AutoIt-Tools und Virusmeldung

  • Hi,
    seit kurzer Zeit habe ich immer wieder angebliche Virenmeldungen von meinen selbstgeschriebenen AutoIt-Tools.
    Natürlich ist es definitiv kein Virus der ähnliches.
    Gestern wurde z. B. ein Tool mit UPX nicht als Virus erkannt und ohne UPX als Virus erkannt.
    Eigentlich dachte ich, dass es wenn überhaupt genau andersherum sein würde.
    Als ich dann das gleiche Skript später wieder mit UPX kompilierte war es plötzlich kein Virus mehr.

    Was macht ihr um möglichst Ruhe damit zu haben?
    UPX ja oder nein
    AntiVirenprogramm schwächer einstellen
    AntiVirenprogrammhersteller anschreiben und Fehler melden
    Gibt es bestimmte Befehle in AutoIt-Programmen die eine Virenmeldung besonders häufig hervorruft?

    Schreibt einfach mal eure Erfahrungen dazu hier nieder.
    Danke :)

    • Offizieller Beitrag

    Also ich verwende UPX generell nicht.
    Mein Antivirenprogramm hat noch nie Alarm geschlagen. Es sagt nur: He - unbekanntes Programm, darf ich das ausführen? - und dann kommt das auf die White-List.
    Ich verwende Comodo-Internet-Security.
    Ich hatte mal Avira, das hat auch niemals meine Programme beanstandet.

    Inhaltlich habe ich Tools, die Internetverkehr betreiben, auf das OS zugreifen - eigentlich querbeet.

  • Ich verwende Norton Internet Security.
    Es schlägt als der SONAR-Schutz an.
    Laut Beschreibung "SONAR erkennt bösartigen Code schon, bevor entsprechende Virendefinitionen über LiveUpdate verfügbar sind, und schützt Sie davor."

    Vielleicht hat hier noch jemand auch Norton und kann seine Erfahrungen posten.

  • Das hat nicht unbedingt etwas mit Norton zu tun. Inzwischen analysieren alle Virenscanner die Vorgänge in Programmen relativ genau (bei AutoIt ist das sehr gut möglich.). Ohne UPX schlagen immer mehr Filter an, weil die API Calls nicht mehr durch UPX versteckt werden (Symantec (Norton-Firma u.a.) nennt das das "Packer Problem").

    Diese sogenannten heuristischen Analysen, die zum jetzigen Zeitpunkt von jedem gängigen Virenscanner vorgenommen werden, laufen aber leider immer mehr schief. Da ist nichts zu machen. Ein unglückliches Workaround wäre einen acker zu verwenden, zu welchem es einen offiziellen Unpacker gibt. Das grenzt die Probleme der Virenscanner ein. Bei Norton gibt es übrigens sogar einen heuristischen Unpacker (gibt mehrere Paper von Symantec dazu), der sollte dem ganzen noch zuträglicher sein.

    • Offizieller Beitrag

    Hey,

    Hier mal der unterschied zu UPX, X64 und X32.
    Der Code ist folgender:

    Spoiler anzeigen
    [autoit]

    #Region ;**** Directives created by AutoIt3Wrapper_GUI ****
    #AutoIt3Wrapper_Compile_Both=y
    #AutoIt3Wrapper_UseX64=y
    #EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****
    TCPStartup()
    UDPStartup()

    [/autoit] [autoit][/autoit] [autoit]

    TCPListen(@IPAddress1,12525)
    UDPBind(@IPAddress1,12525)
    TCPConnect(TCPNameToIP("www.google.de"),80)
    HotKeySet("{F5}","_f5")
    GUICreate("")
    GUICtrlCreateEdit("",0,0)
    GUISetState(@SW_SHOW)
    Send("hey, bin ich böse?{ENTER}drücke F5 umms herrauszufinden!")
    While Sleep(100)
    WEnd

    [/autoit] [autoit][/autoit] [autoit]

    Func _f5()
    GUIDelete()
    MsgBox(0,"","Nein..")
    Exit
    EndFunc

    [/autoit]

    UPX, x32: 9/54 Virenscanner sind angeschlagen
    https://www.virustotal.com/de/file/78606a…sis/1406817129/
    Ohne UPX, x32: 2/54 Virenscanner sind angeschlagen
    https://www.virustotal.com/de/file/4550d4…sis/1406817173/
    Ohne UPX, x64: 1/54 Virenscanner sind angeschlagen
    https://www.virustotal.com/de/file/499709…sis/1406817187/

    Gruß,
    Spider

  • Ich verstehe nicht ganz warum es mit AutoIt solche Probleme gibt.
    Es gibt ja zig Tools im Internet und bei denen springt der Virenscanner nicht an.
    Liegt das an der Programmiersprache?

  • Ich verstehe nicht ganz warum es mit AutoIt solche Probleme gibt.
    Es gibt ja zig Tools im Internet und bei denen springt der Virenscanner nicht an.
    Liegt das an der Programmiersprache?


    Nunja, AutoIt wurde (und wird) immer wieder für Schädlinge benutzt, und nun stempeln einige AV's AutoIt-Programme automatisch als Virus ab, sobald sie die AutoIt-Signatur erkennen. Ähnliche Situation wie bei Packern.

    There's a joke that C has the speed and efficieny of assembly language combined with readability of....assembly language. In other words, it's just a glorified assembly language. - Teh Interwebz

    C makes it easy to shoot yourself in the foot; C++ makes it harder, but when you do, you blow off your whole leg. - Bjarne Stroustrup
    Genie zu sein, bedeutet für mich, alles zu tun, was ich will. - Klaus Kinski

    • Offizieller Beitrag

    Hey,

    Was ich mit den Links zeigen wollte: Das Problem ist UPX. Es gibt Viren die mit UPX gepackt sind, also sind für ein paar Virenscanner alle Dateien, die mit UPX gepackt sind Viren.
    Ich finde 2 von 54 Falschmeldungen sehr entspannt, das war früher viel schlimmer. Und weder von Dr. Web noch von Jiangmin hab ich je mals was gehört ;)

    Gruß,
    Spider

  • Hi,
    solange die "Standard"-Packer benutzt werden, haben die Virenscanner auch kein Problem! Die entpacken nämlich einfach den Code und schauen dann nach.
    Problematisch wird es imho, wenn durch "neue" Funktionen und Updates Code in das Compilat gelangt, der von einigen Virenscanner (noch) nicht gewhitelistet ist.
    Tweaky, interessant wäre es, wenn du dasselbe mal mit einer "alten" bzw. mehreren älteren AutoIt-Versionen durchspielen würdest.
    Welche Version verwendest du aktuell?

  • Finde das Problem mit der Heuristik auf jeden Fall sehr bedenklich.

    Auf den Kisten daheim mit vollen Adminrechten und "erfahrenen" Benutzern ist doch noch relativ unproblematisch.
    Wenn man auf Arbeitsplätzen mit zentral verwaltetem Virenschutz (ohne Adminrechte, nix einstellbar am Viresnschutz und das soll ja auch so sein) mal schnell ein Problem per Skript lösen will ist das sehr ärgerlich.
    Da werden die schnell mal ungefragt einfach entsorgt ...
    UPX habe ich mittlerweile auch aus (wobei eine reine UPX Heuristik völliger Unsinn ist), aber das hilft leider nicht immer.

    Einmal editiert, zuletzt von nuts (1. August 2014 um 12:29)

  • Andy
    bin vor 3 Wochen von 3.3.8.1 auf 3.3.12.0 umgestiegen.
    Wenn ich nochmals ein Problem mit einem Tool habe werde ich versuchen diese auch mit 3.3.8.1 zu kompilieren.

  • Ich glaube, ich hatte es schon mal irgendwo erwähnt:

    Die originale AutoIt3.exe wird bei uns auffer Arbeit auch als Virus (Trend Micro Internet Security) erkannt und automatisch "entsorgt"..
    Die 64-Bit-Variante (AutoIt3_x64.exe) nicht..

  • Als King-Admin (@home) kann man viel machen, auf Benutzerebene am Arbeitsplatz ist, vielleicht außer dem Hersteller, nicht unbedingt klar welcher Virenwächter überhaupt verwendet wird.
    Glaube die Heuristik richtet mitllerweile mehr Schaden an als es je genutzt hat.
    Ihr merkt ich bin davon schwer genervt, weil ich schon des öfteren davon überrascht wurde und es auch keine Lösung zu geben scheint.

    Ok bei der orginal Autoit.exe könnte man schon einen Versuch starten und den Antiviren "Programmierer" (bis zu dem kommt man wohl kaum direkt) informieren.

    P.S. Ganz freundlich ist bei mir zuhause der Mircrosoft Virenschutz. Über die Schutzfunktion kann ich aber nichts sagen, habe ja keine Viren auf dem System. 8)

  • Softpedia ist das klassische Beispiel. Nennen sich seriös, lehnen aber AutoIt Programme gleich auf wegen deren "technologisch wirksamen Hightech Virentools" (aka. VirusTotal). Bei denen muss ich den Sourcecode immer mitpacken und ihn über VBS kompilieren.

    [Blockierte Grafik: http://stefan.blagojevic.at/loading.gif]

    Design, Modellbau, CAD <3
    AutoCAD, ArchiCAD, REVIT (ist ein Scheiss, habe aber das Zertifikat)

    Cinema 4D, RuckZuck Statik Programm

    Michael Bay als Architekt


    Da eine Glasfassade! Booom Sichtbeton! Laminiertes Bild auf Mosaiksteinchen! Granit! Granit! Granit! Sichtbetonwand mit 50° Neigung!
    Holzverkleidung erscheint da! Boooooom!

