我使用C#创建/更新了一个安装应用程序,它将文件安装到用户的AppData / Roaming文件夹中。此安装程序从服务器加载并读取XML文件,然后通过HTTP协议将文件从该服务器复制到本地计算机。
由于最近的修改是最小的(仅更改了XML和要复制的文件所在的服务器的地址,仅更改了它的字符串常量),因此,当用户尝试下载时,多个病毒扫描程序会报告不同的木马。可执行安装程序。安装程序中的URL指向最近注册的.de域,该域肯定不在任何黑名单或类似列表中的清单。
当然,开发环境是干净的,可执行安装程序根本没有被感染。扫描程序(例如“ Windows Defender”,“ Kaspersky”等)的警告仅在下载过程中发生,其他一些扫描程序则只报告干净文件。在这些扫描程序将可执行文件存储在隔离区中并重新扫描之后,它们都没有在该文件中找到任何木马或病毒。
任何人有主意我该如何避免这种错误消息?
答案 0 :(得分:0)
与此同时,我发现,virustotal.com发现的木马类型取决于AssemblyInfo.cs的内容,尤其取决于[assembly:Guid(“ ...”)]。一旦更改此字符串,就会发现具有不同名称的不同木马。
我也试图删除一些功能,尤其是那些使用任何文件访问,目录搜索等的功能,但这完全没有效果。
该代码还包含一个硬连接的域名,即“ http://”。当我将其更改为“ https://”时,更少的扫描程序会检测到恶意软件代码。
当然,我用几个防病毒应用程序扫描了系统,但没有一个报告任何内容。