TC UP 8.6 - Fałszywe oskarżenie o trojanie przez Microsoft Defender

[ULTIMA PRIME]

musiałem się tłumaczyć centrali firmy z instalowania TCUP

I jakie było wytłumaczenie?

Przeczytałem wszystko co tu znalazłem ale nie do końca rozumiem po czym rozpoznaje Defender, że plik jest trojanem, czy to jest ciąg znaków Total Commander Ultima Prime zawarty w pliku wykonywalnym? Czy może chodzi o tcup w nazwie samego pliku exe?

Nie wiemy.

Tak było do niedawna, wystarczyło wpisać tylko nazwę "Total Commander Ultima Prime" przed kompilacją i od razu była blokada.
Tak, jak jest to pokazane na tym filmie:  Zachowanie programu Windows Defender w stosunku do nazwy Total Commander Ultima Prime

Ale ostatnio jak robiłem testy, to Defender nie blokował nazwy, więc zgłoszenia na filesubmission może przyniosły efekt



Instalator od wersji 8.7 składa się z 2 części, co było podyktowane tym, że musieliśmy jakoś zareagować na FAŁSZYWE oskarżenia ze strony programu Microsoft Defender dotyczące wersji 8.6 (co ciekawe, wersję 8.5, też blokuje, w której wcześniej przez rok nie widział żadnego problemu ).

Pliku wykonywalnego (tcup87.exe) i pliku z danymi (tcup87.7z) zawierającym spakowane pliki programów, narzędzi i wtyczek wchodzących w skład TC UP.

Instalator podzieliliśmy na 2 część, żeby można było w razie jakiegokolwiek zarzutu ze strony Defendera, wysłać plik do ponownego, ręcznego (lub automatycznego - nie wiem jak to faktycznie działa) sprawdzenia przez pracownika Microsoftu.


Podział wg. nas, był logiczny - mały plik wykonywalny (do którego ewentualnie może przyczepić się Defender) i pozostałe dane w większym pliku (założenie było takie, że Defender nie będzie na tyle "głupi", żeby spakowane, oryginalne pliki programów, oznaczał jako zagrożenie - jednak okazało się, że jest na tyle "głupi" (albo jest to celowe działanie), o czym poniżej)


Po wydaniu wersji 8.7, musiałem wysłać kilkanaście razy na filesubmission plik tcup87.exe (bo cały czas był blokowany, pomimo tego, że nawet jak przed publicznym wydaniem TC UP 8.7, wysłałem plik do sprawdzenia, również na filesubmission i po weryfikacji był oznaczony jako czysty) zgłaszając, że jest fałszywie blokowany i z tego co sprawdzałem w ciągu kilku ostatnich dni, na różnych komputerach oraz z informacji od użytkowników - wydaje się, że ten plik nie jest już blokowany.

Ale za to, teraz Defender zaczął blokować plik danych (tcup87.7z), którego nie mamy jak oczyścić z zarzutów, bo znów jego rozmiar jest za duży do przesłania na filesubmission (ograniczenie rozmiaru przesyłanego pliku to 500MB). Pomimo tego, że w tym pliku znajdują się tylko i wyłącznie, oryginalne pliki programów, które normalnie nie są blokowane przez Defendera (ale są w nim wpisy odnoszące się do nazwy TC UP, więc może dlatego blokuje).

Nie chcę tutaj pisać teorii spiskowych, ale wygląda to tak, jak by w Microsofcie, ktoś za wszelką cenę chciał uśmiercić projekt TC UP (a może tak działają ich algorytmy, nie wiem).
Pomimo wielokrotnych prób, skontaktowania się z kimkolwiek z Microsoftu (mam nadane 3 numery spraw, chociaż prób kontaktu było DUŻO więcej) - nie ma żadnej reakcji, a na ostatnie zgłoszenie, nie ma nawet żadnej odpowiedzi ze strony Microsoftu (więc albo ich wsparcie totalnie leży i kwiczy, albo komuś celowo zależy, żeby taki stan rzeczy się utrzymał).

I chociaż na razie jest 1:0 dla Microsoftu, to jeszcze nie powiedzieliśmy ostatniego słowa...

W każdym przypadku w moim rozumieniu można byłoby zmienić to tak, żeby nie łapał się na czarną listę (pewnie po kilku eksperymentach)?
Taka metoda usunięcia problemu nie jest jednak podana, czy to z jakiegoś powodu nie wchodzi w grę?

NIE

Nie może być tak, że jedna firma jest monopolistą i tylko swoim pierdnięciem, jest w stanie zabić inną markę.
Jakim prawem dyskryminuje, nasz projekt?

Skoro wszyscy twierdzą że TC UP jest czysty, to dlaczego ta jedna firma usilnie twierdzi/ła coś innego (pomimo tego że na VirusTotal, nawet skaner Microsoftu od samego początku potwierdzał, że TC UP jest czysty - może dlatego, że na VS faktycznie skaner Microsoftu sprawdza sygnaturę, a nie nazwę pliku )?

Czemu my musimy tłumaczyć się z błędów, które popełnia Defender?
Przecież to nie nasza wina, że Defender nie potrafi prawidłowo zdiagnozować pliku.

