Antivirüs Yazılımları Virüs Olmayan Yazılımda Virüs Buluyor

Auto Hotkey ile ufak bir script yazdım ve bunu .ahk to .exe ile exe'ye çevirdim. Sorun şu ki Virustotal'de tarama yaptırdığımda Cylance adındaki program Unsafe, Jiangmin adındaki program ise Packed.PolyCrypt.afqt şeklinde virüs buluyor ancak herhangi bir virüs yok. Hatta yazdığım scriptin görevi Belgelerimde oluşturulan AAAA.jpg isimli fotoğrafı otomatik olarak bir klasör içerisine AAAA_Yıl_Ay_Gün_Saat_Dakika_Saniye_Salise şeklinde kopyalamak.

Neden bunlar benim scriptimde virüs bulur ve ben bunları nasıl düzeltirim? Virüs falan yok çünkü. Kaspersky, Avira gibi bilindik programlar hiç virüs bulmuyorlar.

Antivirüs yazılımlarının çoğunun imza veritabanı ve tarama motorlarının tespit algoritması birbirinden farklıdır. Antivirüs yazılımları yanlış pozitif çıkarabilir. Sizin yaşamış olduğunuz problem yanlış pozitiften kaynaklı bir promlemdir. Çözümü sizin değil antivirüs yazılımcılarının düşünmesi gerekli. Ayrıca VirusTotal gibi zararlı yazılım tespit sitelerinin zararlı yazılım analizini yapmak için zararlı yazılım türevlerine sıkı bir şekilde hakim olmuş olmanız gerekiyor. Hiç bilmiyorsanız da yanlış pozitifi az çıkaran veya popülaritesi yüksek antivirüs yazılımlarının tespitlerine bakarak teşhisi koyabilirsiniz.

Jiangmin ve Cylance gibi imza veritabanı çöpten öteye gidemeyen bir antivirüs yazılımının teşhisine de güvenmeyin.

Virüs olarak algılamasının sebebi senin kodladığın script kodunun derlenmesi aşamasında yaşanan bir durum. Büyük ihtimalle bunun sebebi AutoHotkey'in kod koruma yöntemidir. Bu tür scriptler derlenirken başkaları bu ".exe" dosyasını bypass ederek kodları çalınmasın diye özel bir şekilde derlenir bu derleme yöntemi ile yapılan bir masum programı güvenlik yazılımları virüs olarak algılayabilir. Buna sebep olan obfuscator denen koruma yöntemidir. Pek işe yaramıyor artık bu yöntemler aşılabiliyor yani obfuscator olsa bile kodlar açığa çıkarılabiliyor.

Aynı zamanda derleme esnasında UPX ile sıkıştırma işlemi yapılıyorsa bu da güvenlik yazılımlarının virüs alarmı vermesine neden olur. Derlemeye başlamadan önce obfuscator ve UPX ile sıkıştırma tiklerini kaldırın böylece scriptleriniz virüs olarak algılanmaz.

Ayrıca ben AutoHotkey kullanmanı önermem. AutoIt daha işlevsel ve güzel.

Belirttiğiniz yazılımların ne tür uyarı verdiğinin bir önemi yok. Bu tür sezgisel tespit yapan Comodo gibi firmalarda da bu durumla karşılaşılabilmekte. Bilindik ve büyük firma ise firmaya False-Positive olarak dosyanızı gönderin, durumu düzeltirler.

Bazen virüs programlarının kafası karışabilir.

Bazen içindeki kodlamalardan dolayı virüs olarak da algılayabiliyor. En temizi VirusTotal üzerinden incelemek ya da dosya kodlarını incelemektir.