunden warten -> Antwort bekommen. Kann ich eigentlich nur empfehlen, falls mal jemand ein ähnliches Problem hat.

Gruss
cwriter

/EDIT:
Zumindest Emsisofts Ergebnis basiert auf BitDefender. Weil der Markt noch nicht fragmentiert genug ist oder so.
/EDIT2:
Die Qualität der Meldungsseiten variiert stark. Einige Seiten verlangen einen Echtnamen und die IP wird immer geloggt. Emsisoft hat nicht mal eine Meldungsseite . Nur ein Forum...
Mal sehen, wie mühsam der Prozess ab jetzt wird #YOLO