Eu fiz esse programa de backup há mais de um ano. Nunca havia sido detectado como uma ameaça antes. Esta manhã, quando tentou fazer o que sempre faz, o Windows Defender o colocou em quarentena, chamando-o de ameaça grave "Trojan:Win32/Bearfoos.A!ml"
Ele usa duas DLLs que eu mesmo escrevi, uma delas faz pesquisas recursivas e a outra lê/grava arquivos. Basicamente, meu .exe lê seu arquivo de configuração, sobrescreve-o se ocorrer um problema e, em seguida, usa as informações carregadas para iniciar pesquisas recursivas e, em seguida, copia/compacta (usando 7za.exe) esses arquivos em várias unidades.
Também é Pinvoking kernel32 (GetConsoleWindow) e user32.dll (ShowWindow), pois é um aplicativo de console.
Tenho certeza que posso adicioná-lo às exceções. Há outro tópico sobre o Avast sobre algo muito semelhante que sugeriu isso. Só estou me perguntando por quê? Porque agora? Por que Bearfoos? Por que o Windows Defender não consegue detectar que eu mesmo escrevi esse programa? Por que o Windows Defender não percebe que está apenas copiando arquivos em minhas próprias unidades locais? Eu mesmo o adicionei ao Agendador de Tarefas do Windows. Quanto mais de bandeira verde o Windows Defender precisa!?
Eu imagino que isso seja algo que a maioria dos programas faz, copiar e ler arquivos.
Responder1
Eu escolheria o comentário de Ramhound como resposta: "Você precisará relatar o falso positivo à Microsoft, a menos que relate o falso positivo, o Windows Defender continuará a detectá-lo como malicioso"
Enviei o arquivo para a Microsoft ontem e eles responderam hoje. Eles removeram a detecção e me deram etapas para eliminar definições antigas e atualizar para as novas.
Obrigado a todos pela sua contribuição, mesmo aqueles que foram rejeitados. Aqui está uma página que me ajudou a entender por que meu programa foi detectado como um malware em potencial. https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/criteria
Responder2
Se você tiver 100% de certeza de que é seguro, adicione-o como uma exclusão do Windows Defender.
Responder3
Por que isso começou a acontecer agora? Provavelmente houve uma atualização recente do Windows Defender que fez com que ele alterasse o comportamento do seu programa. A detecção de software malicioso é difícil e o processo não é 100% confiável. Erros são cometidos. Às vezes, o software malicioso não é detectado e, às vezes, o software legítimo é identificado erroneamente como malicioso.
O Windows Defender não tenta determinar se você escreveu o programa e, portanto, concede privilégios especiais. Isso seria uma péssima ideia. Os programadores não confiam na sua capacidade de fazer isso com confiabilidade suficiente. Se existisse tal facilidade, o malware daria outro método potencial para evitar a detecção. O Windows Defender não tem uma visão geral do programa que você possui. Ele só pode verificar seus arquivos em busca de padrões de malware conhecido e monitorar sua atividade. E faz tudo isso sabendo que as coisas podem não ser o que parecem. O malware moderno é muito sofisticado e tem muitos truques para que pareça algo diferente do que é. O malware está continuamente refinando seus métodos para evitar a detecção e o software de segurança deve refinar seus métodos de detecção.
A maioria dos softwares de segurança possui algum tipo de lista de exclusão. Mas mesmo isso não é tão simples quanto parece. Deve ser gerenciado com muito cuidado ou software malicioso simplesmente será adicionado à lista. Os autores de malware estudam o Windows Defender e outros produtos de segurança, sempre procurando alguma fraqueza que possam explorar.