Как сообщить о ложном срабатывании антивируса?

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
14,886
Реакции
6,796

Адреса для сообщений о ложном срабатывании антивирусов


Представьте, что Вы написали программу, безобидную, безвредную и бесплатную.
Пользуетесь ею полгода и тут Ваш любимый антивирус решил ее удалить :)

Или: Вы скачали утилиту и по привычке проверяете на сервисе VirusTotal.com, Jotti или VirSCAN.
Результат: 3 из 41 ответов, что это вирус.
Имеем такие варианты:
  • либо вирус новый и еще не попал в остальные базы;
  • либо это ложное срабатывание.

Если Вы уверены, что это ложное срабатывание, отправляем образец в антивирусную лабораторию.
Будьте внимательны: часто бывает 2 разных адреса форм или E-mail:
  • для сообщений о новые вирусах;
  • для сообщений о ложном срабатывании (именно о них речь в этой теме).

Почему возникают ложные срабатывания?
Новое вредоносное ПО появляется столь быстро, что человек не способен самостоятельно анализировать каждый случай. Доверие падает на HIPS-подобные экспертные системы, которые анализируют файл по множеству критериев в автоматическом режиме.
Такие системы могут часто выдавать ложные срабатывания на особые упаковщики, последовательности API-функций и совокупности других факторов. Некоторые ругаются просто по причине редкого использования программы и отсутствия значимой статистики по ней.
В результате ПО попадает в базы зловредов/подозрительных файлов.

Как правильно отправить программу на повторную проверку в лабораторию?
У каждого производителя антивируса есть специальные адреса электронной почты (или формы на сайте), куда можно отправить образец.
Обратите внимание, в каждом случае очень важно прочитать правила сервиса:
  • в какой тип архива упаковать образец
  • какой задать пароль (обычно virus или infected)
  • какую дополнительную информацию сообщить в письме. Это как правило:
  1. Слова: False Positive Submission
  2. The password for the attachment is пароль, которым зашифрован архив
  3. Exe-файл перед упаковкой желательно переименовать в расширение .bak чтобы его не блокировала почта GMail

Список лабораторий и адресов:

360 Internet Security (Total Security) (Qihoo-360)

Почта: support@360safe.com (заархивировать в ZIP. Название темы: "False Positive Submission")
Форма (рус.): Отправить файл на проверку - 360 Total Security
Форма (оф.сайт): 360杀毒_样本上报 (выбрать 误报文件)
Форма (для URL-ссылок): Отправить файл на проверку - 360 Total Security
Отправка через форму в архиве формата RAR, ZIP, 7Z без шифрования. Файл должен быть менее 20 Mb.

AegisLab (Lionic)
email: support@aegislab.com (заархивировать в ZIP с паролем. Пароль указать в письме, например: "Password is virus". Название темы: "false positive sample submission")
Форма: Reporting False Positive

Acronis
Email: virustotal-falsepositive@acronis.com (не проверено)

Ad-Aware
Форум: Guide for posting false positives - Report a False Positive
Форма: Report False Positives - Lavasoft
Email: malware.labs@adaware.com

Agnitum
Email: trojans@agnitum.com (не проверено)

AhnLab
Форма: AhnLab - Antivirus Software and Security Solutions Provider (только для зарегистрированных пользователей)
Email: v3sos@ahnlab.com , e-support@ahnlab.com , samples@ahnlab.com

Alibaba
Email: virustotal@list.alibaba-inc.com (не проверено)

ALYac
Программа: ALYac
(скачиваем через кнопку "download", после запуска выбираем пункт "ALYac detects normal files".)
Email: esrc@estsecurity.com (не проверено)

Antiy-AVL
Email: avlsdk_support_vt@antiy.cn , support@antiy.cn

ArcaVir
Email: virus@arcabit.com

avast!
Форма технической поддержки: Avast Свяжитесь с нами
В самом антивирусе: на вкладке карантин.
Email: virus@avast.com (больше не работает)
WhiteListing: Avast Threat Labs - File whitelisting | Official Avast Support

AVG
Форма: Report a false detection | AVG Worldwide
WhiteList: AVG Threat Labs - File whitelisting | AVG

Avira
Форма: Submit Suspicious Files
Форма (для URL-ссылок): Submit suspicious URL
Email: novirus@avira.com
(отправьте этот файл в запакованном виде 7-zip или WinRAR).
Защитите файл(ы) паролем infected.
Архив должен быть не более 5 MB с кол-вом файлов не более 20.

AVZ
Форма: Прислать файл с вирусом
Форма (для URL-ссылок): Прислать подозрительный URL
Пополнение базы (скан всей системы): Пополнение базы безопасных AVZ

Babable
Email: obu@babable.com (не проверен)

Baidu Antivirus
Через вкладку "Feedback" установленного антивируса.
Либо попытать счастья на китайском форуме: baidu.com
Email: bav@baidu.com, gaoyingchun@baidu.com (не проверены)

BitDefender
Форма: Sample or URL submit
Форма для бизнес пользователей: Contact Customer Care
Email: virus_submission@bitdefender.com , oemsamples@bitdefender.com
Чат: Chat Support

BitDefenderTheta
Форма: Business Portal Submit

BKav
Email: fpreport@bkav.com (отправлять с паролем infected и названием темы: "False Positive Submission")
Запасной: bkav@bkav.com.vn

ByteHero
Email: support@bytehero.com , bytehero@163.com

CAT-QuickHeal
Email: viruslab@quickheal.com, OEMENGINE@quickheal.com (не проверены)

Certego
Email: fp@certego.net (VirusTotal False Positives Reports)

COMODO
Форма: Comodo Antivirus Database | Submit Files for Malware Analysis

ClamAV
Форма: ClamavNet

Clean-MX
Email: abuse@clean-mx.de

CMC
Email: vulambang@cmcinfosec.com , support.is@cmclab.net
- в 7-zip архиве с паролем.

Comodo
Форма: Comodo Antivirus Database | Submit Files for Malware Analysis
Email: falsepositive@avlab.comodo.com , malwaresubmit@avlab.comodo.com

Commtouch
Email: virus@authentium.com
Упакуйте файл в архив ZIP с паролем virus

CRDF Labs
Форма: CRDF Threat Center: False positive procedure

CrowdStrike Falcon
Email: VTscanner@crowdstrike.com - файлы не присылать!
Вместо этого - загрузить файл на VirusTotal и на Hybrid-analysis и прислать по почте SHA256 хеш + ссылку на VirusTotal.

CyanSecurity
Email: virustotal@cyansecurity.com (не проверен)

Cybereason
Форма: Contact Us | Cybereason (не проверено)
Email: vt-feedback@cybereason.com (не проверен)

Cylance
Email: cylancefilesubmit@cylance.com
Обязательно указать: ссылку на VirusTotal, имя файла, назначение программы, являетесь ли вы разработчиком или пользователем.
Сам файл загружать не нужно.
Если нужно указать несколько ссылок, отправляйте отдельное письмо по каждой.

Cynet
Email: soc@cynet.com

CyRadar
Email: virustotal@cyradar.com (не проверен)

Cyren (Varist, Data443)
Email: support@varist.com

DeepInstinct
Email: info@deepinstinct.com

Digital Patrol
Форма: Suspicious Files - NictaTech Software

DNS8
Email: dns8@layer8.pt

Dr.Web
Форма: Отправить подозрительный файл
Email: vms@drweb.com

eGambit (TEHTRIS)
Форма: False positive/False negative - TEHTRIS
Email: web@tehtri-security.com (не проверен)
PS. Отвечают очень долго (в течении 1 месяца).

Elastic antivirus
Email: fp_reports@elastic.co
Шаблон: Submitting False Positives

Emsisoft (использует движок BitDefender)
Приложение: Вы можете использовать кнопку «Ложное обнаружение» под списком помещенных в карантин элементов, чтобы отправить нам ложноположительный отчет. Пожалуйста, укажите свой точный адрес электронной почты, чтобы мы могли ответить.
Email: fp@emsisoft.com (отправлять в запароленом zip или rar архиве, пароль infected, не более 5 Мб, если файл больше, то отправляйте ссылку на результат сканирования VirusTotal )
(Emsisoft использует антивирусный движок BitDefender)

EndGame
Статья: Add and manage exceptions
Email: vt_feedback@endgame.com , info@endgame.com (не проверен)

eSafe/Aladdin
Email: support@safenet-inc.com

eScan (Microworld) (использует движок BitDefender)
Форма: Select a department - Powered by Kayako Fusion Help Desk Software
Email: samples@mwti.net (предпочтительный), fp@escanav.com , samples@escanav.com

Eset Nod32
Форма: Что делать если вы обнаружили новый вирус или произошло ложное срабатывание?
Форум: Сайты, попавшие в список заблокированных - Форум технической поддержки ESET NOD32
Email: sdd@esetnod32.ru
Инструкция: [KB141] Submit a virus, website, or potential false positive sample to the ESET Research Lab

F-Secure (использует движок Avira)
Форма: Submit a sample | F-Secure
Email:

F-prot (Fprot) (cyren)
Инструкция: Cyren Support Portal - Security as a Service, 100% Cloud
Email: support@cyren.com , viruslab@f-prot.com
Упакуйте файлы в архив ZIP с паролем: infected
В письме укажите "False Positive detection" и пароль к архиву.

Filseclab
Email: fp@filseclab.com (не проверен)

FireEye (Trellix)
Форма: Contact Us | FireEye (не проверено)
Email: virustotal@fireeye.com

Forcepoint (websense)
Email: suggest@forcepoint.com (не проверен)

Fortinet/FortiGuard
Форма: Classification Dispute Form (рекомендуемый способ) | FortiGuard.com | Virus Activity Report
Упакуйте файлы в архив ZIP или RAR с паролем infected.
Email: submitvirus@fortinet.com

G Data (GData) (использует движок BitDefender)
Форма: Sample Upload
Для веб-ссылок: Sample Upload

Google
Загрузить файл на Гугл Диск, получить метку "Файл с ограниченным доступом", одновременно получить письмо на почту gmail - "Ваш файл может нарушать Условия использования Google Диска", где будет кнопка "Обжаловать решение".

Gridinsoft Anti-Malware
Форма: How to Report a False Positive Detection? - Gridinsoft Blogs
Email: antimalware@gridinsoft.com (не проверен)

Hacksoft
Email: virus@hacksoft.com.pe (не проверен)

Hauri
Email: viruslab@hauri.co.kr (не проверен)

Huorong
Email: seclab@huorong.cn (не проверен)

IKARUS
В самой программе: на вкладке карантин.
Email: probe@ikarus.at
Упакуйте файлы в архив ZIP с паролем infected. В письме укажите "False-Positive detection" и пароль к архиву.
false-positive@ikarus.at

Immunet
Email: submit@samples.immunet.com

Invincea (sophos)
Форма: Intelix UI

Email: info@invincea.com (не проверен)

Jiangmin
Отправлять в запароленном (пароль: virus) или незапароленном .zip или .rar архиве; тема письма: Submit False Positive
support@jiangmin.com , shaojia@jiangmin.com

K7AntiVirus / K7GW
Email: reportfp@k7computing.com , k7viruslab@labs.k7computing.com , support@k7computing.com
Форма обратной связи: Submit a ticket - Help Desk Software by Vision Helpdesk

Kaspersky в zip/rar архиве с паролем "virus" либо "infected"
Форма: Kasperky Virus Desk (выберите пункт "Чист" (Clean)).
Email: newvirus@kaspersky.com в теме письма указать "Possible false positive"
При наличии лицензии - через запрос в тех. поддержку (из-под личного/корпоративного кабинета).
Анализ файла: Kaspersky Threat Intelligence Portal
WhiteListing: Kaspersky Allowlist Program | Kaspersky | Kaspersky

Kingsoft (Cheetah)
Email: operation@cmcm.com (не проверен)

MAX Secure Antivirus
Утилита для автоматического сбора подозрительных файлов (инструкция)

McAfee
Форма: Dispute Detection & Allowlisting
Файл упаковать в ZIP или RAR-архив с паролем infected (ограничение - не больше 10 Мб, не более 30 файлов).
Для извещений о ложном срабатывании на URL: здесь.
Email: virus_research@avertlabs.com
Инструкция: https://kc.mcafee.com/corporate/index?page=content&id=KB85567
WhiteListing: https://service.mcafee.com/?locale=...fromSearch=true&page=shell&shell=article-view

McAfee-GW-Edition
Email: datasubmission@mcafee.com (не проверен)

MBAM (Malwarebytes)
Форум: File Detections - Malwarebytes Forums (нужна регистрация), PUP.Optional listings and disputes
E-mail: pup@malwarebytes.com - по теме Потенциально Нежелательных Программ (PUP).
Форма: https://support.malwarebytes.com/hc/en-us/requests/new (Issue type > Product help > False-positive)

Malwares.com (Saint Security)
Email: kog@stsc.com (не проверен)

MAX (SaintSecurity)
Email: root@malwares.com (не проверен)

MaxSecure
Email: tech@maxpcsecure.com (не проверен)

Microsoft Defender, Microsoft Security Essentials (MSE) и SmartScreen
Форма: Submit a sample - Microsoft Malware Protection Center
(выбрать пункт "Incorrect detection")
При блокировке SmartScreen также можно использовать интерфейс браузера. Когда Ваша ссылка будет заблокирована, нажмите ПКМ -> "Я считаю, что эта программа безопасная")
Дополнительная информация:
https://docs.microsoft.com/uk-ua/windows/security/threat-protection/intelligence/submission-guide
https://docs.microsoft.com/uk-ua/windows/security/threat-protection/intelligence/criteria

NANO-Antivirus
Форма: NANO Antivirus : Feedback
Почта: false@nanoav.ru
Отправлять с паролем: 123

Netcraft
Форма: Report Phishing, Malware and Suspicious URLs

Norton
Форма: https://submit.norton.com

nProtect (Inca)
Email: support@nprotect.com , virus_info@inca.co.kr

Palo Alto Networks
Создать тему на форуме по этому шаблону.
Email: vt-pan-false-positive@paloaltonetworks.com

Panda
Форма: Contact Technical Support. Panda Security
Email: falsepositives@pandasecurity.com , virussamples@pandasecurity.com
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected


Qihoo Antivirus/360
Форма: False Positives/Suspicious | 360 Total Security
Email: support@360safe.com
kefu@360.cn
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected

Quickheal
Форма: Quick Heal Technologies Ltd
(department - выбрать Submit false positive)

Reason Core Security
e-mail: falsepositive@reasoncoresecurity.com - отправлять в запароленном архиве с измененным расширением, например *.exe сменить на *.ex - почта на основе Google иное не пропустит.
форма: Contact our support team

Rising
Email: shiyu@rising.com.cn
Упаковать в zip-архив с паролем clean
Или выложить файл, создав новую тему в этом разделе форума.
Воспользоваться данной формой

RocketCyber
Email: support@rocketcyber.com (не проверен)

Sangfor Engine Zero
Email: ?
Форма: 风险监测平台 (нужна регистрация) => User => Feedback (подробности)

Scrutiny
Email: training@cyberstanc.com

SecureAPlus APEX
Форма: Report False Positive Detections by SecureAPlus | SecureAPlus
( упаковать в zip и задать пароль: infected )

SentinelOne
Email: report@sentinelone.com

Sophos
Форма: Submit a Sample
Email: samples@sophos.com
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected

Spamhaus
Форма: Lookup - Reputation Checker - Spamhaus

Spybot Search & Destroy
Форма: Forensics Lab - Spybot Anti-malware and Antivirus
Email: detections@spybot.info
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected

Symantec (Broadcom)
Email: false.positives@broadcom.com
Форма: Sample Submission | SymSubmission
Инструкция: Submit false positives incorrectly detected by Endpoint Protection

Systweak
Форма: Contact Us - Systweak Site

SUPERAntiSpyware
Форма обратной связи: False Positives
(или используйте специальную форму внутри самой программы)

Tachyon
Email: isarc@inca.co.kr (отправлять в запароленном архиве zip, который включает в себя название детекта)

The Hacker (TheHacker)
Email: falsopositivo@hacksoft.com.pe , virus@hacksoft.com.pe , soporte@hacksoft.com.pe (не проверены)

Tencent
Email: TAVfp@tencent.com (не проверен)
Можно создать тему в этом разделе.
Для входа сперва нужно зарегистрироваться через сервис qq, выбрав Email Account.
В дальнейшем в качестве логина использовать адрес электронной почты.

Total Defense
Email: virus@ca.com
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected
Форма обратной связи: Submit a request – What can we help you with?

Trapmine
Форма: TRAPMINE Inc. - Contact
Email: fp@trapmine.com , celil.unuver@trapmine.com (непроверены)

Trend Micro
Email: virus_doctor@trendmicro.com (не проверен)
Файл отправлять в архиве ZIP либо RAR с паролем "virus". Размер файла не должен превышать 50 Mb.
Форма: Unblock Website - IP Address Re-Classification Support - Trend Micro USA
Внимание: по форме отправлять запакованным в RAR или ZIP с паролем. Пароль указывать в письме. Внутри архива файл должен иметь расширение EXE.
Форма: http://esupport.trendmicro.com/srf/srfemea.aspx?en-jm&locale=en-gb&ic=Virus False Alarm (только для пользователей Trend Micro))
Имя продукта выбираем "Housecall Hosted Edition", остальные поля - произвольные данные.

TrojanHunter
Email: support@trojanhunter.com
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected

Trojan Remover/Simply Super Software
Email: support@simplysup.com
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected

TrustPort
Email: support@trustport.com
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected

TrustLook
Email: bd@trustlook.com (не проверен)
Форма: Submit a request – Trustlook Help Center - Home Page

Trustwave
Email: ADavidi@trustwave.com (не проверен)

VBA32
Email: feedback@anti-virus.by

VirusBlokAda/VBA32
Через карантин антивируса.
Email: feedback@anti-virus.by
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected

VIPRE:
Форма: https://helpdesk.vipre.com/hc/en-us/requests/new

ViRobot / HAURI:
Форма: Anti-Virus Leader ViRobot
email: viruslab@hauri.co.kr

VirusBlokAda
Email: support-en@anti-virus.by (не проверен)

VirusDie
Email: partners@virusdie.com (не проверен)

VirIT
Форма: Sending Suspicious Files - TG Soft Cyber Security Specialist

Webroot
Форма: https://detail.webrootanywhere.com/servicewelcome.asp?reason=talknotallowed (после ввода email адреса, выберите "False Positive")
Webroot File Submission
Contact Us: Vendor Dispute | Webroot

Webroot SMD
Форма: BrightCloud Change Request | Webroot BrightCloud

Windows Defender
Форма: Submit a file for malware analysis - Windows Defender Security Intelligence (вкладка Submission -> Software developer -> потребуется регистрация)

XVirus
Email: samples@xvirus.net (не проверен)
Форма: Xvirus Security Software

Yandex:
Чат: Яндекс Мессенджер (отвечают очень быстро).
email: browser@support.yandex.ru , yandex-antivir@support.yandex.ru
Форма: Обратная связь
Через браузер: значок меню (≡) → Дополнительно → Сообщить о проблеме. В некоторых версиях путь будет другим: (≡) → Обратная связь.

Yomi
Email: yomi-false-positives@yoroi.company (не проверен)

Zillya:
Email: virus@zillya.com , help@zillya.com (отправлять файл в архиве)
Форма: Zillya! Support | Contact Our Support Centre

ZoneAlarm
По фолсам обращаться в Kaspersky (не ошибка)
По другим вопросам на email: support.help@zonealarm.com либо в чат: ZoneAlarm Support Center
Email: zonealarm_VT_reports@checkpoint.com

Zoner
Email: false@zonerantivirus.com (не проверен)
Форма: Zoner AntiVirus


Если Вы:
  • знаете адреса других антивирусов для оповещения о ложных срабатываниях;
  • хотите дополнить/исправить наши ссылки;
пожалуйста, оставляйте комментарии.
После проверки мы обновим шапку темы.

Список дополнительных адресов:
Список антивирусных вендоров
GitHub - yaronelh/False-Positive-Center: Repository to help security vendors deal with false positives
База фишинговых сайтов: GitHub - mitchellkrogza/Phishing.Database: Phishing Domains, urls websites and threats database. We use the PyFunceble testing tool to validate the status of all known Phishing domains and provide stats to reveal how many unique domains used for Phishing are still active.
How to Report Malware or False Positives to Multiple Antivirus Vendors

При перепубликации рабочая ссылка на эту тему обязательна :).

Перечень составлен и обновляется: regist & Dragokas.
 
Последнее редактирование модератором:
Проверка сайтов с использованием сервисов от Google
Если Вы являетесь вебмастером ресурса, на котором по мнению Google обнаружено вредоносное ПО,
то Вы можете зайти в Панель инструментов Google и заказать повторную проверку сайта.
Подробнее: Нарушение правил использования рекламной сети - Cправка - Центр правил AdWords

Проверка сайтов от Яндекса
Яндекс выпустил собственный антивирус - Manul. Детальнее смотрите в новостях.
Вы можете совершено бесплатно установить этот инструмент на свой сайт и выполнить проверку через Web-интерфейс.

Проверка сайтов и по желанию платное удаление вирусов
Сервис AI-Bolit - антивирус для сайта, сканер вирусов на хостинге и сайте

Поиск уязвимостей на сайте
Сервис Microsoft Sonar. Описание.

Помощь в поиске вредоносного ПО на сайте
Вы также можете оставить просьбу о проверке сайта в нашем разделе Анализ сайтов на наличие вирусов

Внимание: для помощи в лечении Вашего компьютера (на базе ОС Windows) Вы можете обратиться в раздел Лечение компьютерных вирусов.
Если система пострадала от шифровальщика: Правила оформления запроса на расшифровку файлов
 
Последнее редактирование модератором:
Назад
Сверху Снизу