Microsoft security essentials

Saako tuon Microsoft security essentials jotenkin konfiguroitua niin, että ns. lisätiedot näytettäisiin heti ja automaattisesti, siis ilman tarvetta painaa "Näytä lisätiedot".

Kas kun noissa "lisätiedot":ssa näkyy esim:

Tiedosto: omaohjelma.exe
Hakemisto: C:\OmatOhjelmat\Demo1\

Noiden avulla olisi nopeampi tunnistaa, onko kyseessä oikeasti haittaohjelma (1% tapauksista) vai väärä positiivinen hälytys (99% tapauksista).

Valitettavasti tuo Microsoft security essentials antaa jatkuvasti vääriä positiivisia häläreitä, eli väittää itse tekemääni ohjelmaa haittaohjelmaksi.

Osoittaa joko törkeän ammattitaidotonta touhua Microsoftilta, tai sitten pyrkimystä sabotoida kilpailijan ohjelmistotyökaluilla tehtyjä ohjelmia väittämällä niitä perusteettomasti haittaohjelmaksi.

Tänään juuri tuli tuollainen väärä positiivinen hälytys:

Kyseessä oli omatekoinen ohjelma, joka on tehty Delphi 7:lla (tuon Delphi 7:n tekijä on Borland Software, Inc.)

Delphin uudemmat versiot ovat sitten Embarcadero -nimisen yrityksen tekemiä, jonka nykyisin omistaa Idera.

Tällä kertaa omassa ohjelmassani ei edes ollut käytetty mitään 3:nnen osapuolen tekemää Delphi -komponenttia.

Sensijaan aiemmin eräs toinen omatekoinen ohjelma aiheutti myös MSE:ltä aiheettoman positiivisen hälytyksen, sillä kertaa olin käyttänyt Anders Melanderin tekemää Drag & Drop -komponenttia.

Sinänsä kummallista:

Tuo Drag&Drop nimenomaan liittyy ohjelman käyttöliitymään.

MUTTA

Haittaohjelmissa ei yleensä ole paikallista käyttöliitymää lainkaan, vaan ne pyrkivät päinvastoin piiloutumaan siten, ettei käyttäjä edes huomaisi, että ko. haittaohjelma on asentunut koneelle ja on käynnissä siinä !

Delphi on erinomainen ohjelmointityöväline.
Mutta juuri siksi se on myös haittaohjelmien tekijöiden mielestä erinomainen ohjelmointityöväline.

Niinpä Delphillä onkin kirjoitettu useita haittaohjelmia.

Kerran (kauan sitten) joku levitti Suomi24 chatissa haittaohjelmaa, tämäntapaisella linkillä chattailyn seassa (linkki muutettu):

http://www.haittaohjelma-repository.fi/haittaohjelma.pif

Latasin tuon huvikseni koneeseen, jossa ei ollut mitään tärkeää.

Yritin käynnistää:

haittaohjelma.pif

ja seuraus oli tällainen virheilmoitus:

Ohjelmaa ei voi suorittaa, koska VBRUN300.DLL puuttuu.

Arvatkaapa, naurattiko?

Joku urpo oli tehnyt haittaohjelman Visual Basicilla.

Mutta kun samassa koneessa ei ollut asennettuna yhtään toista Visual Basicilla tehtyä ohjelmaa, niin haittaohjelman käynnistyminen estyi virheilmoitukseen puuttuvasta VBRUN300.DLL -tiedostosta!

Delphillä on helppo tehdä ohjelma, jossa KAIKKI ohjelman tarvitsema on siinä samassa EXE -tiedostossa sisällä.
Ja silloin ohjelman toimivuus ei riipu mistään toisesta aputiedostosta, joka koneelta tarvitsisi myös löytyä.

Vai onko muita, MSE:tä parempia virustorjutaohjelmia, jotka eivät anna aiheettomia positiivisia hälytyksiä ?

Ongelmahan tulee siitä, kun kelvottomat virustorjutaohjelmien tekijät eivät viitsi etsiä osaa viruskoodarin tekeleestä ja käyttää sitä virustunnisteena, vaan sensijaan ottavat virustunnisteeksi osan Delphin systeemikirjastosta, joka toki esiintyy ko. viruksen koodissa, mutta se esiintyy myös monissa tai kaikissa Delphillä tehdyissä muissakin ohjelmissa.

Tuollainen on ala-arvoista toimintaa virustorjuntaohjelman tekijältä (tai ehkä jakelijalta, riippuu, miten tulkitaan sanaa "tekijä").