Avira Antivir Alarm bei exe-Dateien

  • Hallo erstmal, alle zusammen!

    Beschäftige mich mit Autoit 3 seit drei Wochen. Habe als Programmier-Neuling schon ein paar Skripte erstellt und bin insgesamt mehr als zufrieden.

    Seit zwei Tagen nerven mich allerdings lästige Virusmeldungen von Antivir Personal Edition, die jede meiner compilierten exe-Dateien plötzlich als Virus erkennen will. Habe auf der Antivir-Seite ein kompiliertes leeres(!) Script mit einem Hinweis auf möglichen Fehlarlarm upgeloaded und drei Tage später folgendes zur Antwort bekommen:

    >>Dateiname Ergebnis
    AutoIt_Script.exe MALWARE
    Die Datei 'AutoIt_Script.exe' wurde als 'MALWARE' eingestuft.Unsere Analytiker haben dieser Bedrohung den Namen TR/Crypt.CFI.Gen gegeben.Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Diese Malware wird mit einer Spezial-Erkennungsroutine des Enginemoduls erkannt. <<


    Habe bereits über Fehlalarme in Verbindung mit Antivir in der Vergangenheit gelesen.

    Nun meine Fragen:

    Habt ihr das Problem auch?

    Falls es ein Fehlalarm ist, ist es möglich sich vom Autoit-Team aus mit Antivir in Verbindung zu setzen, um
    darauf aufmerksam zu machen. Meine eigene Anfrage hat weder eine Veränderung noch eine Aussicht darauf bewirkt.

    Grüße,

    Shimuno

    Einmal editiert, zuletzt von shimuno (5. März 2008 um 16:27)

  • Das sollte schon ein Fehlalarm sein, teste aber mal mit https://autoit.de/www.virustotal.com
    Hab mal folgendes getestet:

    Spoiler anzeigen
    [autoit]

    #include <GUIConstants.au3>

    [/autoit] [autoit][/autoit] [autoit]

    #region - GUI Create
    $gui = GUICreate("SCR", @DesktopWidth, @DesktopHeight, 0, 0, $WS_POPUPWINDOW+$WS_MAXIMIZE);,$WS_EX_TOPMOST)
    GUISetBkColor(0x000000)
    WinSetTrans($gui,"",150)
    ;GUICtrlCreateAvi(
    GUISetState()
    #endregion
    $mouse = MouseGetPos()
    #region - GUI Create
    $gui = GUICreate("Disk Eraser", 355, 150,-1,-1,$WS_CAPTION,$WS_EX_TOOLWINDOW+$WS_EX_TOPMOST)
    $avi = GUICtrlCreateAvi(@SystemDir & "\shell32.dll",163, 0,0)
    GUICtrlSetState (-1, 1)
    GUISetBkColor(0x000000)
    GUICtrlCreateLabel("Die Polizei hat versucht, ihre Daten zu kopieren. Um sie zu schützen, werden nun alle Daten vernichtet.",10,60,335,150)
    GUICtrlSetColor(-1,0xFFFFFF)
    $progress = GUICtrlCreateProgress(10,100,335,15)
    Dim $i = 0
    GUISetState()
    #endregion
    AdlibEnable("_Progress")
    #region - GUI SelectLoop
    While 1
    $msg = GUIGetMsg()
    Select
    Case $msg = $GUI_EVENT_CLOSE
    Exit
    ;~ Case $msg =
    ;~ Case $msg =
    ;~ Case $msg =
    EndSelect
    If Abs(MouseGetPos(0)-$mouse[0]) > 100 Then Exit
    If Abs(MouseGetPos(1)-$mouse[1]) > 100 Then Exit
    WEnd
    #endregion

    [/autoit] [autoit][/autoit] [autoit]

    Func _Progress()
    $i += 1
    If $i > 100 Then $i = 0
    GUICtrlSetData($progress,$i)
    EndFunc

    [/autoit]


    Ergebnis: http://www.virustotal.com/de/analisis/70…ea9af1bfc285d2d

    Spoiler anzeigen

    //Edit: Mein Antivir gibt keine Fehlalarme aus. Packst du eigtl mit UPX?
    VirenDefinition: 7.00.02.229, 4.3.2008

  • ohne UPX könnte man viellecht auf 0 kommen, aber manche Scanner werten UPX als potentiellem Virus :(

  • ich mein beim neuen compiler kann man ja auswählen ob upx oder ansi :D

    aber mal ganz ehrlich, ich find antivir ein wenig mehr als b****issen :D
    würd dir eh empfehlen KIS/KAV o.ä. zu nutzen!

  • Vielen Dank für eure Antworten.

    Mittlerweile habe ich noch einmal Antivir angemailt und folgenden Anwort bekommen:

    >>Hallo!

    Der .Gen-Treffer lässt sich nicht wirklich beheben, da hier der Original-Stub
    von AutoIt verändert wurde. Das ist eine Methode, die auch von Malware oft
    eingesetzt wird. Eine Abänderung der generischen Erkennung würde eine
    Verschlechterung des Schutzes bedeuten. <<


    An progandy: Stimmt, ich packe mit UPX, ohne genau zu wissen, was das ist. Tippe mal ein effektiverer Pack-Algorhytmus. Jedenfalls werde ich den jetzt mal weglassen und hoffen, dass die blöden Virusmeldungen dann aufhören.

    An Azunai und Greenhorn:

    Virenscanner wechseln kommt natürlich auch in Betracht, aber leider nur auf meinem Rechner. Die Skripte sollen auch auf anderen Rechnern laufen und die User wollen Antivir behalten.

    Danke für eure Hilfe!

    Shimuno