使用 PyInstaller 制作的程序现在被 AVG 视为特洛伊木马

Question

大约一个月前，我使用 PyInstaller 和 Inno Setup 为我的 Python 3 脚本生成了安装程序。我的 AVG Business Edition AntiVirus 刚刚开始抱怨今天的更新，该程序在用于启动程序的主 .exe 文件中有一个 SCGeneric 特洛伊木马程序（在 PyInstaller 创建的包含所有 Python“胆量”的文件夹中）。起初我只是认为这是 AVG 中的误报，但将 .exe 文件提交给 VirusTotal 我得到了这样的分析：

https://virustotal.com/en/file/9b0c24a5a90d8e3a12d2e07e3f5e5224869c01732b2c79fd88a8986b8cf30406/analysis/1493881088/

这表明 61 台扫描仪中有 11 台检测到了问题：

TheHacker   Trojan/Agent.am 
NANO-Antivirus  Trojan.Win32.Agent.elyxeb 
DrWeb   Trojan.Starter.7246 
Yandex  Trojan.Crypren!52N9f3NgRrY 
Jiangmin    Trojan.Agent.asnd 
SentinelOne (Static ML)     static engine - malicious 
AVG     SCGeneric.KTO 
Rising  Malware.Generic.5!tfe (thunder:5:ujHAaqkyw6C) 
CrowdStrike Falcon (ML)     malicious_confidence_93% (D) 
Endgame     malicious (high confidence)     20170503
Zillya  Dropper.Sysn.Win32.5954 

现在我不能说这些其他扫描仪是我以前听说过的......但我仍然担心它不仅仅是 AVG 给出误报。

我已将有问题的 .exe 文件提交给 AVG 进行分析。希望他们能够放弃他们认为自己试图检测到的任何东西。

我还能用 PyInstaller 做些什么来使它创建的 .exe 启动器不会被视为木马？

感谢您的任何意见。

Answer 1

我能够将相关文件提交到 AVG 的“报告错误检测”页面，地址为 https://secure.avg.com/submit-sample。我很快就收到了回复（我不记得确切的时间，但不到一天），他们分析了我的文件并确定它没有病毒。他们说他们已经调整了病毒定义，这样就不会再引发误报。我更新了我的定义，但它仍然在触发，所以我再次联系他们用我的病毒定义版本，我听说我的版本不够高 - 我认为我的定义有一些延迟，因为我是从本地服务器。但在一天之内，我得到了正确版本的定义，并且不再触发误报。

因此，如果您对 AVG 有误报，我会推荐此解决方案 - 相当快速且容易地解决问题。

Answer 2

我总是收到来自VirusTotal 的 Pyinstaller 的一些误报。这就是我修复它的方法：

Pyinstaller 带有针对不同操作系统的预编译引导加载程序二进制文件。我建议在你的机器上自己编译它们。确保你的机器上的一切都是一致的。对于 Windows 64 位，安装 Python 64 位。下载适用于 Windows 的 PyInstaller 64 位。确保安装了与您的 Python 对应的 Visual Studio (VS)，检查如下：

https://wiki.python.org/moin/WindowsCompilers

用 VS 在你的机器上编译 Pyinstaller 的引导加载程序。它会自动更新 DownloadedPyinstallerFolder\PyInstaller\bootloader\Windows-64bit 中的 run.exe、runw.exe、run_d.exe、runw_d.exe。查看下面有关如何编译引导加载程序的更多信息：

https://pyinstaller.readthedocs.io/en/stable/bootloader-building.html

最后安装 Pyinstaller。在 Pyinstaller 目录下运行

python setup.py 安装

Answer 3

从 3.4 恢复到 PyInstaller 3.1.1 解决了我的类似问题（至少暂时）。

Answer 4

正如@boogie_bullfrog 所说，恢复到以前的版本可能是一种解决方案。但是我使用 *.spec 文件来存储一些数据（如图片和图标）。我有最新的 3.5 版本（2019 年 8 月），迁移到 3.1.1 导致编译应用程序时出错（可能是由于支持 Python 3.7）。

