N'allons pas imaginer que c'est un moyen de vendre des antivirus. Pas de négativisme pour la nouvelle année !
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
N'allons pas imaginer que c'est un moyen de vendre des antivirus. Pas de négativisme pour la nouvelle année !
Papy214 jamais je n'ai eu cette pensée.
Au contraire, je me demandais en ce qui concerne cette discussion de l'efficacité réelle de ces détections bidons.
En se mettant à la place de tout développeur connaissant parfaitement le contenu de son code, et qui après une série de scan découvre que son appli est truffée de vilaines bêbêtes bidons.
Franchement, ça laisse pantois et donne envie de laisser passer un petit ricanement nerveux en pensant que c'est vraiment d'une efficacité redoutable !
Ce serait sympa et intéressant si d'autres utilisateurs de versions récentes de Delphi pouvaient nous montrer le résultat de test sur VirusTotal d'un projet totalement vide de code
Ce serait très très très intéressant pour la communauté, merci
DS7
XE7
même une appli console sans rien dedans, il y aurait des cochonneries.
C'est du grand n'importe quoi
Delphi 11, projet VCL vide, win 32 bits
DEBUG
Seul deux Antivirus qui me sont inconnus me donnent des faux
Bkav Pro W32.AIDetectMalware
Rising Trojan.Generic@AI.100 (RDML:T+vwvZOCCd66emrnyLxP
le même en mode release m'en donne 4
Alors que mon NORTON ne m'indique aucune menace
même programme version 64 bits
Bkav Pro W64.AIDetectMalware
MaxSecure Trojan.Malware.300983.susgen
ZenBox est peut-être celui qui fourni le plus de détail
System Summary (11)
1.0 PE file contains more sections than normal
1.0 Sample file is different than original file name gathered from version info
1.0 PE file contains executable resources (Code or Archives)
0.0 PE file has an executable .text section and no other executable section
0.0 Reads software policies
0.0 Parts of this applications are using Borland Delphi (Probably coded in Delphi)
0.0 Classification label
-0.91 Contains modern PE file flags such as dynamic base (ASLR) or NX
-0.97 PE file has a big raw section
-1.0 Submission file is bigger than most known malware samples
-1.0 PE file has a big code size
Data Obfuscation (1)
1.0 PE file contains sections with non-standard names
Hooking and other Techniques for Hiding and Protection (1)
0.0 Disables application error messsages (SetErrorMode)
Malware Analysis System Evasion (1)
1.0 Program does not show much activity (idle)
Anti Debugging (1)
1.0 Program does not show much activity (idle)
Compliance (1)
-0.91 Contains modern PE file flags such as dynamic base (ASLR) or NX
Mitre Attack
Discovery
T1082 System Information Discovery
Microsoft SysInternal et VirusTotal Jujubox n'ont rien détecté.
Du coup, j'ai tenté pour une version FMX (toujours win32)
1 seul : Rising Trojan.Generic@AI.89 (RDML:Gze+oFpUUwMxGkvio
Mes conclusions :
- C'est du grand n'importe quoi, surtout qu'il s'agit d'antivirus que je ne connais pas, qui sont certainement plus que suspicieux, AMHA des faux positifs
- J'eusse préféré que Kaspersky et McAfee ne soient pas en timeout, dommage, car il s'agit d'antivirus courant
- Seul CAPA n'a pas répondu.
- Le manque de signature pourrait influer ?
test avec D12, identique
Merci les copains et collègues développeurs, oui en effet là se trouve un truc qui déconne à pleins tubes
Aux suivants !
En plus je suppose que certains autres langages retournent la même sanction
Absolument, il ne m'a fallu que faire une recherche sur W64.AIDetectMalware pour trouver un tas de récriminations envers Bkav ProEnvoyé par Droïde Système7
En plus je suppose que certains autres langages retournent la même sanction
Sachant que W32.AIDetectMalware et W64.AIDetectMalware sont des détections heuristiques
DS7
Franchement je suis étonné que cette "trouvaille" ne suscite pas plus de messages.
Imaginez-vous par exemple un industriel nommé "X" fabricant des conserves alimentaires.
Si un jour, quelques consommateurs se rendent comptent en ouvrant une boite, que le contenu est quelque peu altéré et par conséquent immangeable.
