Как угодить “Лаборатории Касперского” и не стать вредоносным ПО

Не успели мы анонсировать долгожданную интеграцию ZentrySpace с Telegram, как случилось то, к чему нас жизнь точно не готовила — зловещее уведомление у скачивающих от “Лаборатории Касперского” о наличии Трояна в приложении. По мотивам недавних реальных атак в Telegram, в борьбе с которыми Касперский преуспел, наши потенциальные пользователи, конечно же, насторожились. После получения серии отзывов о том, что наш продукт вредоносный и подозрительный, мы начали разбираться в том, что же могло пойти не так и почему изменения на уровне кода и наличие EV-сертификата не помогают.

Сразу отметим, что даже Telegram Desktop получает false positives (ложные срабатывания) от некоторых антивирусных программ. Вот и мы к нему присоединились.

Так в чем причина? Вы помните, что для интеграции мы использовали клиентскую библиотеку Telegram TDLib, так вот ее поведение при инициализации аналогично поведению банковского Трояна:

1. Приложение загружает нативную DLL.
2. DLL создаёт базы данных в %AppData%.
3. DLL немедленно открывает зашифрованные сетевые соединения.
4. Всё это происходит за секунды после запуска.

Далее происходит блокировка — независимо от подписи и, соответственно, сертификат EV с расширенной проверкой тут совсем не помощник, поскольку поведение уже засчитано, как подозрительное. К слову, проблема, с которой мы столкнулись, возникала в прошлом и у Rocket.Chat, Jitsi Meet, OpenCode — хотя у всех них тоже действующие EV-сертификаты, и они все равно блокировались Касперским.

Что с этим делать?

1. Самое эффективное и бесплатное решение — попасть в программу Allowlist, которая автоматически выдает “кредит доверия“ приложению. Основная задача подтвердить, что предоставляемое ПО не копирует интерфейсы сторонних приложений, не рекламирует стороннее ПО, не обращается на вредоносные ресурсы, не использует заведомо ложные формулировки.

1. Среди других, более быстрых, способов — можно отправить файл, который получил ложное срабатывание, в Лабораторию с подробным описанием. Ответ довольно оперативный, а обновление базы происходит в течение нескольких дней. А можно отправить TRACE-файлы, технический отчёт, после которого приложение добавят в базу.

Что точно не поможет в подобной ситуации, исходя из исследований и опыта коллег:

• EV-сертификат (проверено на себе).
• Регистрация приложения в реестре Windows — антивирусники не проверяют это.
• Расположение установки (Program Files vs portable).
• Изоляция в child process (что как раз мы сделали) — не поможет, потому что Касперский анализирует всю цепочку.
• Обфускация (преднамеренное усложнение кода для затруднения его аналитики) — будет только хуже.

Разместите
тендер бесплатно

Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.

Заполнить заявку 13470 тендеров
проведено за восемь лет работы нашего сайта.

Как решили проблему мы?

• Отправили файл, который получил ложное срабатывание, в Лабораторию с подробным описанием — факт false positives уже подтвержден.
• Далее ожидаем решения вирусных аналитиков в течение 3-4 дней и будем следовать их инструкциям для попадания в Allowlist, чтобы исключить подобные случаи в будущем.

Теперь, если ваш продукт попадет в подобную ситуацию, вы точно знаете, как поступить.