  • steven

    So ein Quatsch. Mein Programm wurde sogar ohne mein Zutun von der Redaktion aufgenommen und geprüft: http://www.softpedia.com/get/Programmin…s/AuBASIC.shtml
    Davon gibts auch nur eine kompilierte Version und damit hatte keiner ein Problem und ich bezweifle, dass kein Virenscanner darauf angesprungen ist (ich hab es nicht überprüft).

    Zitat

    Softpedia guarantees that AuBASIC 0.1 is 100% CLEAN, which means it does not contain any form of malware, including spyware, viruses, trojans and backdoors.


    Weiter dazu:

    Zitat

    This product was last tested in the Softpedia Labs on 29th of August 2012 by Alexandru Teodorovici

    Mach nicht SoftPedia runter ^^ . Da sitzen echte Leute dahinter und sie stellen sogar Mirrors für alte, vergessene aber gute Software ohne Nachfrage. Außerdem packen sie keinen Installer und keine Malware in die Downloads, wie CHIP.de, Softonic, Freeware.de etc. Ich hatte inzwischen schon wieder völlig vergessen, dass ich das mal gemacht habe. Es ist fürchterlich geschrieben und ist verbuggt wie sonstwas. Trotzdem hat es irgendwie über 1,4k Downloads über den sourceforge Mirror bekommen. Naja, Russen eben ^^

    Einmal editiert, zuletzt von minx (2. August 2014 um 02:56)

  • minx:

    Ich will jz keine E-Mails unerlaubt zitieren, aber bei fast jeder Programmvorstellung hatte ich Probleme mit Softpedia wegen VirusTotal (die haben mir das sogar geschrieben). Ein Tool von mir ist noch immer nicht oben - ich war sauer und hatte keine Lust, den Source zu bearbeiten.

    [Blockierte Grafik: http://stefan.blagojevic.at/loading.gif]

    Design, Modellbau, CAD <3
    AutoCAD, ArchiCAD, REVIT (ist ein Scheiss, habe aber das Zertifikat)

    Cinema 4D, RuckZuck Statik Programm

    Michael Bay als Architekt


    Da eine Glasfassade! Booom Sichtbeton! Laminiertes Bild auf Mosaiksteinchen! Granit! Granit! Granit! Sichtbetonwand mit 50° Neigung!
    Holzverkleidung erscheint da! Boooooom!

  • Torni: In so einem Fall einfach mal den AntiViren-Programmierer anschreiben und das Problem schildern. Mit dem nächsten AntiViren-Update sollte das dann behoben sein.


    :) ich warte seit seit Ewigkeiten auf Antwort von denen.
    p.s. seit gestern macht auch Avast hier auf meinem priv. Pc fast den gleichen Mist..build in x86 (3.3.12.0) geht nicht.. x64 geht...

  • Zitat

    Avast hier auf meinem priv. Pc fast den gleichen Mist..build in x86 (3.3.12.0) geht nicht.. x64 geht...

    Auf dem privaten PC mag das, wenigstens für die Hardcore-AutoIt´ler, noch hinnehmbar sein.
    In unserer Firmenumgebung ist das aber ein absolutes Desaster.
    Obwohl unser Admin alles dafür tut, die Server zuzunageln, und die Mitarbeiter zu Informieren, dringt trotz professionellem Virenscanner ab und zu ein Virus durch.
    Admin Rundmail:"Bitte KEINE Mails mit unbekanntem Absender öffnen!"....Mail an Mitarbeiter:"Sehr geehrte Damen und Herren, anbei die Rechnung der Telekom"... KLICK :rolleyes: ....Mitarbeiter nach Rollback: "Woher soll ich denn wissen, dass mir die Telekom nicht die Rechnungen auf den Firmenaccount schickt?" :wacko: )

    Daher verwende ich im professionellen Umfeld die 3.3.6.x bzw. 3.3.8.1
    Ich habe überhaupt keine Lust, dass meine Scripte irgendwann bei einer Aktualisierung des Virenscanners bzw. AutoIt "Fehlalarme" auslösen. Woher soll ein unbedarfter Mensch wissen, dass das nur ein Fehlalarm ist?! Nur weil der liebe Andy sagt:" ALDA, da is kein Virus drin, isch schwör!!!" ?
    Lächerlicher ist eigentlich nur

    Zitat

    XXXXXXX guarantees that YYYYYY V1.0 is 100% CLEAN, which means it does not contain any form of malware, including spyware, viruses, trojans and backdoors.

    Wer heutzutage so etwas glaubt, der hat die letzten Jahre in der Informationstechnik schlichtweg verpennt!