Si l'industriel "X" n'a aucune réaction malgré les questions posées par quelques consommateurs...
Après tout cet industriel "X" devrait monter au créneau et regarder d'un peu plus près ce qui se passe, non ?
Car c'est son intérêt au premier chef.
Je m'étonne...
C'est un forum sur Delphi ici. C'est sur virustotal que ça devrait faire débat, pas ici spécialement.
c'est vrai, mais moi qui distribue gratuitement mes petits logiciels en Delphi sur mon site j'ai maintenant quelques utilisateurs qui m'ont signalé la présence de virus.
C'est quand même un peu gênant.
Il faudrait que les distributeurs d'antivirus examinent les logiciels créés avec Delphi pour modifier leurs méthodes de détection
A+
Charly
On ne se pose peut-être pas la bonne question. Est-ce Delphi (ou plutôt le langage) qui est en cause ou le fait que le langage utilise des appels à des api windows et provoque la suspicion ?
C'est vrai que je ne pratique que Delphi ou php, mais j'imagine que Delphi n'est pas le seul langage à faire appel aux API windows, les autres langage sont bien obligés d'en passer par là ?
Je suis comme Charly910 et c'est très désagréable d'avoir des retours sur de potentiels virus, décrétés par de pseudo spécialistes.
Pour moi la question est peut être : qu'en pense et que fait Embarcadero ????
et font front aux mêmes détections d'où ma réflexion.
Je vais me renseigner toutefois je pense que signer les applications va devenir une réponse incontournable (hélasPour moi la question est peut-être : qu'en pense et que fait Embarcadero ????)
Salut,
J'ai trouvé la remarque intéressante, alors j'ai lancé une machine virtuelle Seven64bits dans laquelle tourne un Lazarus 2.2.6, j'ai suivi le protocole du projet vierge de tout code, j'ai ensuite "poussé" le binaire chez VT et résultat, clean !
Curieux, non ? Car on peut supposer que les appels aux API's sont les mêmes, qu'ils viennent d'un code Pascal vide compilé par Delphi ou par FreePascal.
En fait, tout ce qu'il y a comme code et qui nous est masqué, c'est la demande de dessin de la fiche sur le Bureau et la mise en place du système de gestion des messages et des clics, puisque la fenêtre vide fonctionne quand même : on peut la déplacer à la souris.
Intéressant, c'est un argument que je ferais valoir dans ma question à Embarcadero
En effet, c'est justement sur ces deux points bien précis que je souhaitais en venir et faire réagir..../...
Je vais me renseigner toutefois je pense que signer les applications va devenir une réponse incontournable (hélas
Après tout, Embarcadero possède un gros sac de billes dans tout ça, non ?
Pas que, oui mais qu'il défende ses/nos intérêts auprès des détections plus ou moins foireuses
Vas-y Serge et merci
Ce n'est pas propre à Delphi, le même phénomène apparait aussi régulièrement avec d'autres langages, notamment VB6 par exemple.
Cela ne signifie pas pour autant que soit à l’abri avec Lazarus.
Le phénomène apparait de temps en temps, dure quelques jours/semaines, puis souvent disparait aussi subitement qu'il est apparu.
Parfois c'est l'antivirus qui détecte, parfois c'est l'antimalware. Parfois c'est la même menace qui est détectée la fois suivante, parfois une autre. Mais assez souvent, comme dit plus haut, c'est une détection heuristique et non pas un vrai virus connu et identifié.
Le problème se pose pour des "petits" logiciels perso, mais il se posent aussi pour des logiciels professionnels avec un éditeur qui doit faire face à sa clientèle.
Sevyc64
Tu as entièrement raison !
Je pense surtout aux éditeurs professionnels ; et c'est là le point le plus sensible et pilier d'une entreprise : la confiance !
Faudrait que les éditeurs de défenses anti-bêbêtes communiquent efficacement avec les éditeurs de plateformes de développement afin d'accorder leurs violons.
Sinon ce sera le risque pour plus d'un acteur en ces domaines de perdre des plumes et pire : la confiance des utilisateurs et clients !!!
La solution la plus simple c'est de signer les applications sa élimine les faux positifs, presque tous ...
mais c'est pas gratuitenfin si vous faite de l'open source vous pouvez avoir un certificat moins chère https://shop.certum.eu/open-source-c...ning-code.html
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager