Dzisiaj otrzymałem informację od użytkownika programu dotyczącą rzekomo wykrywanego trojana w jednej z archiwalnych wersji programu Menedżer Finansów. Tego rodzaju fałszywe alarmy niestety pojawiają się od czasu do czasu, ponieważ programy do wykrywania niebezpiecznego oprogramowania opierają się o mechanizmy heurystyczne które raczej przewidują pewne problemy niż istotnie za każdym razem wykrywają coś istotnego.
To spory problem, ponieważ nigdy nie jesteś w stanie przewidzieć algorytmów przewidywania wszystkich programów które użytkownicy mogą gdzieś tam używać. Nie wiadomo również na jakiej podstawie oprogramowanie klasyfikowane jest jako bezpieczne lub groźne. Co ciekawe, różne programy zabezpieczające tej samej firmy mogą wykrywać i klasyfikować programy różnie.
Przykładowo, każda wersja programu Menedżer Finansów skanowana jest wewnętrznie za pomocą NOD32 Antivirus, a wersja która trafia do Internetu monitorowana jest na bieżąco przez skaner McAfee Antivirus. Status skanowania McAffee publikowany jest na bieżąco na stronie McAffee (zamieszczamy odnośnik do tej stronie na stronach pobierania produktu). Pomimo tego desktopowe wersje produktów McAffee mogą klasyfikować oprogramowanie odmiennie...
Zwykle w takich sytuacjach pomaga zwykła rekompilacja programu z optymalizacją lub bez, co zmienia sumy kontrolne tu i tam, powodując że ten sam program nagle klasyfikowany jest przez to lub tamto narzędzie jako bezpieczny lub niebezpieczny... Oczywiście nie zmienia to faktu że rekompilacja tego samego programu zupełnie niczego nie zmienia, a użytkownicy naszych programów są całkowicie bezpieczni po prostu dlatego że nie umieszczamy żadnego niebezpiecznego kodu w naszych projektach.
