Антивирусы тупят c приложениями написанными на Delphi
 

Сегодня прочитав об очередной реинкарнации старого вируса типа Induc
[url]http://habrahabr.ru/blogs/delphi/136841/[/url]
решил проверить не сидит ли у меня что нибудь подобное ;)

Создал в TurboExplorer пустое windows приложение и послал его на virustotal.com
Результаты впечатлили такого дурдома от антивирусов я честно не ожидал:
9 / 37
[url]https://www.virustotal.com/file/b2ddd11dc63199c5941c1ba75cf89ddc6213fa9abbe14396a3e502ef93a94216/analysis/[/url]
тогда я решил несколько усложнить задачу и изменил размер создаваемого при запуске окна
8 / 42
[url]https://www.virustotal.com/file/8aee0d17770163321150ee1d2fe8c0906026fddf486a2663bf203229b12b5d23/analysis/1327335769/[/url]
О как т.е. один из мега-антивирусов решил что это уже не вирус
Далее я еще усложнил задачу вместо дефолтного имени типа Project1.exe файл был назван IPcaller.exe а так же в приложение были добавлены метка, кнопка и таймер, и в обработчике таймера на метку и в заголовок выводилось время и дата, а по нажатию на кнопку приложение завершало работу.
И снова файл был послан на virustotal и были получены следующие результаты
1 / 43
[url]https://www.virustotal.com/file/245e3e6501b71cba88668876e1a598fd48a349c46d12249abb018090a6d64a62/analysis/1327335121/[/url]
т.е. теперь только один мега антивирус считал файл вирусом.

Печально все это радует только что антивирусы из топ 10 за исключением разве что F-Port не выдали ложных срабатываний.

Хм. Я проверил пустой проект TurboDelphi 2066 Explorer. Два антивируса дали красный свет. Зато другой файл (мой рабочий проект), в котором over9000 обращений к безымянным серверам по трем протоколам, хитрой работы с железом и коварных ходов вроде отслеживания чтения/записи реестра и файлов - пропустили без малейшего сигнала.
По-моему, это неправильные пчелы.

Странно на домашнем компьютере решил сделать ту же проверку
TurboDelphi 2006 Explorer Version 10.0.2558.35231 Update 2 (такой же и на работе)
И вот что было выдано
7 / 31
[url]https://www.virustotal.com/file/437f9d934c2279e95cbe5020e554351d045e92ef6488b3d8232b282176dc1520/analysis/1327351391/[/url]

Что то на вирустотале постоянно пляшет количество антивирусов то 37 то 31 то 42 то 43

Причем если взять это пустое приложение и на форму накидать разных контролов, то ложные срабатывания исчезают
[url]https://www.virustotal.com/file/539f3ebf960fe65755ce6b044236e8668c45baeca74d27a200bbc795fbe6e460/analysis/1327352596/[/url]

тоже решил ему подсунуть на проверку проект где есть обмен по сети, плюс управление другим приложением через клацанье кнопок и доступ к меню и т.п. там ни один антивирус ничего подозрительного не нашел.

>По-моему, это неправильные пчелы.
Пчелы может и не правильные только вот не хотелось бы объяснять заказчику чего это его официально купленные пчелы жужат на мой продукт ;)

Единственное, что приходит в голову - сделать приложение доверенным на уровне антивирусной базы за счет каких-нибудь цифровых подписей или сертификатов (не знаю точно, как это называется). Или просто написать письмо типа: "Добрый дядя Касперский, включите мое приложение, имя файла XXX, в доверенные. MD5 прилагается".

Я как-то обнаружил такое на DrWeb со скомпилированными в P-Code программами на VB6. Отправил на сайт DrWeb багрепорт - на следующий день в обновлении баз было устранено.

1-TVV1 > ну а ты думал, что пейсатели "антивирусов" от их же "вирусов" будут сильно напрягаться? Да щас. :)

to6
Второй раз вижу "пейсатели"
And justice for all = Конь в сандалях ?

7-TVV1 >
1. Второй раз в жизни?
2. С какого перепугу?
3. Что я сказал неверного в корне?

to8
1)ну да именно второй раз вижу слово "пейсатели" до этого были писатели
2) дык первый раз Конь в сандалях создал такую тему с этим словом.
3)Да в общем все верно

9-TVV1 > ХЗ, на просторах интернетовских форумов, и кубанского в частности это слово довольно распространено.
Это же не значит, что оно официально заменяет собой оригинальное написание. :)