Недавно я хотел скачать с гитхаб файлы со своего первого репозитория ;) и внезапно оказалось, что Yandex browser ругается, что они заражены вирусом.
Не-не, дело не в гитхабе! )
Скачиваем репозиторий через Download.ZIP
И тут внезапно
Причем многомудрый Яндекс браузер не дает возможности открыть архив (!)
Это можно сделать через Загрузки-Открыть папку
Ух ты как! Окошко «Будьте осторожны» появляется на пару секунд и надо успеть ткнуть на кнопку «Разблокировать».
А что, Яндекс настолько суров, что лезет в стандартные файловые диалоги и туда дописывает свои страшилки?
Проверил файлы на VirusTotal и понял, что это тема для отдельного поста. Вкратце – от степени упаковки исполняемого файла UPX-ом меняется число антивирусов, обнаруживших троян в файле.
Проблема связана с файлами RAPIDQx.LIB которые являются исполняемыми файлами интерпретатора Rapid-Q Basic programming language.
Этот интерпретатор вместе с байткодом программы встраивается в конечный ехе-шник.
Когда-то в начале 2000-х кто-то написал подобие вируса на этом языке. Соответственно сигнатуры исполняемого файла попали в антивирусные базы. А поскольку исполняемым файлом является интерпретатор, то в дальнейшем все ехешники, содержащие интерпретатор стали детектиться как вирусы. После переписки с некоторыми вендорами частично эти сигнатуры из баз выпилили, но со временем они там появились опять.
Но дело даже не в этом.
Файлы RAPIDQx.LIB упакованы UPX. Можно задавать разную степень сжатия при упаковке и оказывается, от этого зависит число антивирусов, обнаруживших троян в файле.
Для примера перепаковал UPX-ом один из файлов с разной степенью сжатия и получил результат )
И ладно бы кто, но Kaspersky!
Тут значит играем
Тут не играем
Проверил с помощью свежей Kaspersky Removal Tool – оно вообще ничего не нашло.
Ну и как тут можно избавиться от ложных срабатываний? Видимо самый реальный путь - это подобрать упаковщик ехешника, такой чтобы не было срабатываний. Вести переписку с вендорами бессмысленно.
зы.
А, нет, Removal Tool один файл обнаружила.
UDS:DangerousObject.Multi.Generic
Файл: C:\balan\RQIDE\lib4\RAPIDQ4-0.LIB
Объект, обнаруженный с помощью KSN
MD5: 972862F88F37B4462D1EB528C153DBCF
SHA256: 7B5F0EC4BAE8C23FD7A0129642B04548B4E95CE6CDDD2B0DDD0BC0567E7F4D03
