Использование Javascript отключено

Javascript отключен. В результате, некоторые функции могут не работать. Для возобновления полноценного функционирования форума, включите Javascript.

AutoHotKey и превентивная защита

Автор German AW , окт 21 2017 19:44

Please log in to reply

7 ответов в этой теме

#1 German AW

Poster

Posters
1 193 Сообщений:

Отправлено 21 Октябрь 2017 - 19:44

В процессе компиляции скрипта срабатывает превентивка и удаляет файл программы 'Ahk2Exe.exe' c вердиктом DPD:DLOADER.Trojan.

В связи с этим пара вопросов

1. Это не ложняк? Компилирую скрипт для эмуляции клавиш навигации (Home, End и тп) для ноута с урезанной клавиатурой

2. Если не ложняк, то как грамотнее настроить превентивку, чтобы не срабатывала? Какой модуль превентивки настроить в "разрешенные" для данной программы?

2017-Oct-21 19:29:53.370951 [5012] [WRN] [bg-scan] scan result \Device\HarddiskVolume4\Program Files\AutoHotkey\Compiler\Ahk2Exe.exe-2580!0x400000-Ahk2Exe.exe[0] infection: DLOADER.Trojan (type: 4; code: 516)

2017-Oct-21 19:29:53.370951 [7536] [INF] [4536] [arkdll] path: \Device\HarddiskVolume4\Program Files\AutoHotkey\Compiler\Ahk2Exe.exe-2580!0x400000-Ahk2Exe.exe[0], threat: DPD:DLOADER.Trojan, hash: 1655652ab28ac73978715d33531c0c9357a71607, size: 348672 ==> send detect to cloud

2017-Oct-21 19:29:53.417832 [5012] [INF] [qr] Add file \Device\HarddiskVolume4\Program Files\AutoHotkey\Compiler\Ahk2Exe.exe-2580!0x400000-Ahk2Exe.exe[0] infection: DPD:DLOADER.Trojan map: Global\ABC-1394-4F7E5AC8 len: 921600 result: 0

2017-Oct-21 19:29:53.433458 [5012] [INF] [qr] Add file \Device\HarddiskVolume4\Program Files\AutoHotkey\Compiler\Ahk2Exe.exe infection: DPD:DLOADER.Trojan map: Global\ABC-1394-4F7F20EA len: 348672 result: 0

2017-Oct-21 19:29:58.804176 [7544] [INF] [5032] [arkdll]

Прикрепленные файлы:

Снимок экрана (6).jpg 152,06К 0 Скачано раз

Сообщение было изменено German AW: 21 Октябрь 2017 - 19:48

Intel Xeon E1270v2 (3.5GHz), 8Gb Ddr3, Intel SSD 330 120Gb, Windows 11 Pro x64 (build 22H2), Dr.Web 12 SS

Jumper EZbook Pro, Intel Apollo N3450 (1.1GHz), 6Gb DDR3, Toshiba SSD 64Gb, Windows 11 Pro x64 (build 22H2),

Dr.Web 12 SSXiaomi Mi 11 Lite 5G, Android 12, MIUI 13

Наверх

#2 German AW

Poster

Posters
1 193 Сообщений:

Отправлено 21 Октябрь 2017 - 22:17

Поэкспериментировал тут и что-то еще больше запутался O_o

В общем выяснил следующее. Попробовал добавлять приложению индивидуальные настройки с "разрешить" всё что можно. При этом все равно файл выбрасывает в карантин. В итоге вернул все настройки превентивки в штатное состояние, но отключил SpIDer Guard. И о чудо!.. компиляция прошла успешно. Отключаю превентивку, оставляю сторож - файл уходит в карантин.

