Viruswarnungen Windows

[JuliusJacobitz]

Es gibt immer wieder Probleme, dass builds und installer vom Windowsdefender blockiert werden. Ich bin sehr neu in dem Themengebiet und freu mich über Unterstützung :)

[JuliusJacobitz]

@haslersn hast du Erfahrung damit oder Tipps ?

[haslersn]

Ne, keine Ahnung mit Windows.

[Floskinner]

Ich hab mal ein wenig gegoogelt und schon ein paar workarounds gefunden die evtl. je nach dem helfen könnten... Alle diese Workarounds setzten aber etwas Technisches Verständnis Voraus -> also nix für die breite "normale" Masse und keine 100% Garantien

Man kann jedoch Microsoft direkt den Bot zusenden mit dem Hinweis, dass es sich hier um eine Falschmeldung handelt. Diese Analysieren dann die Dateien und ändern gegeben falls ihren Windows Defender so ab, dass es nicht mehr als Virus erkannt wird und pushen ein entsprechendes Update für alle. -> Submit a file for malware analysis

Das hab ich mal getan... Ich halte euch dann hier auf dem laufenden wie Microsoft darauf reagiert

[fuzzykiller]

In der Build-Konfiguration kann ich sehen, dass die .exe mit UPX gepackt wird. Das ist für viele Virenscanner wie ein rotes Tuch. Vielleicht klappt es ohne besser.

/edit: Ach nein, die UPX-Komprimierung schlägt fehl weil nicht vorhanden. Eventuell muss was anderes als PyInstaller verwendet werden.

[Floskinner]

Analyse von Microsoft ist fertig. Also wenn ich das richtig verstehe sollte Windows Defender nicht mehr Alarm schlagen.
Kann es nur leider nicht selbst testen :(

Analyst comments:

We have removed the detection. Please follow the steps below to clear cached detection and obtain the latest malware definitions.

1. Open command prompt as administrator and change directory to c:\Program Files\Windows Defender
2. Run “MpCmdRun.exe -removedefinitions -dynamicsignatures”
3. Run "MpCmdRun.exe -SignatureUpdate"

Alternatively, the latest definition is available for download here: https://www.microsoft.com/en-us/wdsi/definitions

[JuliusJacobitz]

@Floskinner könntest du das gleiche noch für den installer machen ? Das wäre mega :)

[Floskinner]

@JuliusJacobitz wurde erledigt 👍
melde mich wieder wenn es seitens Microsoft Rückmeldung gibt

[Floskinner]

@JuliusJacobitz hier die Antwort:

We’ve reviewed your submission and we've confirmed that the submitted files are clean. Windows Defender Antivirus doesn't report them as malware.

The message you observed is a notification from Windows Defender SmartScreen indicating that the application does not have known reputation in our system. Application reputation warnings are meant to inform end users when applications do not have known positive reputation. This doesn’t mean that the application is malicious, only that it is “unknown”. Please note that users can still proceed to download and run the application.

In most cases, a digitally signed application will establish reputation organically, unless something has happened to denigrate existing reputation such as being used to sign malware. We will investigate this issue further and contact you if we need additional information.

To learn more about SmartScreen, please visit here:

https://feedback.smartscreen.microsoft.com/smartscreenfaq.aspx

Also Kurzgefasst, der Smart-Screen wird einem immer warnen, da die Quelle unbekannt ist. Das starten des Bots selber sollte dann aber ohne Probleme funktionieren.

[JuliusJacobitz]

Vielen Dank! Dann vlt. doch noch was richtung Code-Signing...

[BeyondVertical]

Man könnte es in der Windows Sandbox laufen lassen, da macht man nix kaputt.
Wie das geht steht hier: https://docs.microsoft.com/de-de/windows/security/threat-protection/windows-sandbox/windows-sandbox-overview

[timreibe]

@kinghefe du könntest das Programm als .zip downloaden und die .exe direkt ausführen.

Alternativ kannst du den Code auch direkt mit Python ausführen. Dazu:

Python 3.9 installieren (https://www.python.org/downloads/release/python-395/)
pip installieren (https://phoenixnap.com/kb/install-pip-windows)
Code downloaden (großer grüner Button rechts oben auf der Startseite)
in der Konsole in den Ordner navigieren
pip install -r requirements.txt => in der Konsole ausführen
python main.py => in der Konsole ausführen

danke an @sinun98

[JuliusJacobitz]

Also so wie es aussieht, kommen wir nicht um ein CodeZertifikat einer CA herum. Kennt sich jemand damit aus, wie man das in unsere aktuelle "CI" pipeline einbaut ?

[berlin4apk]

Also so wie es aussieht, kommen wir nicht um ein CodeZertifikat einer CA herum. Kennt sich jemand damit aus, wie man das in unsere aktuelle "CI" pipeline einbaut ?

Das direkt in der CI Pipeline lassen die Anbieter sich immer teuer bezahlen.

Es gibt ein Anbieter wo man OSS Projekt einreichen kann und die Sponsoren das dann, mit fällt nur der Name von denen aktuell nicht wieder ein :(

[JuliusJacobitz]

Mein Ansatz ist jetzt das Zertifikat zu kaufen und dann in dem Workflow die .exe(s) zu signen.

[berlin4apk]

Mein Ansatz ist jetzt das Zertifikat zu kaufen und dann in dem Workflow die .exe(s) zu signen.

Ok das wird spannend,
Wie willst du den Hardware Token dann in den Workflow intigriren?
IMHO ist die Codesingen nur noch mit Hardware Token erlaubt. https://shop.certum.eu/open-source-code-signing.html
https://www.msz.it/a-cheap-code-signing-certificate-for-open-source-projects-by-certum-asseco-an-honest-review-walkthrough/

[JuliusJacobitz]

#435 Hab da mal angefangen was zu machen: Aber so wie das aussieht war es evtl. umsonst.

[MatthiasSchilder]

Habe beruflich ein bisschen Erfahrung mit Code Signing. Es gibt OV- und EV (Extended Validation)-Zertifikate. Die EV-Zertifikate sind an Nutzung mit einem Hardwaretoken gebunden. Code Signing ist auch mit den OVs möglich, allerdings akzeptiert SmartScreen diese auch nicht direkt in jedem Fall, sondern erst wenn die Heuristiken (z. B. Abhängig von der Downloadanzahl) 'ok' sagen. Problemlos durch SmartScreen kommt man nur mit EV.

Wenn die CI-Infrastruktur nicht unter deiner Kontrolle liegt, ist das mit Hardwaretoken natürlich unbrauchbar...

EV kostet bei DigiCert mit Token z. B. ca. 1000 EUR. Günstige Anbieter von EV-Zertifikaten für OSS kenne ich leider keine.

[JuliusJacobitz]

Hi @MatthiasSchilder, danke :) Das Thema liegt offensichtlich aktuell auf Eis.
Meine Frage wäre noch, wie das bei größeren Anwendungen abläuft, die einen integrierten Updater haben:

Muss dabei nur einmalig der Installer gesigned werden und alles danach läuft über einen Update-Server mit direkten Downloads ?
Versumpfe aktuell etwas in Abgaben, fände es aber sehr interessant so einen Updater mal zu implementieren.

[JuliusJacobitz]

For any further interest, read this: https://github.com/microsoft/github-actions-for-desktop-apps