Muitos Antivírus detectam scripts escritos em linguagem de programação Python como malware.
Conforme o PYPL PopularitY of Programming Language, que é um ranking de popularidade de linguagens de programação do GitHub, o Python é a linguagem de programação mais popular da atualidade, superando com facilidade o Java, Javascript, C# e PHP.
Por diversas razões, Python há muitos anos caiu nas graças da comunidade de segurança e é amplamente utilizado por programadores, pesquisadores e administradores de rede para o desenvolvimento. Aplica-se o Python desde de projetos completos a pequenos scripts para resolver situações pontuais. A comunidade é grande e há vários projetos no GitHub.
Como toda linguagem de programação, ela pode ser utilizada tanto para o bem quanto para o mal. Tudo depende do propósito do código escrito.
Mas o propósito do código não parece ser algo tão importante assim para os sistemas de Antivírus. Eles parecem muito propensos a considerar códigos escritos nessa linguagem como malware, a despeito da sua natureza.
Um mero Alô Mundo foi suficiente para a assinalação como malicioso por 10 Antivírus.
AloMundo.py
#!/usr/bin/env python
print("Alô Mundo")A versão textual desse script passou sem detecção pela análise do VirusTotal, conforme relatório.
Todavia, ao usar o PYInstaller para gerar o executável desse mesmo código, o artefato foi considerado malicioso por 10 Antivírus distintos, conforme relatório.
$ pyinstaller AloMundo.py
O problema não é exclusividade do PYInstaller, ocorre com outros geradores de executável como o PY2Exe.
Gerar o executável é uma forma de se distribuir o código para o usuário final, no caso do Windows, pois esse tem pouca ou nenhuma condição de fazer configurações elaboradas, instalar dependências e outras ações necessárias para fazer o código ficar funcional.
Conclusão:
A detecção de atividade maliciosa baseada em assinatura tem muitas limitações, é fácil de se burlar por meio de packers e de cifradores, além de gerar muitos efeitos colaterais. Um código absolutamente inofensivo foi considerado malware apenas por suas características de compilação.
Não é por acaso que a eficácia dos Antivírus, baseados em assinatura, é questionada. Abordagens de segurança baseadas em comportamentos são cada vez mais necessárias.