weasel icon indicating copy to clipboard operation
weasel copied to clipboard
verified publisher icon rime

小狼毫 0.15.0 误报病毒声明

Open determ1ne opened this issue 2 years ago • 12 comments

镜像 https://github.com/rime/home/issues/1319

所述文件信息

若非官方渠道下载,请务必验证文件的散列值信息。

File name: weasel_0.15.0.0_installer.exe
MD5: 51C97A47948E06586142D5A1E8DDCA07
SHA256: 21B2B3BA19F11B308DB3C50CE343A14A42CE10331E3C0B7021850EC6726DCD10

为什么会误报病毒?

可能是在代码编写的过程中,某些特殊的行为触发了部分较为敏感杀毒软件的特征码检测,导致报毒。

是否存在编译过程中的污染问题/是否真的有可能被病毒污染?

  1. 代码使用 GitHub Actions 进行编译和发布版本,过程可供人工审计: https://github.com/rime/weasel/actions/runs/5189059536
  2. virustotal 检测结果为 24/71 ,大部分杀毒软件没有报毒。(病毒对应的是大部分杀毒软件报毒)
  3. 部分杀毒软件已将安装程序与 WeaselServer 列入白名单:
  • Symantec: 提交编号 334527 ,需 RAPID RELEASE sequence >= 228309
  • Windows Defender: 经检查无毒,已列入排除名单。但微软给出的升级定义方法貌似无法完全解决报毒问题(可能是 WD 的 Bug )

目前的情况:

安装程序、 WeaselServer 与 WeaselSetup 均会被报毒。其中 WeaselSetup 报毒较少。

部分杀毒软件(如 MAX )在删掉 WeaselSetup 里的某些功能后,报不报毒取决于程序中的字符串常量删没删。。

目前采取的措施?

如果您是个人用户,请将软件列入白名单,或继续使用 0.14.3 版本程序; 如果您是企业用户,请继续使用 0.14.3 版本程序。

之后会采取的措施?

下一个版本发布前,会先尽力查找是哪一部分代码引入的问题并进行修改。

话虽如此,但 Weasel 0.14.3 版本的程序再次编译出的产物,仍会被部分杀毒软件报毒。历史上小狼毫的新版本也曾经被各种报毒。

0.14.3 版本时间较长(2019年的版本),各种杀毒软件可能含有其散列值的白名单;而小狼毫没有付费购买才能使用的程序数字签名,在部分杀毒软件中被评为病毒的机率更大。

如果查找不出代码上的问题,那就只能在每次发布后先人工送入几个较为流行杀毒软件的误报通道,再延迟发布了

determ1ne avatar Jun 10 '23 02:06 determ1ne

我在本机编译的时候,WinSparkle.dll会引起算法服务自动启动。不过我编译的64位,32位那个dll加载不到算法服务的地址空间中。换上自己编译的64位dll后就正常了。

Techince avatar Jun 11 '23 12:06 Techince

image

Techince avatar Jun 11 '23 12:06 Techince

我也是,火狐直接不让我下载,说有病毒。

manyfew avatar Jun 28 '23 19:06 manyfew

我WeaselServer直接被干掉了,我还郁闷了半天怎么突然输入法坏了

bcegkmqs23 avatar Jul 25 '23 12:07 bcegkmqs23

最近发现小狼毫 0.15.0 在32位程序上使用的时候,位于 c:\Windows\SysWOW64\weasel.dll 的文件被 Windows Defender 误杀,需要重新把 weasel.dll 复制回去、在安装选项里删除输入法再安装输入法,重启32位程序后才会正常。

然后重启系统之后 dll 又被以另一个木马的名称隔离删除了……如此循环。

系统是 Windows 11 23H2 专业工作站版。

1wingedangel avatar Mar 01 '24 02:03 1wingedangel

最近发现小狼毫 0.15.0 在32位程序上使用的时候,位于 c:\Windows\SysWOW64\weasel.dll 的文件被 Windows Defender 误杀,需要重新把 weasel.dll 复制回去、在安装选项里删除输入法再安装输入法,重启32位程序后才会正常。

然后重启系统之后 dll 又被以另一个木马的名称隔离删除了……如此循环。

系统是 Windows 11 23H2 专业工作站版。

代码是公开的,无添加木马(不会:),添加信任即可

fxliang avatar Mar 01 '24 02:03 fxliang

最近发现小狼毫 0.15.0 在32位程序上使用的时候,位于 c:\Windows\SysWOW64\weasel.dll 的文件被 Windows Defender 误杀,需要重新把 weasel.dll 复制回去、在安装选项里删除输入法再安装输入法,重启32位程序后才会正常。 然后重启系统之后 dll 又被以另一个木马的名称隔离删除了……如此循环。 系统是 Windows 11 23H2 专业工作站版。

代码是公开的,无添加木马(不会:),添加信任即可

我没有这方面的担心,只是每次启动系统后打开32位程序,Windows Defender就会把这个dll删除掉,就很麻烦……

如下图,每次允许威胁之后把dll重新贴回去,重启系统之后又以另一个名称又被隔离,然后我又得再次允许威胁再重新贴回去……

image

1wingedangel avatar Mar 01 '24 02:03 1wingedangel

补充一下信息:打开64位程序时没有这个问题,小狼毫可以正常使用,Windows Defender 也没有误报。这点貌似和 #1079 完全相反。

1wingedangel avatar Mar 01 '24 02:03 1wingedangel

#1121 可以试试这个PR的产物(产出32/64兼容包安装时自动根据系统安装),或者有变化?

fxliang avatar Mar 01 '24 02:03 fxliang

#1121 可以试试这个PR的产物(产出32/64兼容包安装时自动根据系统安装),或者有变化?

好,有时间的话我试一试。

1wingedangel avatar Mar 01 '24 02:03 1wingedangel

https://support.microsoft.com/zh-cn/windows/%E5%B0%86%E6%8E%92%E9%99%A4%E9%A1%B9%E6%B7%BB%E5%8A%A0%E5%88%B0-windows-%E5%AE%89%E5%85%A8%E4%B8%AD%E5%BF%83-811816c0-4dfd-af4a-47e4-c301afe13b26

fxliang avatar Mar 01 '24 02:03 fxliang

可以试试最新nightly 构建,tsf dll已经显著减少误报了(通过用vs2019构建) https://www.virustotal.com/gui/file/c863c5e6fc0e4c897aaeabfa7334bd3419e85724be0d074dca75b0830bc74353?nocache=1 image

fxliang avatar Apr 16 '24 01:04 fxliang