Antivirus Falso positivo en mi ejecutable

La respuesta de Andreas es excelente; simplemente le pasa mucho a las aplicaciones Delphi.

Firmar código no hace ninguna diferencia've he tenido NOD32 lanzar falsos positivos en código Delphi firmado.

Si hubiera alguna técnica que evitara los falsos positivos, los autores del virus las usarán para evitar la detección.

He encontrado que el mejor curso de acción es, desafortunadamente, reactivo en lugar de proactivo. Todos los vendedores de AV tienen una facilidad para reportar falsos positivos, y los he encontrado responder a los informes.

Muchos desarrolladores honestos tienen problemas debido al software antivirus descuidado. Vea esto también: ¿Cómo prevenir la alarma de virus falsos positivos en mi software?

Imagina que por cada falso positivo que muestran, pierdes un posible cliente. Los programadores deben tomar medidas contra tales productos antivirus y obligarlos a tener más cuidado con las alarmas de falsos positivos, incluso para recuperar algunos ingresos por las ventas que perdemos debido a ellos.

Actualización:
Recientemente han observado que:

• Número de falsos positivos en VirusTotal.com es mucho mayor cuando el programa se compila es ' Release mode '(con optimizaciones del compilador) que cuando se compila en'Debug mode'.
• Detection sky rockets when EurekaLog is used.

Por lo tanto, enviar a VirusTotal antes de publicar su programa!

Como solución, es posible que desee:

1-Verifique que su compilador Delphi no esté infectado
2-Verifique que sus fuentes y bibliotecas no estén atemperadas con (ese fue el Modus operandi para la Inducción Virus)
3-Compruebe su exe limpio (garantizado) con el AVs. Si reportan un falso positivo, póngase en contacto con ellos para que puedan arreglar sus pruebas.

4 - Si necesita distribuir antes de que haya una oportunidad de corregir el AVs, firme su exe, para que sus usuarios puedan verificar limpiar.

Hay varias razones por las que un producto antivirus podría activarse en un exe producido por Delphi, algunas razones comunes son:

• Muchos virus están escritos en Delphi y, por lo tanto, su exe podría tener algunas partes de código que se ven igual que los virus existentes.
• La tabla de importación de su programa se utiliza para determinar lo que su exe podría hacer, por ejemplo, vincular a las funciones de Administración de Credenciales o Administración de Discos activa algunos AV.

Como se sugiere antes de intentar escanear su versión de lanzamiento con servicios en línea como Virustotal o Jotti y siempre informe de sus falsos positivos a los proveedores en lugar de tratar de evitar ser un falso positivo. Mi experiencia es que los proveedores de AV reaccionan bastante rápido en el envío.

En los grupos Free Pascal/Lazarus y bugtracker, estos mensajes ocurren casi cada lanzamiento y/o mes.

Generalmente recomendamos a los usuarios que ignoren todos los tipos de escaneo "genérico" o "heurístico", y que se adhieran al escaneo basado en firmas (como lo hacen la mayoría de los escáneres de virus corporativos).

Esto porque es casi siempre una alarmas heurísticas, nunca malware específico. Esto se puede ver fácilmente en el hecho de que el "virus/troyano" detectado es casi siempre del tipo "genérico". Generalmente el virusscanners también son típicos" home " virusscanners, o ediciones domésticas de virusscanners generales (Norton solía ser particularmente malo, hoy en día en su mayoría los escáneres de uso doméstico "baratos" de menor escala)

Sin embargo, nos comunicamos principalmente con los desarrolladores, y ya tenemos problemas para transmitir este mensaje. Me imagino que, cuando se distribuye a usuarios finales despistados, este es un mensaje realmente difícil de comunicar.

Aún así, no hay otra manera.