Hice este programa de respaldo hace más de un año. Nunca antes se había detectado como una amenaza. Esta mañana, cuando intentó hacer lo que siempre hace, Windows Defender lo puso en cuarentena, calificándolo de amenaza grave "Trojan:Win32/Bearfoos.A!ml".
Utiliza dos DLL que escribí yo mismo, uno de ellos realiza búsquedas recursivas y el otro lee/escribe archivos. Básicamente, mi .exe lee su archivo de configuración, lo sobrescribe si ocurre un problema, luego usa la información cargada para iniciar búsquedas recursivas y luego copia/comprime (usando 7za.exe) esos archivos en varias unidades.
También es Pinvoking kernel32 (GetConsoleWindow) y user32.dll (ShowWindow) ya que es una aplicación de consola.
Estoy seguro de que puedo agregarlo a las excepciones, hay otro hilo sobre Avast sobre algo muy similar que lo sugirió. Sólo me pregunto ¿por qué? ¿Porqué ahora? ¿Por qué Bearfoos? ¿Por qué Windows Defender no puede detectar que yo mismo escribí ese programa? ¿Por qué Windows Defender no puede darse cuenta de que simplemente está copiando archivos en mis propias unidades locales? Incluso lo agregué yo mismo al Programador de tareas de Windows, ¿cuánta bandera verde más necesita Windows Defender?
Me imagino que eso es algo que hacen la mayoría de los programas, copiar y leer archivos.
Respuesta1
Elegiría el comentario de Ramhound como respuesta: "Deberá informar el falso positivo a Microsoft; a menos que informe el falso positivo, Windows Defender seguirá detectándolo como malicioso".
Envié el archivo a Microsoft ayer y respondieron hoy. Quitaron la detección y me dieron pasos para eliminar definiciones antiguas y actualizar a las nuevas.
Gracias a todos por sus aportes, incluso a los que recibieron votos negativos. Aquí hay una página que me ayudó a comprender por qué mi programa ha sido detectado como posible malware. https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/criteria
Respuesta2
Si está 100% seguro de que es seguro, agréguelo como exclusión de Windows Defender.
Respuesta3
¿Por qué empezó a suceder esto ahora? Probablemente hubo una actualización reciente de Windows Defender que provocó que cambiara el comportamiento de su programa. La detección de software malicioso es difícil y el proceso no es 100% fiable. Se cometen errores. A veces, el software malicioso no se detecta y, a veces, el software legítimo se identifica erróneamente como malicioso.
Windows Defender no intenta determinar si usted escribió el programa y, por lo tanto, le otorga privilegios especiales. Sería una muy mala idea. Los programadores no confían en su capacidad para hacerlo con suficiente fiabilidad. Si existiera tal instalación, le daría al malware otro método potencial para evadir la detección. Windows Defender no tiene una comprensión general del programa que usted tiene. Sólo puede comprobar sus archivos en busca de patrones de malware conocido y monitorear su actividad. Y hace todo esto sabiendo que las cosas pueden no ser lo que parecen. El malware moderno es muy sofisticado y tiene muchos trucos, por lo que parecerá algo distinto de lo que es. El malware perfecciona continuamente sus métodos para evadir la detección y el software de seguridad debe perfeccionar sus métodos de detección.
La mayoría del software de seguridad tiene algún tipo de lista de exclusión. Pero ni siquiera esto es tan simple como parece. Debe administrarse con mucho cuidado o el software malicioso simplemente se agregaría a la lista. Los autores de malware estudian Windows Defender y otros productos de seguridad, siempre buscando alguna debilidad que puedan explotar.