QT5.13.2.0可能存在的恶意软件变体.Adware.Kazy.795337在qwebp.dll中

Question

今天，我们从我们的一位客户那里得到了关于这个恶意软件检测的信息：

Gen:变化多端..Kazy.795337

它仅在通过qtdeploy过程附加到我们项目的qwebp.dll文件中。

我们正在从源代码构建32位Qt (5.13.2.0)，无论在哪里构建，都会在相同的DLL上报告相同的问题。我们使用的是最新的VS 2019年。

• https://www.virustotal.com/gui/file/9f09c05803ad4ffcd99454c420a840e17549ee711690fb1f11fd1b59bccc3b23/detection
• https://www.virustotal.com/gui/file/80c4c747d781a27c72de71c0900ccc045aefd2b4e4f17c949aaeeb3d0b7973b1/detection

当我扫描旧版本(5.13.0.0)时，一切正常：

以前的版本似乎是干净的：

• https://www.virustotal.com/gui/file/b7b7cacaef0e76439ef8c367c401524e93dfa00c9ca67a20290e829fec325a5a/detection

此外，任何调试生成和64位构建也是干净的。

知道是什么导致的吗？还有谁能试着扫描一下这个文件吗？

谢谢

Answer 1

TL;DR:可能没有什么，但无论如何通知Qt (并检查您自己的系统)。

您是使用预构建的Qt二进制文件还是自己编译源代码？

如果您正在使用正式的预构建二进制文件，我当然希望Qt扫描它们并验证它们不会意外传播恶意软件，但是总会有很小的机会通过。

同样的消息来源也是如此--尽管他们的审查过程应该足够彻底，以避免恶意代码被插入，但仍然有很大的可能性，要么是一个关键帐户被泄露，要么是(更不可能)在更长的时间内逐片添加坏代码，以避免被发现(就像黑手C竞赛那样)。不过，这两种情况似乎都不太可能发生。

的底线：虽然听起来像是(而且可能是)一个假阳性，但您仍然可能想要向Qt提出一个问题，例如在他们的故障跟踪站点上，或者直接向Qt支持 (如果你有商业许可证的话)来确定。此外(如果您还没有这样做)，请确认问题不是在您的端，例如您的计算机是干净的，并且您不只是随机捕获/检测您在该文件中的感染。

更新：

一个关于这个问题的票被打开(我猜是Ludek )在Qt bugtracker上。开放于11月19日，并被归类为P1:关键，但不幸的是，没有迹象表明它实际上正在工作(至少12月18日)。