Virenscanner erkennen Delphi 11 Programm als Virus. evtl Signierung nötig
 

Morgen zusammen,

wir haben seit der Umstellung unserer Programme auf Delphi 11 das Problem das hin und wieder einige unser Programm von diversen Virenscannern als Virus/Trojaner erkannt werden. In der Regel als "Trojan:Win32/Bearfoos.A!ml"

Mein Kollege hat folgenden Beitrag gefunden https://en.delphipraxis.net/topic/54...tive-of-course

Frage von mir ist wie das mit dem in dem Thread angesprochener "Digitalen Signierung" der eigenen Programme funktioniert.
Hat jemand von euch dies schon einmal gemacht? Wo wendet man sich dort hin und wie schaut es mit den Kosten aus?

Gruß
Sven

AW: Virenscanner erkennen Delphi 11 Programm als Virus. evtl Signierung nötig
 

Code signing würde dieses Problem nur bedingt lösen. Denn auch wenn ein gültiges vertrauenswürdiges Zertifikat verwendet wird, ist ja dennoch ab und zu ein "Fehlalarm" durch die Heuristik der Virenscanner möglich.

Wir senden bei solchen Virenscanner-Meldungen die Anwendungsdatei(en) an den jeweiligen Hersteller der Antiviren-Software und lassen diese whitelisten.

Zertifikate für das code signing erhältst Du zwischen 0-2000 EUR pro Jahr bei den selben Anbietern, die auch SSL Zertifikate anbieten. Suche mal nach software code signing.

AW: Virenscanner erkennen Delphi 11 Programm als Virus. evtl Signierung nötig
 

Hallo Union,

danke für die Info. Dann probieren wir auch einmal den Weg über den Anbieter vom Virenscanner. Mal schauen wir MS reagiert. Ist oft der MS Defender.
Bei einigen auch Panda

AW: Virenscanner erkennen Delphi 11 Programm als Virus. evtl Signierung nötig
 

Eine Signierung hilft nur bedingt.

"vermeintliche" Viren (False-Positive) werden dann nur "netter" angezeigt,
bzw. beim Start das UAC sieht auch etwas freundlicher aus.


Aber in Windows 11 ist mir aufgefallen, dass Programme (XE / 11.3) nach dem Update gern beim ersten Start blockiert werden, was sich mit einer Signierung höchstwahrscheinlich zuverlässig beheben liese.


Es gibt da diesen neueren Cloud-Check (vergesse immer dessen Namen), wo die Signatur neurer EXEn/DLLs zu Microsoft geschickt wird und es kann bis zu 30 Sekunden dauern (falls die Cloud nicht rechtzeitig antwortet),
und dann entscheidet Windows, ob es den Start zulässt oder nicht.




Die richtige Lösung wäre das eigene Programm umzubauen, bis der "Fehler" weg ist die False-Positive beim VirenScannerHersteller zu melden.


Jupp.
Man hat zwar manchmal das Gefühl, als wenn dadurch einige Scans/Heuristiken wegfallen, aber bezüglich der Sicherheit wäre das fatal ... sonst bräuchten die Bösen ihre Viren ja bloß zu signieren. :lol:

AW: Virenscanner erkennen Delphi 11 Programm als Virus. evtl Signierung nötig
 

Na ja, aber dann weiss man dann doch wer der Böse ist. :-D

AW: Virenscanner erkennen Delphi 11 Programm als Virus. evtl Signierung nötig
 

Oder wem das Zertifikat geklaut wurde.

AW: Virenscanner erkennen Delphi 11 Programm als Virus. evtl Signierung nötig
 

scheinbar ist es wohl immer der MS Defender und seit ein paar Tage extrem.
Bei uns fliegen die Meldung per Email rein, weil aktuell auch überall Updates ausgerollt werden von Windows 10/11

Da auch leere Projekte ( siehe Link oben ) betroffen sind müsste dann nicht Embarcadero das melden oder mit MS sich zusammensetzen?
Wir haben ca 100 Programm und da kommen ständig neue dazu. Jedes davon an MS zu melden wird eine Lebensaufgabe :?

Bei Kunden mit Domäne lässt sich das noch relativ schnell fixen, aber bei Kunden ohne muss man an jeden PC ran.

AW: Virenscanner erkennen Delphi 11 Programm als Virus. evtl Signierung nötig
 

Ich lasse meine signierte Software immer bei "Virustotal" testen. Falls "false positive" Meldungen erscheinen schreibe ich eine E-Mail an den Anti Virus Hersteller.

Meine Code Sign Zertifikate beziehe ich von K-Software. Um den Vorgang der Authentifizierung zu beschleunigen ist es hilfreich eine DUNS Nummer zu beantragen und an die Zertifizierungsstelle zu übermitteln.

AW: Virenscanner erkennen Delphi 11 Programm als Virus. evtl Signierung nötig
 

Wir hatten vor einiger Zeit ein Problem, das eine String-Konstante (die vermutlich im Rahmen von Mißbrauch von Browser-Interface im Code von Scriting-Lösungen steht) mehr als Nervig war, da viele Scanner angeschlagen haben.

Ansonsten hat in 9/10 Fällen das Melden geholfen.

AW: Virenscanner erkennen Delphi 11 Programm als Virus. evtl Signierung nötig
 

Wenn man bedenkt, daß Microsoft auch erst vor kurzem ein Generalschlüssel (zu so ziemlich allen MS-Cloud-Servern) abhanden gekommen ist, ist das gar nicht so unwahrscheinlich, wie man meinen sollte.

Sherlock