GVK Опубликовано 13 мая, 2013 Опубликовано 13 мая, 2013 Столкнулся с забавным нюансом под Kaspersky CRYSTAL 2.0, на который перешел недавно (хотя это не важно, как я полагаю). Пишу программу установки, которая работает в два этапа с перезагрузкой системы (устанавливаются файлы программы - как с носителя, так и из интернета, пара сервисов, драйвера специфического устройства). С момента как я начал прописывать себя в «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» антивирус окрестил мою программу как «heur: trojan.win32.generic» и отправил на карантин. Оно, конечно, лестно, но что с этим делать? Инсталлятор-то не только для моей машины создается, так что путь добавления его в исключения не годится. Удалось локализовать срабатывание антивируса - в результате экспериментов выяснил, что почетный титул траяна получаю при наличии в коде сочетания получения «SeShutdownPrivilege» с записью в автозапуск реестра, причем вариант с «RunOnce» погоды не делает. Если выкинуть что-то одно, то антивирус доволен – правда, я не очень. Есть ли какие-нибудь разумные пути решения данной проблемы с сохранением собственной программы установки и использования вышеописанного алгоритма работы?
Денис-НН Опубликовано 13 мая, 2013 Опубликовано 13 мая, 2013 На время написания и проверки программы отключайте антивирус, или хотя бы эвристический анализ в нём. После завершения работ, если ситуация не исправиться, отошлите ваш инсталлятор в вирлаб с пометкой "ложное срабатывание". Оптимально - отослать из личного кабинета https://my.kaspersky.com/ или хотя бы так http://support.kaspersky.ru/virlab/helpdesk.html
GVK Опубликовано 14 мая, 2013 Автор Опубликовано 14 мая, 2013 (изменено) На время написания и проверки программы отключайте антивирус, или хотя бы эвристический анализ в нём.После завершения работ, если ситуация не исправиться, отошлите ваш инсталлятор в вирлаб с пометкой "ложное срабатывание". На время разработки я ее сразу по награждению добавил в исключения – тут проблем нет. Меня больше интересует принцип срабатывания – в том плане является ли это ошибкой в работе эвристического анализатора или все же нет? По идее программа, прописывающая себя в автозагрузку и перезагружающая компьютер, может являться вредоносной, спору нет, но, по-моему, это более чем недостаточное условие. Почитал кое-что по вашей наводке про отправку на вирлаб. В целом понятно – как решение сносно, хотя, боюсь, времени на обработку подобного запроса уйдет порядком. Единственно что, как я понял, при любой коррекции моего «троянского» инсталлятора мне придется повторять данную операцию? Идентификация-то моей программы явно будет идти по ее контрольной сумме или какому-то схожему принципу. Изменено 14 мая, 2013 пользователем GVK
Денис-НН Опубликовано 14 мая, 2013 Опубликовано 14 мая, 2013 Время реакции вирлаба, при отправке запроса из личного кабинета, от пары часов до недели. Как будет проходить идентификация программы, точно не знаю. Как вариант - получите ЭЦП и подписывайте свой инсталлятор - к подписанным программам отношение более лояльное.
GVK Опубликовано 14 мая, 2013 Автор Опубликовано 14 мая, 2013 Время реакции вирлаба, при отправке запроса из личного кабинета, от пары часов до недели. Думаю, так и поступлю - a там посмотрим, спасибо. Как вариант - получите ЭЦП и подписывайте свой инсталлятор - к подписанным программам отношение более лояльное. Что-то в этом есть, но это начинание будет однозначно похоронено начальством по причине не понимания вопроса и самого главного - "за это же платить надо".
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти