Moin,
der Defender meldete mir heute einen Virus in einen mit Autoit 3.3.10.2, SciTE 24.02.2017 compilierten Datei.
Avira AntivirusPro auf meinem System zeigt keinen Fehler.
Trojan:Win32/Fuerboos.B!cl
Hat ein anderer auch das problem?
Gruß
in einer
Virus in *.EXE
-
wuff100 -
25. März 2018 um 11:20 -
Erledigt
-
Hast du dein Script mit UPX kompiliert, denn AVs meckern dann häufiger rum.
Außerdem solltest du deine AutoIt-Version updaten, da diese doch sehr in die Jahre gekommen ist und die neue eventuell bei dir keine Virenmeldung auslöst.
Ansonsten hilft eigentlich nur Defender zu deaktivieren, wenn man Avira schon drauf hat braucht man ja nicht noch den dazu.
-
Zitat
Hast du dein Script mit UPX kompiliert, denn AVs meckern dann häufiger rum.
Nein habe ich nicht.
ZitatAußerdem solltest du deine AutoIt-Version updaten
Das wäre bei fast 20000 Zeilen mit viel Excel Funktionen für dieses Projekt aber sehr umfangreich.
-
man kann es sich zwar zusammenreimen, aber ganz klar ist Deine Frage nicht. Die exe hast Du selbst kompiliert? Wenn ja etwas mehr Selbstbewußtsein - den Fehler machen andere - in Deinem Fall der Defender - ein false Positiv - gibt es zu tausenden.
Ein Problem sollte man darin nicht unbedingt sehen. Zumal man ja False/Positive auch melden kann - meist ist der Fehler beim nächsten Sigbaturupdate weg. Oftmals kann man Dateien auch withlisten.... dann hat sich das auch erledigt.
Nicht selbst erstellte exe hast Du eine 50% Chance auf einen Virus :). Das könnte dann ein Problem sein.
Im Übrigen hat alpines vollkommen recht --> zwei Virenscanner sind einer zuviel.
Gruß
Peter
Edit: Beitrag #3 kam - als ich am schreiben war...
-
wuff100 ,
niemand mag langen Code anfassen nur um autoit in einer neueren Version zu haben - aber hast Du es mal auf die freche probiert? Code einfach mitneuer Version kompilieren - vielleicht hast Du Glück und es läuft?
Dauert wahrscheinlich nur 10 Minuten? Und kostet nichts.
Gruß
Peter
-
Zitat
Code einfach mitneuer Version kompilieren
Das habe ich natürlich schon probiert, aber wie gesagt, aufgrund der vielen Excel Funktionen funktioniert es nicht.
Habe schon einige Funktionen umgebaut. Ist aber meiner Meinung nach mit ExcelRead Range usw. für mich alles umfangreicher und nicht gerade besser geworden.
Ich finde die alten Funktionen für mich übersichtlicher.
Mag sein, dass man sich nur ein bisschen umstellen muss. -
Hallo wuff100
Nur wegen der Virusmeldung würde ich den Code nicht anpassen, denn eine Virusmeldung kann dir immer wieder passieren. Einfach wie bereits vorgeschlagen wurde einen Whitelist-Eintrag erstellen.
Wo ich das nicht machen kann, kompiliere ich das Skript einfach nicht. Dann hat sich das Problem erledigt.
-
oder du lieferst einfach immer eine autoit.exe mit die nicht detected ist. Sprich du führst das script.a3x als parameter in der autoit.exe aus.
-
Ich habe auch öfters das Problem. Einige AV reagieren sogar, wenn du eine leere Datei kompilierst.
Liegt wahrscheinlich an den veralteten Signaturen, sind halt teuer und der AutoIt Interpret macht es auch nicht einfacher,
steckt sowohl in gutartigen und bößartigen Tools drin.
Entweder man holt sich ne Signatur oder man meldet die Datei dem Virenlaboor des entsprechenden Herstellers.
Einige haben jedoch keinen Support, bei McAfee bin ich z.B noch nie auf derartigen Support gestoßen. -
oder du lieferst einfach immer eine autoit.exe mit die nicht detected ist. Sprich du führst das script.a3x als parameter in der autoit.exe aus.
Wie bitte ist das gemeint(detaillierter bitteschön), ich habe gelegentlich das Problem mit
Scripten die ich an Freunde oder Verwandte weitergebe.
Die Meisten von Ihnen wissen nicht mal was sie für ein AV-Porgramm installiert haben oder haben gleich
drei oder mehr davon gleichzeitig am Laufen.
Da rennst du gegen Beton, wenn du ihnen sagst ein AV-Prog reicht.
Auf meinm System befindet sich nur eine .a3x datei Namens Monitor.a3x in Scite\Jump\bin.
Falls die gemeint ist, was mache ich damit.
-
Nein, was er meint ist schlicht und einfach das Script als .a3x im Compiler zu verschlüsseln.
Die AutoIt3.exe (also der Interpreter im Root-Installationsverzeichnis) sollte, für gewöhnlich, keine Virenmeldungen auslösen.
Wenn du dein Script nun als .a3x "compilest" wird es praktisch einfach nur verschlüsselt (die Dateigröße ist paar kB, so groß wie das Script in etwa) und es wird kein Interpreter gebunden.
Virenprogramme meckern nämlich meistens über den AutoIt-Stub (der Interpreter) der in die Exe gehangen wird.
Wenn du aber die AutoIt3.exe mit .a3x verschickst, und keine Virenmeldung auftaucht, brauchst du nur das Script auf die Exe zu ziehen und es läuft wie normal.
-
Danke habs grad erfolgreich getestet, das ist ja optimal für Leute denen man mehrmals ein Tool schickt,
Die brauchen einfach nur eine Version der 32 Bit und der 64 Bit Autoit.Exe und dann die jeweilige a3x
Datei dazu. Und zum einfachen starten können sie ja eine Dateiverknüpfung anlegen, dann sollte
ein Doppelklcik scogar ausreichen und sonst ist der Aufwand auch nicht gross.
Für Benutzer die eh nie den Sourcecode sehen wollen die optimale Lösung um den
AV-Falschmeldungen auszweichen.
Danke Alpines.
-
Du kannst auch das ganze übrigens mit bereits kompilierten Scripten machen. Die musst du nur mit einem bestimmten Kommandozeilenbefehl ansprechen und dann führst du statt dem kompiliertne Script innerhalb der Exe eine .a3x oder .au3 Datei aus.
-
eigentlich sollte man den Scanner Herstellern auf die Füße treten und massenweise false/positv Meldungen verschicken - die Kerle nehmen ja schließlich Geld für die Scanner
Gruß
Peter
-
eigentlich sollte man den Scanner Herstellern auf die Füße treten und massenweise false/positv Meldungen verschicken - die Kerle nehmen ja schließlich Geld für die Scanner
Wenn es einen AutoIt-Virus gibt und der Stub als Signatur eingetragen wird, dann werden alle Kompilate als False/Positive erkannt.
Natürlich könnte man diesen Whitelisten (und das wird auch so gehandhabt) aber wenn eine neue Revision draußen ist beginnt das ganze Spiel wieder von vorn.
Also sind denen mehr oder weniger die Hände gebunden wenn das AutoIt-Devteam nicht persönlich zu den AV-Herstellern geht.
-
Nein, was er meint ist schlicht und einfach das Script als .a3x im Compiler zu verschlüsseln.
Die AutoIt3.exe (also der Interpreter im Root-Installationsverzeichnis) sollte, für gewöhnlich, keine Virenmeldungen auslösen.
Wenn du dein Script nun als .a3x "compilest" wird es praktisch einfach nur verschlüsselt (die Dateigröße ist paar kB, so groß wie das Script in etwa) und es wird kein Interpreter gebunden.
Virenprogramme meckern nämlich meistens über den AutoIt-Stub (der Interpreter) der in die Exe gehangen wird.
Wenn du aber die AutoIt3.exe mit .a3x verschickst, und keine Virenmeldung auftaucht, brauchst du nur das Script auf die Exe zu ziehen und es läuft wie normal.
Das ist ja praktisch.
Dann könnte man ja einen Bat Befehl ausführen und die .bat Datei kompilieren. Somit hätte man einen simplen Launcher als exe Datei.
-
Hallo xSunLighTx3
Dann könnte man ja einen Bat Befehl ausführen und die .bat Datei kompilieren. Somit hätte man einen simplen Launcher als exe Datei.
Nein, besser nicht. Das wäre vom Regen in die Traufe gehen, denn dann würde wohl deine kompilierte bat-Datei von Virenscannern angemahnt.
Erstelle besser eine Verknüpfung.
Ich mache es gerne so, dass ich zum Starten eine .vbs-Datei nehme und aus dem Skript heraus eine Verknüpfung mit Programm-Icon erstelle. Die kann der Anwender per Doppelklick ausführen und merkt nicht, dass es sich nicht um ein kompiliertes Programm handelt.
-
Hallo xSunLighTx3
Nein, besser nicht. Das wäre vom Regen in die Traufe gehen, denn dann würde wohl deine kompilierte bat-Datei von Virenscannern angemahnt.
Erstelle besser eine Verknüpfung.
Ich mache es gerne so, dass ich zum Starten eine .vbs-Datei nehme und aus dem Skript heraus eine Verknüpfung mit Programm-Icon erstelle. Die kann der Anwender per Doppelklick ausführen und merkt nicht, dass es sich nicht um ein kompiliertes Programm handelt.
Stimmt, du hast Recht!
Danke, werde ich mir mal anschauen, wie das genau funktioniert. Auf jeden Fall eine gute Alternative.
-
Macht es nicht einfach Sinn dass das AutoIt Devteam zu den Herstellern gehen würde, mit der Methode zum AutoIt Script entschlüsseln und dass das Script und nicht das komplette Kompilat ausgewertet wird? Oder widerspricht das dem "Disassembling/Reverse Engineering", das in den Lizenzbedingungen steht?
-
Macht es nicht einfach Sinn dass das AutoIt Devteam zu den Herstellern gehen würde, mit der Methode zum AutoIt Script entschlüsseln und dass das Script und nicht das komplette Kompilat ausgewertet wird? Oder widerspricht das dem "Disassembling/Reverse Engineering", das in den Lizenzbedingungen steht?
Dann müsste jede Exe erstmal geprüft werden, ob es sich um ein AutoIt-Kompilat handelt, diese anschließend entschlüsseln und zu guter Letzt das Script analysieren.
Da wird sich jeder AV-Hersteller querstellen um einen Analysator für AutoIt-Skripte zu basteln um zu prüfen ob der Quellcode tatsächlich schädlich ist oder nicht.
Es ist genau dasselbe Problem wie Andy es letztens mit Softwaregeschwindigkeit angesprochen hatte nur für AV-Hersteller.
Statt, dass sich die AV-Hersteller Mühe geben eine perfekte Detektionsquote zu erreichen, kompensieren sie enorm viel Arbeit mit einigen False/Positives.
Der normale Endnutzer wird sich nur denken "oh super, direkt einen Virus gelöscht!" und nur eine handvoll Leute wird sich darüber ärgern und den AV-Herstellern ist es einfach egal.
Das ist auch verständlich, denn bemühten sie sich um eine 100%-Quote, wären sie pleite bevor sie überhaupt die erste Version released hätten.
