Py2exe crea un virus?

2

Así que compilé el código de Python en un archivo .exe usando Py2exe.

Al ejecutar una exploración virustotal, recibí una detección:

Intenté eliminar py2exe e instalarlo de nuevo, y me dio una detección completamente diferente:

anexo

Nunca he encontrado un llamado bitcoinminer (ni siquiera sé cómo usar bitcoin) y trojan.pyth, así que estoy realmente confundido en cuanto a de dónde vienen estas detecciones.

Instalé py2exe usando pip ...

Mi código utiliza una API de sitios web para obtener algunas estadísticas. Nada más.

EDITAR: ¡MI PC es 100% LIMPIO!

    
pregunta LearningToJava 08.10.2016 - 23:28
fuente

2 respuestas

3

Para detectar amenazas AV, intente comparar el archivo con malware conocido. Pero el malware cambia mucho y, por lo tanto, es muy común que no se encuentre una coincidencia exacta con el malware conocido. En este caso, AV intenta detectar un malware potencial comparando las técnicas y el comportamiento utilizados en el binario con el malware conocido, es decir, el uso de empaquetadores específicos o similares.

Por supuesto, estas heurísticas no pueden ser 100% precisas. Esto significa que puede suceder que el malware se marque como limpio (falso negativo), pero también que los archivos inofensivos se marquen como malware (falso positivo) porque han encontrado técnicas empleadas en el malware. Demasiados falsos negativos significan que el malware no se bloquea con el AV, pero demasiados falsos positivos significa un bloqueo excesivo, es decir, que los archivos inofensivos se bloquean como en su caso.

Lamentablemente, una tasa de falsos positivos baja suele ir acompañada de una tasa de falsos negativos alta y viceversa, por lo que los proveedores de AV deben encontrar un equilibrio entre estos dos que sea aceptable para los usuarios. El balance exacto depende de la AV y la configuración específica pero generalmente vemos una tasa de falsos negativos del 2..6% (es decir, este malware no se detecta) con solo unos pocos falsos positivos (es decir, un overblock pequeño pero aún existente). Consulte av-comparitives para obtener estadísticas detalladas.

En su caso, un solo proveedor de AV tenía alguna firma o heurística que probablemente coincidía con el malware existente basado en Python, solo porque usted también usa python. Este es un caso típico de un falso positivo y no hay mucho que pueda hacer al respecto. Una vez que su producto es lo suficientemente importante, los proveedores de AV pueden explícitamente incluirlo en una lista blanca para evitar etiquetarlo como malware por accidente.

    
respondido por el Steffen Ullrich 09.10.2016 - 08:07
fuente
-2

Esto es un falso positivo porque python es popular en la comunidad de seguridad y, por lo tanto, las herramientas de ataque a menudo se convierten a exe utilizando este formato para Windows. Algunos AVs están detectando esos artefactos como maliciosos.

Los antivirus que lo detectaron son de baja calidad, por lo que su detección no significa mucho.

    
respondido por el Daniel Grover 27.10.2017 - 21:14
fuente

Lea otras preguntas en las etiquetas