Vous consultez une page technique concernant le logiciel de gestion Mercator. Celle-ci contient des informations spécifiques destinées aux professionnels de Mercator. Souhaitez-vous être redirigés vers des informations plus générales ?


   Ne plus poser cette question

Mercator.exe détecté temporairement comme malware par certains antivirus

0000002725     -      25/07/2017

14/07/2017 : cet incident est clos.

Voici la réponse reçue de Kaspersky ce ven. 14-07-17 13:30 : 

Regarding your files: Sorry, it was a false detection. It was fixed. Thank you for your help.


Depuis le 03/07/2017, il nous a été rapporté, de façon ponctuelle, que certains antivirus notaient Mercator.exe comme un malware et, en conséquence, le détruisait afin d'en interdire son usage. Après analyse, il apparaît que le problème se pose avec :

  • Kaspersky
  • ZoneAlarm by Check Point (qui utilise le moteur Kaspersky)
  • Rising (antivirus chinois gratuit peu utilisé)

Nous rassurons nos utilisateurs en confirmant que les versions de Mercator.exe que nous produisons sont garanties sans virus, cheval de Troie ou autres malwares. Par ailleurs, Mercator.exe, ainsi que les DLL qui y sont associées sont signées et horodatées par notre processus de compilation. Cela empêche toute altération de notre code par un virus qui tenterait de le modifier après téléchargement. Ces éléments de sécurité peuvent être facilement vérifiés via "Clic-droit / Propriétés" sur Mercator.exe ou ses DLL. L'onglet "Signatures numériques" affiche ceci :

Le bouton "Détails" doit montrer ces informations :

Que se passe-t-il ?

Le phénomène observé ici s'appelle un faux-positif. L'antivirus génère une alerte (positif) qui n'a pas de raison d'être puisque le programme ne contient pas de virus (faux). Par contre, il est vrai que Mercator contient, comme tout programme complexe, une grande quantité de code, qui est aussi utilisée par les fabricants de virus : compilation à la volée, écriture dans le registry, ... Mais à ce stade, c'est la qualité de l'antivirus qui doit assurer qu'il dispose d'un code d'analyse suffisamment performant pour ne pas générer de faux-positif.

Que devez-vous faire ?

Solution 1 : la plus radicale est de changer d'antivirus. On peut affirmer que l'antivirus que vous utilisez, même s'il a bonne réputation, présente ici un comportement défectueux, puisqu'il produit un faux-positif.

"Une politique de santé publique pourrait-elle être construite sur l’hospitalisation statistiquement significative d'une partie de la population qui ne présente aucune maladie ?".

Solution 2 : indiquer à votre antivirus que Mercator.exe est une application de confiance (trusted application) ou que le répertoire de Mercator ne doit plus être scanné.

Il nous a été rapporté que, dans ce cas, Kasperky continuait à considérer comme problématiques les fichiers temporaires produits par l'éditeur de rapports de Mercator et contenant les assemblies compilées du rapport en cours d'exécution. Afin de contourner ce problème, il faut mettre à OUI l'option REP_ROSLYN. Ceci permettra d'effectuer la compilation en mémoire RAM uniquement, sans matérialisation dans des fichiers temporaires. (Mise à jour nécessaire pour disposer de cette nouvelle option)

Que faisons-nous ?

L'équipe de développement Mercator est en contact avec Kaspersky afin de solutionner au plus vite ce problème de faux-positif.