Дело было так: клиент скомпилировал приложение с EurekaLog. В приложении была настроена отправка баг-отчётов по e-mail. Он загрузил скомпилированное приложение на сайт VirusTotal и получил результат проверки, что всё в порядке.
Пока всё достаточно типично. Странные дела начались на следующий день, когда клиент получил на e-mail отчёт от EurekaLog. Странность заключалась в том, что клиент не запускал своё приложение и не распространял его. А сам отчёт выглядел... необычно.
В частности, исполняемый файл был переименован в случайный набор букв, равно как и случайным набором оказались имя пользователя и компьютера. В списке модулей и процессов не оказалось ничего подозрительного, и вообще машина казалась "голой". Единственным выделяющимся аспектом была загруженная библиотека
pancore.dll, которая создала один поток. Google подсказывает, что pancore.dll - это часть Oracle AutoVue, корпоративного решения для визуализации и просмотра CAD и подобных данных.Ответ "загадки" пришёл позже. Вот как выглядели результаты анализа файла при первой проверке:
А вот что показывает сайт при повторной загрузке того же файла день спустя (после получения "загадочного" отчёта):
Как видим, результаты проверки изменились: в заголовок были добавлены "интересные" шаблоны поведения, а в полном отчёте появились новые вкладки с анализом поведения файла: какие файлы он открывает, какие URL посещает, какие ключи реестра изменяет, какие процессы запускает, и так далее.
Оказывается, VirusTotal запускает загруженные программы в нескольких виртуальных машинах / песочницах (т.н. multisandboxing), чтобы определить детали поведения. В частности, загруженный нами файл был проверен в C2AE (предположительно, это CAPE Sandbox), утилитой Sysinternals Sysmon, и собственной песочницей VirusTotal: Jujubox.
Такая возможность существует в VirusTotal с 2012 года, когда они использовали VirusTotal Cuckoofork - клон CuckooBox. В 2017 году VirusTotal запустили multi-sandbox, а в 2019 году Cuckoofork заменили на новый Jujubox Sandbox.
Несложно сообразить, что отчёт получился в результате выполнения загруженного файла в одной из этих песочниц (предположительно - Jujubox). Теперь получение "внезапного" отчёта уже не кажется таким удивительным.
Забудьте про Virustotal!!! Они предоставляют Медвежьи услуги. Для меня - это мошенники. У них многие дельфовые функции видятся как угрозы. То же самое касается и Norton Antivirus.
ОтветитьУдалитьВсе антивирусы можно считать мошенниками. Касперского, например. Потому что у всех бывают ложные срабатывания. Особенно у тех, которые хорошо ловят настоящие вирусы (а Касперский, например, хорошо ловит; слишком, чорт бы его побрал, хорошо).
ОтветитьУдалитьЕсли клиенты вашего приложения отказываются добавлять его в список исключений (ну там "правила корпоративной безопасности", например, не позволяют), то мне известен только один выход из этой ситуации — покупать Code Signing Certificate для вашей организации и подписывать им свои исполняемые файлы. Это не очень дорого, несколько тыс. руб. в год, но оформление/продление может быть геморройным. Антивирусы отстают (иначе бы им прилетало слишком много претензий от пользователей широко используемого ПО, такого, как Office или AutoCAD).