Nie wiem jaka jest logika działania Defendera, ale dokładnie ten sam plik, w zależności od dnia skanowania oznacza różnymi nazwami, naliczyłem ich już 5:

Trojan:Win32/Sabsik.TE.A!ml
Trojan:Win32/Malgent!MSR
Trojan:Win32/Wacatac.H!ml
Behavior:Win32/Persistence.A!ml
Program:Win32/Contebrew.A!ml

No więc dla ludzi myślących, coś tu jest bardzo nie halo...


Total Commander Ultima Prime, to jest swego rodzaju marka sama w sobie, rozwijana od 18 lat (na rozwój tego projektu poświęciłem dużą część swojego życia) i nie nie ma mojej zgody, aby program, który blokuje pliki za samą nazwę, nie sprawdzając sygnatury pliku, co w moim przekonaniu całkowicie kompromituje taki program antywirusowy, zmusił mnie do zrezygnowania z tej nazwy (co pewnie czasowo by pomogło, ale po jakimś czasie przyczepił by się do nowego wpisu).

Natomiast druga sprawa to, że wygląda na to, że coś się zmieniło na dzisiaj, przynajmniej u mnie jest inaczej niż to opisujecie.
Starą instalkę, którą miałem 8.6 to owszem mi wykrył jako malware, ale to się działo dopiero przy kasowaniu pliku, więc jakby nie miałem tam żadnych opcji poza dopuszczeniem do użytku na przyszłość. Natomiast nową wersję 8.7 już nie, tylko zablokował uruchomienie jako nieznaną aplikację, gdzie trzeba kliknąć "dowiedz się więcej" aby się wyświetlił przycisk "uruchom mimo to".
Rozumiem, że już samo to zablokuje wielu osobom instalacją, bądź to z powodu niewiedzy czy strachu, ale to już zupełnie inna bajka.
Taką aplikację powinien MS uznać za bezpieczną po odpowiednim (pytanie co to dokładnie znaczy) jej rozpowszechnieniu. Miałem tak w przypadku aktualizacji niezbyt popularnej gry, wtedy na drugi dzień już komunikatu nie było, ale pewnie ilość pobrań tej gry jest większa niż tcup. Tak czy siak to już jest domyślny załączony mechanizm który może się podobać lub nie, ale to już nie jest fałszywe oskarżenie, niestety tutaj już nie ma opcji wysłania tego pliku do sprawdzenia z tego powodu (tylko z powodu malware lub potencjalnie niepożądany lub zaprzeczenie tego).
No więc nie wiem, czy potwierdzacie, że tak jest faktycznie i niedługo sytuacja powinna zostać wyprostowana, czy też może u mnie dzieje się coś inaczej.

Dlatego prosiłem w newsie do nowej wersji, użytkowników o oznaczanie pliku jako bezpieczny, bo to chyba jedyny sposób na powrót "do normalności".
Tak jak wyżej pisałem, w zależności od dnia i komputera użytkownika - dzieją się dziwne rzeczy... Jednym blokuje, innym nie. Jednym wykrywa takie zagrożenie, innym inne...

Tak, wraz z rozwojem smartfonów, programy typu TC UP tracą na znaczeniu, jednak nie zmienia to faktu, że dla ludzi świadomie używających komputera, TC UP nadal jest jednym z najlepszych rozwiązań, poprawiających efektywność wykonywanych czynności.


Co mam potwierdzić?
Bo nie rozumiem pytania, przecież ja nie wiem jak się będzie w przyszłości zachowywał Defender.


Najsmutniejsze jest to, że zainteresowanie tematem ze strony użytkowników jest... żadne. Więc z drugiej strony, jak nie ma tego dla kogo robić, to po co się starać?

TC UP będzie na pewno rozwijany dalej (w końcu, system Windows służy mi tylko do zainstalowania TC UP), ale czy publicznie (i użerania się z oskarżeniami, które totalnie nią mają podstawy w rzeczywistości) czy tylko dla nas, to już będzie kwestia zastanowienia.

PS. Wpłaciłem przed chwilą datek na TC UP, korzystam już sporo lat więc się należało (zwłaszcza w obliczu przedstawionych wydarzeń) i właśnie się okazało, że miałem już zarejestrowane konto, o czym nie miałem pojęcia, ale udało się zalogować a teraz widzę, że poprzednia wizyta była 13 lat temu

Serdecznie dziękujemy za wsparcie, bez niego nie jesteśmy w stanie kontynuować rozwoju TC UP.


I tu przy okazji odniosę się do jeszcze jednej rzeczy:

Poświęciłem bardzo dużo czasu (i Kamil), żeby przenieść forum z wszystkimi użytkownikami i tematami napisanymi od początku istnienia forum na nową wersję strony, a i tak nikt tego nie docenia.


Zamiast pisać na forum, użytkownicy TC UP są tak leniwi, że piszą do mnie prywatne wiadomości z pytaniami o to jak coś zrobić w TC UP. 

No więc od razu tu zaznaczam, jeśli ktoś jest na tyle leniwy, że nie chce się mu założyć konta bo jest wychowany na "fejsbuczku" i napisać na forum, tak żeby inni szukający podobnych odpowiedzi mogli je przeczytać, niech nie oczekuje ode mnie jakichkolwiek odpowiedzi. Uwierzcie mi ludzie, Wasz czas nie jest cenniejszy niż mój, a to że dostajecie efekty naszej pracy za darmo, nie oznacza że możecie nam wejść na głowę.