Как стать автором
Обновить

Все, что нужно знать об антивирусных сканерах

Уровень сложностиПростой
Время на прочтение2 мин
Количество просмотров12K

Недавно я хотел скачать с гитхаб файлы со своего первого репозитория ;) и внезапно оказалось, что Yandex browser ругается, что они заражены вирусом.
 
 Не-не, дело не в гитхабе! )

 Скачиваем репозиторий через Download.ZIP

И тут внезапно

Причем многомудрый Яндекс браузер не дает возможности открыть архив (!) 
 Это можно сделать через Загрузки-Открыть папку

Ух ты как! Окошко «Будьте осторожны» появляется на пару секунд и надо успеть ткнуть на кнопку «Разблокировать».

А что, Яндекс настолько суров, что лезет в стандартные файловые диалоги и туда дописывает свои страшилки?

Проверил файлы на VirusTotal и понял, что это тема для отдельного поста. Вкратце – от степени упаковки исполняемого файла UPX-ом меняется число антивирусов, обнаруживших троян в файле.

Проблема связана с файлами RAPIDQx.LIB которые являются исполняемыми файлами интерпретатора Rapid-Q Basic programming language.

Этот интерпретатор вместе с байткодом программы встраивается в конечный ехе-шник.
Когда-то в начале 2000-х кто-то написал подобие вируса на этом языке. Соответственно сигнатуры исполняемого файла попали в антивирусные базы. А поскольку исполняемым файлом является интерпретатор, то в дальнейшем все ехешники, содержащие интерпретатор стали детектиться как вирусы. После переписки с некоторыми вендорами частично эти сигнатуры из баз выпилили, но со временем они там появились опять.

 Но дело даже не в этом.

 Файлы RAPIDQx.LIB упакованы UPX. Можно задавать разную степень сжатия при упаковке и оказывается, от этого  зависит число антивирусов, обнаруживших троян в файле.

 Для примера перепаковал UPX-ом один из файлов с разной степенью сжатия и получил результат )

И ладно бы кто, но Kaspersky!
Тут значит играем

Тут не играем

Проверил с помощью  свежей Kaspersky Removal Tool – оно вообще ничего не нашло.

Ах, удивительное дело!
Ах, удивительное дело!

Ну и как тут можно избавиться от ложных срабатываний? Видимо самый реальный путь - это подобрать упаковщик ехешника, такой чтобы не было срабатываний. Вести переписку с вендорами бессмысленно.

зы.
А, нет, Removal Tool один файл обнаружила.
UDS:DangerousObject.Multi.Generic
Файл: C:\balan\RQIDE\lib4\RAPIDQ4-0.LIB
Объект, обнаруженный с помощью KSN
MD5: 972862F88F37B4462D1EB528C153DBCF
SHA256: 7B5F0EC4BAE8C23FD7A0129642B04548B4E95CE6CDDD2B0DDD0BC0567E7F4D03

Теги:
Хабы:
Всего голосов 18: ↑12 и ↓6+13
Комментарии62

Публикации

Истории

Ближайшие события

2 – 18 декабря
Yandex DataLens Festival 2024
МоскваОнлайн
11 – 13 декабря
Международная конференция по AI/ML «AI Journey»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань