Не угодили “Лаборатории Касперского” или как интеграция с Telegram превратила ZentrySpace во вредоносное ПО

По мотивам недавних реальных атак в Telegram, в борьбе с которыми Касперский преуспел, наши потенциальные пользователи, конечно же, насторожились. После получения серии отзывов о том, что ZentrySpace вредоносный и подозрительный, мы начали разбираться в том, что же могло пойти не так и почему изменения на уровне кода и наличие EV-сертификата не помогают.

Сразу отметим, что даже Telegram Desktop получает false positives (ложные срабатывания) от некоторых антивирусных программ. Вот и мы к нему присоединились.

Так в чем причина? Вы помните, что для интеграции мы использовали клиентскую библиотеку Telegram TDLib, так вот ее поведение при инициализации аналогично поведению банковского Трояна:

— Приложение загружает нативную DLL.

— DLL создаёт базы данных в %AppData%.

— DLL немедленно открывает зашифрованные сетевые соединения.

— Всё это происходит за секунды после запуска.

Далее происходит блокировка — независимо от подписи и, соответственно, сертификат EV с расширенной проверкой тут совсем не помощник, поскольку поведение уже засчитано, как подозрительное.

К слову, проблема, с которой мы столкнулись, возникала в прошлом и у Rocket.Chat, Jitsi Meet, OpenCode — хотя у всех них тоже действующие EV-сертификаты, и они все равно блокировались Касперским.

Что с этим делать?

1. Самое эффективное и бесплатное решение — попасть в программу Allowlist, которая автоматически выдает «кредит доверия» приложению. Основная задача подтвердить, что предоставляемое ПО не копирует интерфейсы сторонних приложений, не рекламирует стороннее ПО, не обращается на вредоносные ресурсы, не использует заведомо ложные формулировки.

2. Среди других, более быстрых, способов — можно отправить файл, который получил ложное срабатывание, в Лабораторию с подробным описанием. Ответ довольно оперативный, а обновление базы происходит в течение нескольких дней. А можно отправить TRACE-файлы, технический отчёт, после которого приложение добавят в базу.

Что точно не поможет в подобной ситуации, исходя из исследований и опыта коллег:

— EV-сертификат (проверено на себе).

— Регистрация приложения в реестре Windows — антивирусники не проверяют это.

— Расположение установки (Program Files vs portable).

— Изоляция в child process (что как раз мы сделали) — не поможет, потому что Касперский анализирует всю цепочку.

— Обфускация (преднамеренное усложнение кода для затруднения его аналитики) — будет только хуже.

Как решили проблему мы?

1. Отправили файл, который получил ложное срабатывание, в Лабораторию с подробным описанием — факт false positives уже подтвержден.

2. Далее ожидаем решения вирусных аналитиков в течение 3-4 дней и будем следовать их инструкциям для попадания в Allowlist, чтобы исключить подобные случаи в будущем.

Таким образом, ZentrySpace абсолютно безопасен для использования. Ждите новые обновления и возможности, а пока можете протестировать наш продукт и помочь сделать его лучше.