1

我使用 C# 创建/更新了一个安装应用程序,它将文件安装到用户的 AppData/Roaming 文件夹中。此安装程序从服务器加载和读取 XML 文件,然后通过 HTTP 协议将文件从该服务器复制到本地计算机。

由于最新的修改是最小的(仅更改了要复制的 XML 和文件所在的服务器地址/它只是一个字符串常量),当用户尝试下载可执行安装程序时,几个病毒扫描程序会报告不同的木马. 安装程序中的 URL 指向最近注册的 .de 域,该域肯定不在任何黑名单或类似的列表中。

当然,开发环境很干净,可执行安装程序根本没有受到感染。来自扫描仪(例如“Windows Defender”、“Kaspersky”等)的警告仅在下载过程中出现,其他一些扫描仪无论如何只报告一个干净的文件。在这些扫描程序将可执行文件存储在隔离区并重新扫描后,它们都不会在此文件中发现任何木马或病毒。

我怎样才能避免这种虚假信息,任何人都有想法?

4

1 回答 1

2

同时我发现,virustotal.com找到的木马类型取决于AssemblyInfo.cs的内容,尤其是[assembly: Guid("...")]。只要我改变这个字符串,就会发现不同名称的不同木马。

我还尝试删除一些功能,尤其是那些使用任何文件访问、目录搜索等的功能,但这根本没有效果。

该代码还包含一个硬连线域名,即“http://”。当我将其更改为“https://”时,更少的扫描程序检测到恶意软件代码。

当然,我用几个防病毒应用程序扫描了我的系统,它们都没有报告任何内容。

于 2018-09-19T12:03:11.093 回答