Здравствуйте. 
Столкнулся со следуюшей проблемой: 
 При написании IRC-клиента с использованием библиотеки wxWidgets (Cpp) , антивирус нод32  выдает сообшение, что  exe файл определен как возможно новый NewHeur_PE вирус и удаляет его.  Поэксперементировав, обнаружил что достаточно 5ти строчек кода добавить к новому проекту (шаблон с окном) и получается эта история.


То есть, если в проге и определен сокет-объект (даже неиспользуемый ) и где нибудь в коде есть три строчки (также если они стоят вразброс) с командами от IRC-протокола, то такую прогу нод32 считает вирусом. :(

Поискав по инету я нашел, что есть Backdoor-вирус который использует IRC комманды(написан на VISUALBASIC) , с которым скорей всего и путает нод32 мою прогу. Но от этого легче мне не стало .

Не использовать wxWidget я не могу.. так как IRC-клиент только часть проекта уже написаного на этой библиотеке..

Может кто то встречался с таким, знает методы борьбы ?  Заранее спасибо за любой совет.

Сталкивался с таким... Правда в MFC, тоже при работе с сокетами. Просто вырубал нод и инет (чтоб какашка не залезла) и работал дальше   

Когда напишешь программу, свяжись с их лабораторией и опиши проблему. Обычно они решают подобные случаи. 

но ведь не будут все кто пользуются  нод32 отключать его ради того чтоб попользооваться моей прогой 


 планировал..сделаю..мало верю в успех..но другого выхода и не видно  

Я вот тут задумался.. связано ли это именно с wxWidgets или нод32 реагирует на любую прогу с сокетами и строками??
 пробовал заменить wxString на другое.. Результат тот же...но без wxWidgets попробовать не могу (нет других библиотек)
у кого есть возможность попробуйте, пожалуйста, откомпилить аналог кода первого поста. (только не забудьте, что неиспользуемые char[] отсекаются - а то у результат будет не точный. ) 

Эвристический анализ этого антивируса основан на наборе некоторых характерных для вирусов правил исполнения, каждое правило имеет свой вес, при достижении определённого порога(по весовой сумме всех правил встретившихся в приложении) программа становится потенциальным вирусом с т.з. АВ. 
Видимо какое-то поколение вирусов использовало похожую сигнатуру(да в общем-то любой троян использует сокеты) и её сделали одним из правил. Хотя, конечно, очевидно, что правилу присужден слишком большой вес. Но тут ещё может быть кое-что. Ещё видимо сыграло свою роль и то, что компилятор инклудит библиотеку с множеством сетевых функций. 

Помню у меня при использовании wininet + ping DrWeb определял "возможный" вирус.
Есди без строк тех АВ не определяет как вирус, попробуй зашифровать строки.

 Я примерно так и сделал, к строкам храняшимся в коде программы добавил префикс, чтоб АВ ничего "плохого" в коде не нашел..
 с такой строки считываю нужный кусок  в константную переменную и работаю уже с ней.

 привожу один иэ вариантов как пример, вдруг кто то столкнется с такой же проблемой 


Огромное спасибо за поддержку и советы

может лучше так:

 а чем лучше ?

имхо, ничем.
только если тебе хочется обмануть нод 

а в следующей версии он будет на _USER ругаться.... понятно, что проблемы то ихние, но программу же это не спасет...

лучше что-то более уникальное

Иммено для этого объявляю переменные  через  #define-макрос,  чтоб одним махом можно было поменять префикс
а если вдруг что, то и суффикс добавить 


предлагай какой нравится, поставлю 

к примеру <рабочее название проги>_USER и т.п.

а вообще, имхо, тут нужно бы ID писать вместо строк

 нельзя чтоб в теле проги были строки (даже нигде не используемые) команд IRC. ID отпадает так как, как я по ID расспознаю строку пришедшую по сети? 


а толку от рабочего названия если перед командой тот же штрих стоит  тогда уж<рабочее название проги>USER.

P.S. Наверно ты невнимательно прочитал: префикс (_) нужен только для того чтоб в теле проги не хранилась команда похожая на ирк-команду. А использую в работе все равно только "чистую" команаду (без префикса), 

угу, и правда 




если эти строки "отсекаются" сразу по прибытии и нужны только по работе IRC, то да...
мне почему-то показалось, что они фигурируют и в самом "ядре" программы, которое должно быть отделено от сети бетонной стенкой

Да используются только для расшифровки команд от ирка(и соответственно обратного преобразования).   В "ядро" посылается уже отранслированная комманда "внутреннего" протокола.

Это сообщение отредактировал(а) mes - 22.11.2007, 16:09