Все, что нужно знать об антивирусных сканерах24.07.2023 03:16

Недавно я хотел скачать с гитхаб файлы со своего первого репозитория ;) и внезапно оказалось, что Yandex browser ругается, что они заражены вирусом.
 
 Не-не, дело не в гитхабе!)

 Скачиваем репозиторий через Download.ZIP

160fc81f9e50d4d5a56a1d45f127e180.png

И тут внезапно

eb779c3d9eb22015c7476b22d9c6c3bc.png

Причем многомудрый Яндекс браузер не дает возможности открыть архив (!) 
 Это можно сделать через Загрузки-Открыть папку

8be977c00099ee50a7983fd22f39df27.png15cf2d7ab782746dd1fac7ae2ab4af4a.png

Ух ты как! Окошко «Будьте осторожны» появляется на пару секунд и надо успеть ткнуть на кнопку «Разблокировать».

А что, Яндекс настолько суров, что лезет в стандартные файловые диалоги и туда дописывает свои страшилки?

Проверил файлы на VirusTotal и понял, что это тема для отдельного поста. Вкратце — от степени упаковки исполняемого файла UPX-ом , меняется число антивирусов, обнаруживших троян в файле.

Проблема связана с файлами RAPIDQx.LIB которые являются исполняемыми файлами интерпретатора Rapid-Q Basic programming language.

Этот интерпретатор вместе с байткодом программы встраивается в конечный ехе-шник.
Когда-то в начале 2000-х кто-то написал подобие вируса на этом языке. Соответственно сигнатуры исполняемого файла попали в антивирусные базы. А поскольку исполняемым файлом является интерпретатор, то в дальнейшем все ехешники, содержащие интерпретатор стали детектиться как вирусы. После переписки с некоторыми вендорами частично эти сигнатуры из баз выпилили, но со временем они там появились опять.

 Но дело даже не в этом.

 Файлы RAPIDQx.LIB упакованы UPX. Можно задавать разную степень сжатия при упаковке и оказывается, от этого  зависит число антивирусов, обнаруживших троян в файле.

 Для примера перепаковал UPX-ом один из файлов с разной степенью сжатия и получил результат)

f65629b7f7f5612063e52a8f06e6573f.png

И ладно бы кто, но Kaspersky!
Тут значит играем

1b8f5fe5398819cd5907c3d0dd116a46.png

Тут не играем

29c28dbfc22e1478a829fffb1668ee9a.png

Проверил с помощью  свежей Kaspersky Removal Tool — оно вообще ничего не нашло.

Ах, удивительное дело!

Ах, удивительное дело!

Ну и как тут можно избавиться от ложных срабатываний? Видимо самый реальный путь — это подобрать упаковщик ехешника, такой чтобы не было срабатываний. Вести переписку с вендорами бессмысленно.

зы.
А, нет, Removal Tool один файл обнаружила.
UDS: DangerousObject.Multi.Generic
Файл: C:\balan\RQIDE\lib4\RAPIDQ4–0.LIB
Объект, обнаруженный с помощью KSN
MD5: 972862F88F37B4462D1EB528C153DBCF
SHA256: 7B5F0EC4BAE8C23FD7A0129642B04548B4E95CE6CDDD2B0DDD0BC0567E7F4D03

© Habrahabr.ru