Файл.resx и значок формы, вызывающие обнаружение вируса Ursa на VirusTotal

Если я получу свой файл.ico (тот же файл, который используется для значка.exe) в моей форме (только форма), создайте его и отправьте в VirusTotal 6+. AV обнаружит его как вирус Ursa. Что действительно очень странно.

Я пробовал проверять большую часть своего кода, его кодовая база относительно мала, поэтому очень странно, как это произошло, как это. Я уже сократил количество обнаружений, занимаясь другими делами, но этот - гвоздь в гробу.

Чтобы воспроизвести это, буквально откройте Visual Studio и создайте новый проект, используя шаблон WinForms, в Form1 добавьте в него этот значок: https://drive.google.com/open?id=1CfkRKW8dCsoaWwS_66JdO56mAkXWL3ag (точный значок, которым я пользуюсь), Скомпилируйте его в Release и снимите флажок Предпочитать 32bit в настройках, запустите его через VirusTotal и вот 6/? обнаружение в первую очередь обнаружений Ursa. Теперь удалите значок, и в моем случае у вас не останется ни двух обнаружений, ни двух обнаружений (обнаружение AI/Heur, явно ложные срабатывания)

Я хочу знать, вызвано ли это моим файлом Ico или AV просто глупы и каковы мои варианты.

Вот результат VirusTotal с используемой иконкой https://www.virustotal.com/#/file/96ad5e0b3dc99b43658e4559c74d8db58c08bc5ec530ca9fd9ed179790d6c6f6/detection

Вот результат VirusTotal с полностью удаленным файлом.resx https://www.virustotal.com/#/file/e26af5467228b63beaf5fc170c6d5376858ec695ba40d2d01c1f689943e74ae7/detection

Вот результат VirusTotal с удаленным значком, но с пустым файлом.resx https://www.virustotal.com/#/file/aefe1488b3b50c411dec8a02f9654b543b9331a58991bf100e2e944ec982e41a/detection

РЕДАКТИРОВАТЬ Я далее проверил вещи, буквально все, что вам нужно сделать, это иметь "Имя ассемблера" в настройках: "SNIPR-Installer", и это даст ему обнаружение Ursa... Вау...

РЕДАКТИРОВАТЬ 2 Я понял еще дальше, что здесь происходит. https://streamable.com/txhuy