Мою программу обзывают вирусом.

[Delphin]

Тему подходящую не нашел, поэтому пишу здесь. Если что поправьте, куда это нужно постить.

Подскажите, что делать если мой софт ошибочно определяется как вирус. Программа http://smsactivator.com - это протектор файлов с раскодированием по смс. Год жила без проблем и вдруг на тебе. На него пару раз ругался майкрософт - я им написал жалобу, пересмотрели, базу пофиксили. Теперь нод говорят ругается (если эвристика включена). Это что же теперь каждому писать чтобы они базы свои фиксили? Или есть панацея?

Как побеждать такие проблемы раз и навсегда?

[rubin]

Это что же теперь каждому писать чтобы они базы свои фиксили?

ну.. базы у всех свои, поэтому и писать придётся каждому

[Delphin]

Классно. Касперский молодца - пока без проблем, а некоторые - просто халтурщики. Метод побаним - разбаним свидетельствует о полной халтурности ЛПР (лиц принимающих решение). Блин... ну какого хрена я должен оправдываться на совершенно легальном софте - не понимаю. Хоть бы описали какое деструктивное действие они подозревают, так нет же. Бан и все тут. Зла не хватает. Видимо на вирустотале кто-то просканил, и понеслася. Уродск.....

[Зайцев Олег]

Нужно сделать следующее:
1. Взять блокнот (notepad.exe), засунуть в архив этого протектора, полученное запаковать в zip без пароля, и прислать этот zip архив по ссылке "Прислать запрошенный карантин" в заголовке данной темы
2. Подождать ответа (сутки)
Суть манипуляций - файл пройдет по получению обследование, по которому я могу довольно точно сказать, что ожидает данный протектор (т.е. будут ли детектить его в предь и как этого избежать).

[Delphin]

Карантин выслал. Процедура распаковки (без оплаты по смс) приведена в описании файла. Описание будет видно после запуска EXE. Файлу нужен инет. Ксатит говоря пользователь жаловался не на упакованый протектором файл а на сам протектор. Его можно скачать на сайте http://smsactivator.com

[Зайцев Олег]

Карантин выслал. Процедура распаковки (без оплаты по смс) приведена в описании файла. Описание будет видно после запуска EXE. Файлу нужен инет. Ксатит говоря пользователь жаловался не на упакованый протектором файл а на сам протектор. Его можно скачать на сайте http://smsactivator.com

Если брать присланный семпл, то у него будут очень большие проблемы с антивирусами (про то, как просто ломается подобная защита и сколько головной боли дает привязка к "железу" для легального пользователя - это отдельная песня ...). Причина подозрений и детектов в данном случае простые:
1. При запуске закрытый протектором EXE пытается обращаться к \\.\PhysicalDrive0 (причем обращения не единичные). Такие трюки под ограниченным пользователем работать не должны (т.е. пользователь защищенной программы должен будет сидеть под админом), да и HIPS/PDM антивирусов увидев такое действие поднимут шум и запросто могут пресечь такие операции. Плюс реакция эвристиков антивирусов вполне предсказуема ...
2. Программа зачем-то ищет C:\demo.exe на диске, что с точки зрения антивируса подозрительное действие
3. Идет активная манипуляция с рядом классов (Shell.Explorer в частности - что подозрительно)
4. Идет обращение к boot.smsactivator.com, с передачей туда по методу POST ряда данных, видимо о железе. Подобную операцию перехватит любой Firewall и будет предлагать блокировать ...
Защищенный протектором файл у KIS 2009 находится близко к границе ограниченных приложений (причины описаны выше), но ниже нее - это следствие того, что анализатор KIS "видит", что несмотря на подозрительное поведение ничего деструктивного не делается, в результате рейтинг опасности выходит равный 32%, программа попадает в "Слабые ограничения" и ей разрешается работать ... но в интерактивном режиме тот-же KIS немедленно поднимет тревогу и сообщит о том, что приложение совершает опасные операции и предложит их заблокировать от греха

[drongo]

я бы такой программой не пользовался, может автору следует подумать об изменении алгоритма работы данной программы.