Т.е. превентивка как бы не при чем, а шалит сторож. Но при этом сам файл 'Ahk2Exe.exe' при прямой проверке как вирус не определяется. Но параллельно с ним в карантин попадает какой-то промежуточный файл (см. в логе выше - 'Ahk2Exe.exe-2580!0x400000-Ahk2Exe.exe[0]'. Четыре цифры (2580) при каждом эксперименте меняются). Вот на его АВ ругается сигнатурно. Заслал его в вилаб как ложняк (#7894233). Но все равно не понятно, как же 'Ahk2Exe.exe' попадает в карантин, если он чист, а превентивка отключена?

Сообщение было изменено German AW: 21 Октябрь 2017 - 22:18

Intel Xeon E1270v2 (3.5GHz), 8Gb Ddr3, Intel SSD 330 120Gb, Windows 11 Pro x64 (build 22H2), Dr.Web 12 SS

Jumper EZbook Pro, Intel Apollo N3450 (1.1GHz), 6Gb DDR3, Toshiba SSD 64Gb, Windows 11 Pro x64 (build 22H2),

Dr.Web 12 SSXiaomi Mi 11 Lite 5G, Android 12, MIUI 13

Наверх

#3 RomaNNN

Ковальски

Posters
6 001 Сообщений:

Отправлено 22 Октябрь 2017 - 09:50

Поэкспериментировал тут и что-то еще больше запутался

В общем выяснил следующее. Попробовал добавлять приложению индивидуальные настройки с "разрешить" всё что можно. При этом все равно файл выбрасывает в карантин. В итоге вернул все настройки превентивки в штатное состояние, но отключил SpIDer Guard. И о чудо!.. компиляция прошла успешно. Отключаю превентивку, оставляю сторож - файл уходит в карантин.

Т.е. превентивка как бы не при чем, а шалит сторож. Но при этом сам файл 'Ahk2Exe.exe' при прямой проверке как вирус не определяется. Но параллельно с ним в карантин попадает какой-то промежуточный файл (см. в логе выше - 'Ahk2Exe.exe-2580!0x400000-Ahk2Exe.exe[0]'. Четыре цифры (2580) при каждом эксперименте меняются). Вот на его АВ ругается сигнатурно. Заслал его в вилаб как ложняк (#7894233). Но все равно не понятно, как же 'Ahk2Exe.exe' попадает в карантин, если он чист, а превентивка отключена?

DPD - это не превентивка, это детект сигнатурами на распакованном в памяти образе, завязана на Guard. Вот тот промежуточный файл, который детектится - это как раз дамп этого образа предназначен для устранения ложняков, чтобы его засылать в вирлаб. Хотелка Володи, в таком виде мне лично она не нравится, но лучше чем отсутствие дампа.

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

Наверх

#4 SergSG

The Master

Posters
14 425 Сообщений:

Отправлено 22 Октябрь 2017 - 10:49

Да, кто кого мочит и в настройки какого модуля лезть у Доктора не понять.

Я когда то писал FR, чтоб хотя бы в балуне указывали от какого модуля сработка прошла, но его закрыли с вердиктом, типа, АВ это единый механизм, а подробности юзеру знать не нужно. Бред, но...

Наверх

#5 Ivan Korolev

Poster

Virus Analysts
1 368 Сообщений:

Отправлено 22 Октябрь 2017 - 11:27

Ложное отключили, через час-два прилетит с обновлением баз.

Наверх

#6 Ivan Korolev

Poster

Virus Analysts
1 368 Сообщений:

Отправлено 22 Октябрь 2017 - 11:29

Т.е. превентивка как бы не при чем, а шалит сторож. Но при этом сам файл 'Ahk2Exe.exe' при прямой проверке как вирус не определяется. Но параллельно с ним в карантин попадает какой-то промежуточный файл (см. в логе выше - 'Ahk2Exe.exe-2580!0x400000-Ahk2Exe.exe[0]'. Четыре цифры (2580) при каждом эксперименте меняются). Вот на его АВ ругается сигнатурно.

4 цифры - это PID процесса скорее всего