24 ответов в этой теме

[AutoIt]

Установил демо Dr.Web. Теперь антивирус мешает работать.

Пишу скрипт для экспорта данных с сайта в интернете на AutoIt.

При компиляции Dr.Web вдруг находит трояны и перемещает их в карантин.

Когда-то давно в настройках можно было указать, что делать с подозрительными файлами. Теперь этой настройки я не нахожу. Они есть вообще или антивирусу лучше знать, что за программу я пишу? И на каком основании антивирус решает, что есть вредоносный объект?

Вот результаты работы антивируса:

 Dr.Web.PNG   4,73К   0 Скачано раз

Это один и тот же скрипт: так эволюционировал в процессе написания ))

[sergeyko]

Ответ на первый вопрос тут: 

 

http://download.geo.drweb.com/pub/drweb/windows/workstation/11.0/documentation/html/ru/components_guard_settings.htm?zoom_highlightsub=действия

 

 

На второй - есть основания у него. Пришлите ваш скрипт, как ложное срабатывание, поправим. 

Сообщение было изменено sergeyko: 20 Февраль 2017 - 20:36

[Konstantin Yudin]

Отключение упаковки upx меняет ситуацию?

[Konstantin Yudin]

Autoit крайне популярное средство для написание малвари, я в своё время устал бороться с антивирусами, выкинул его из обихода. Там код общий сфолсить раз плюнуть.

[SergSG]

Пришлите ваш скрипт, как ложное срабатывание, поправим. 

Проще чего нить в коде поменять.

В принципе, нет нет да и наступишь где нить на сигнатуру. Вот у меня недавно Док макет менюхи скушал... Думаю, случайно.

[sergeyko]

 

 

 

Что-то глючит форумный редактор. Тоже три раза сообщение редактировал, прежде чем оно отобразилось корректно. 

И ведь даже не антивирус... 

Сообщение было изменено sergeyko: 20 Февраль 2017 - 21:36

[SergSG]

 

 

 

 

Что-то глючит форумный редактор. Тоже три раза сообщение редактировал, прежде чем оно отобразилось корректно. 

И ведь даже не антивирус... 

 

Тут я сам накосячил, два раза одно и тоже. Кнопки "удалить" катастрофически не хватает.

[AutoIt]

Отключение упаковки upx меняет ситуацию?

 

Нет, меняет ситуацию отключение директивы #AutoIt3Wrapper_UseX64=n

Но мне нужно 32-битное приложение.

Проще чего нить в коде поменять.

Если код небольшой, то да, можно. Например, пытаясь понять, что антивирусу не нравится, стал удалять блоки и проверять.

В итоге скрипт со строкой

Global $sLogFile = $sFile & '.log', $sIniFile = $sFile & '.ini'

считается трояном, а со строками

Global $sLogFile = $sFile & '.log'
Global $sIniFile = $sFile & '.ini'

уже безобиден.

 

[AutoIt]

Ответ на первый вопрос тут:

Это очень плохая настройка. Там есть только безусловное перемещение в карантин либо безусловное игнорирование. Варианта "спросить хозяина" не нашёл.

 

Пришлите ваш скрипт, как ложное срабатывание, поправим.

Прислать полный скрипт - исключено. А прислать кусок кода не могу, поскольку не удаётся идентифицировать, что не нравится антивирусу (см. выше).

[AutoIt]

Можете объяснить мне, где логика?

Вот я из скрипта в 315 строк оставил 65 строк и пытаюсь ещё сократить до минимума, но чтобы скрипт всё ещё определялся антивирусом как троян, чтобы отправить в лабораторию.

Удаляю объявленую, но нигде не используемую переменную - скрипт уже не троян.

Хорошо, возвращаю переменную на место и меняю строку ' 2017.02.20' на ' 2017.02.2' - скрипт опять безопасен. Что происходит?

[AutoIt]

Даже просто переименование неиспользуемой переменной меняет ситуацию. Чё за бред?

Но в полном скрипте такое не прокатывает: видимо слишком много мест антивирусу не нравится, раз он скрипт с разными троянами идентифицирует.

[RomaNNN]

AutoIt, Вот так вот, это скрипты. Сигнатуры на них всегда были не особо гибкими. Но это скорее внутренняя кухня антивирусного движка.

[SergSG]

Можете объяснить мне, где логика?

Попробую. АВ проверяет по сигнатуре - т.е. по маске, можно сказать. Ваши куски кода совпадают кусками кода какой-нить уже известной малвари и идет детект. И тут возможны разные варианты, особенно учитывая, что

 

 

Autoit крайне популярное средство для написание малвари.

Сообщение было изменено SergSG: 21 Февраль 2017 - 00:03

[AutoIt]

АВ проверяет по сигнатуре - т.е. по маске, можно сказать. Ваши куски кода совпадают и идет детект.

 

Чё-то как-то не то у них совпало, если

меняю строку ' 2017.02.20' на ' 2017.02.2' - скрипт опять безопасен.

[v.martyanov]

Я бы сказал что все такие "нехорошие" скрипты надо слать в вирлаб как фолсы. Верно сказали что Autoit не прост...

[AutoIt]

Я написал ещё два трояна (Базы от 21.02.2017). Куда отправлять? 

 Dr.Web2.PNG   3,55К   0 Скачано раз 

 

Я их тут размещу:

#AutoIt3Wrapper_UseX64=n
#AutoIt3Wrapper_Icon=Icon.ico
#include <Excel.au3>

AutoIt v.3.3.14.2

 

[AutoIt]

В качестве иконки используется иконка (favicon.ico) одного известного сайта.

И вот эта вот иконка в некоторых скриптах идентифицируется как троян Trojan.MulDrop6.37430.

[v.martyanov]

Слать сюда: https://vms.drweb.ru/sendvirus/Категория - ложное срабатывание. Придут письма с номерами тикетов, номера можно сюда написать

[AutoIt]

v.martyanov,

я опубликовал полный исходный код "троянов". По-любому это лучше, чем скомпилированный экзешник.

Иконку можно взять тут.

Или вы можете распаковать экзешник в исходный код?

[Konstantin Yudin]

>Или вы можете распаковать экзешник в исходный код?

все могут. в гугле ответ