Obfuscator-Frage

Hallo,

vielleicht ist ja schon einmal jemand darüber gestolpert und hat eine Lösung gefunden
Wenn ich folgendes Script-Beispiel kompiliere, dann meint die tollle AV-Engine von Avira, dass sich beim Starten der Datei ein Virus im TEMP-Verzeichnis befindet.

[autoit]

#Region ;**** Directives created by AutoIt3Wrapper_GUI ****
#AutoIt3Wrapper_Run_Obfuscator=y
#Obfuscator_Parameters=/cs 1 /cn 1 /cf 1 /cv 1 /sf 1 /sv 1 /sci 1
#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****

[/autoit][autoit][/autoit][autoit]

If ProcessExists("thunderbird.exe") Then
ProcessClose("thunderbird.exe")
EndIf

[/autoit]

Ändere ich "thunderbird.exe" in "firefox.exe" ab, dann meldet Avira NICHTS.

[autoit]

#Region ;**** Directives created by AutoIt3Wrapper_GUI ****
#AutoIt3Wrapper_Run_Obfuscator=y
#Obfuscator_Parameters=/cs 1 /cn 1 /cf 1 /cv 1 /sf 1 /sv 1 /sci 1
#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****

[/autoit][autoit][/autoit][autoit]

If ProcessExists("firefox.exe") Then
ProcessClose("firefox.exe")
EndIf

[/autoit]

Unabhängig davon, ob es Sinn macht, diese kleine Script zu obfuscaten oder nicht (soll ja nur ein Beispiel sein ), hat das schon mal jemand gehabt und ne Lösung gefunden? Außer nicht zu obfuscaten?
Mich würde einfach mal interessieren, was daran so anders sein kann. Avira sollte ja das Wort thunderbird nicht stören und die Thunderbird.exe ist laut Avira auch virenfrei.
Andere AVs meckern übrigens nicht

Laith

Hallo,

Zitat von Xenobiologist

schick das Skript doch mal als false positive zum Av-Hersteller

habe ich gemacht und die Antwort war nur: Der Code wird von Avira aber nicht aus der Erkennungsroutine entfernt werden, da er benötigt wird.
Einer weiteren Nachfrage, was daran so auffällig sei, steht noch eine Antwort aus.
Ich denke mal, dass das Wort thunderbird.exe ein Zufall ist und es noch weitere "Fehlwörter" geben wird.

Werde mal abwarten

Laith