Блокировка программы установки

[GVK]

Столкнулся с забавным нюансом под Kaspersky CRYSTAL 2.0, на который перешел недавно (хотя это не важно, как я полагаю). Пишу программу установки, которая работает в два этапа с перезагрузкой системы (устанавливаются файлы программы - как с носителя, так и из интернета, пара сервисов, драйвера специфического устройства). С момента как я начал прописывать себя в «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» антивирус окрестил мою программу как «heur: trojan.win32.generic» и отправил на карантин. Оно, конечно, лестно, но что с этим делать? Инсталлятор-то не только для моей машины создается, так что путь добавления его в исключения не годится.

 

Удалось локализовать срабатывание антивируса - в результате экспериментов выяснил, что почетный титул траяна получаю при наличии в коде сочетания получения «SeShutdownPrivilege» с записью в автозапуск реестра, причем вариант с «RunOnce» погоды не делает. Если выкинуть что-то одно, то антивирус доволен – правда, я не очень.

 

Есть ли какие-нибудь разумные пути решения данной проблемы с сохранением собственной программы установки и использования вышеописанного алгоритма работы?

[Денис-НН]

На время написания и проверки программы отключайте антивирус, или хотя бы эвристический анализ в нём.

После завершения работ, если ситуация не исправиться, отошлите ваш инсталлятор в вирлаб с пометкой "ложное срабатывание". Оптимально - отослать из личного кабинета https://my.kaspersky.com/ или хотя бы так http://support.kaspersky.ru/virlab/helpdesk.html

[GVK]

На время написания и проверки программы отключайте антивирус, или хотя бы эвристический анализ в нём.

После завершения работ, если ситуация не исправиться, отошлите ваш инсталлятор в вирлаб с пометкой "ложное срабатывание".

На время разработки я ее сразу по награждению добавил в исключения – тут проблем нет. Меня больше интересует принцип срабатывания – в том плане является ли это ошибкой в работе эвристического анализатора или все же нет? По идее программа, прописывающая себя в автозагрузку и перезагружающая компьютер, может являться вредоносной, спору нет, но, по-моему, это более чем недостаточное условие.

 

Почитал кое-что по вашей наводке про отправку на вирлаб. В целом понятно – как решение сносно, хотя, боюсь, времени на обработку подобного запроса уйдет порядком. Единственно что, как я понял, при любой коррекции моего «троянского» инсталлятора мне придется повторять данную операцию? Идентификация-то моей программы явно будет идти по ее контрольной сумме или какому-то схожему принципу.

Изменено 14 мая, 2013 пользователем GVK

[Денис-НН]

Время реакции вирлаба, при отправке запроса из личного кабинета, от пары часов до недели. Как будет проходить идентификация программы, точно не знаю.

Как вариант - получите ЭЦП и подписывайте свой инсталлятор - к подписанным программам отношение более лояльное.

[GVK]

Время реакции вирлаба, при отправке запроса из личного кабинета, от пары часов до недели.

Думаю, так и поступлю - a там посмотрим, спасибо.

Как вариант - получите ЭЦП и подписывайте свой инсталлятор - к подписанным программам отношение более лояльное.

Что-то в этом есть, но это начинание будет однозначно похоронено начальством по причине не понимания вопроса и самого главного - "за это же платить надо".