所以现在最简单的解决方案是降级到 3.4

它支持 pyinstaller 3.5 的规格，并且 Windows 10 内置防火墙未检测到 onefile-app

Answer 5

我在 Windows 下使用 pyinstaller exe 时遇到了类似的问题。 Avira 将该文件隔离，因为它被认为具有潜在危险（由于启发式算法，这意味着某些片段看起来很典型，但实际上没有发现病毒）。

请记住，您自己生成的 exe 文件是唯一的（因此，Avast 扫描仪通常会返回一条消息“您找到了一个稀有文件，我们正在快速测试”，并延迟执行 15 秒以进行更彻底的测试）。

我的解决方案包括几个步骤：

• 我已将 exe 上传到https://www.virustotal.com/gui/home/upload 以使用许多扫描仪进行检查。如果只有一两个检测到病毒，您应该注意安全。
• 为了让您的本地病毒扫描程序接受该文件，您可以为您的计算机手动接受该文件，但这并不能解决根本问题，因此在其他计算机上它仍会被标记为病毒。
• 因此，我将该文件报告为误报给 Avira，只需通过电子邮件发送即可。其他扫描仪也有类似的反馈线。我在一天内通过电子邮件收到了一个反馈，它是好的，我电脑上的扫描仪现在同意这一点。希望这有助于我的 exe 的下一次迭代，使其保持干净。

Answer 6

我为这个问题困惑了两天，终于发现我的申请有问题。问题出在应用程序的图标上。

tkinter 示例：

root.iconbitmap('./icon.ico')

当我删除这行代码后，误报木马就消失了。

另外，在将 .py 文件转换为 .exe 时，请确保不要使用 --icon 依赖项。否则，这将导致相同的假阳性木马检测。

Answer 7

我的小文档注册项目代码遇到了同样的问题。

我的临时解决方案是允许 Windows Defender 中的应用程序和

其他解决方案是使用命令pyinstaller filename.py 而不是pyinstaller --onefile filename.py。

我不知道它是否正确。但它对我有用。

Answer 8

我所做的是解决这个问题（使 exe 文件无法检测为病毒）是通过输入 cmd 来降级 pyinstaller：pip install pyinstaller==4.1.0

顺便说一句，它在 3.4.0 上不起作用，所以我只是随机选择了那个版本（4.1），到目前为止它看起来还不错：> 我很确定它不仅适用于那个版本，而且我亲身体验过

Answer 9

重新编译然后手动重新安装您的 Pyinstaller 引导加载程序。

这是我有一段时间遇到的问题，我和我的朋友在许多其他人的帮助下想出了这个解决方案。它几乎总能解决问题。

我在我的中型博客上发布了具体步骤。分享了下面的链接，但基本步骤如下

1. 清除项目中的 Pyinstaller 文件并重新构建
2. 卸载 Pyinstaller
3. 使用您的编译器构建 Pyinstaller 引导加载程序
4. 安装新编译的 Pyinstaller
5. 使用 Pyinstaller 重新构建您的 EXE，并确保它没有被标记为病毒

---

如何解决 Python Pyinstaller 误报木马病毒

• Part 1. Manually Compile your Pyinstaller Bootloader
• Part 2. Working with Anti-Virus Developer(s)

Answer 10

我在使用 python 3.8.5 和 pyinstaller 4.5.1 时遇到了同样的问题

在我的情况下，第一个 exe 版本被防病毒软件 (Windows Defender) 接受，但随后的版本被标记为有木马。 我每次构建可执行文件时都使用pyinstaller --clean 选项解决了这个问题

Answer 11

我搜索了数周的博客。但是我什么也没找到。。 今天找到了一种将py转为exe的方法，不会出现任何病毒错误。

Virus Total Report

所以在这个方法中你不需要发送任何报告..其实很简单。

您需要安装一个名为 Nuitka 的模块。

python -m pip install nuitka

然后你需要从文件路径中打开命令。并使用命令； python -m nuitka --mingw64 filename.py

仅此而已。

你可以使用命令 nuitka --help

您可以在 -Nuitka Guide

找到更多信息