Что нового

Боремся с ложными срабатываниями антивируса

Suppir

Продвинутый
Сообщения
967
Репутация
62
[hide=9999]Если на AutoIt написать:

Код:
MsgBox(0, "test", "Hello World!")


Включить стандартный обфускатор и скомпилировать в exe, то на VirusTotal 23 из 57 антивирусов принимают программу за вирус:
https://www.virustotal.com/ru/file/739f01e9c04c77912ed932ed30bbec056a495f095f0d030fb9e9d1fa10e09f90/analysis/

Ссылка на программу и исходный код:
https://cloud.mail.ru/public/7ac568c19e4f/test.zip
пароль: 12345

Ответ ESET NOD32:
Детектирование связано с умышленно запутанным программным кодом данного приложения. Детектируется как Win32/Packed.Autoit.H, срабатывание не является ложным.

Без обфускатора на более-менее сложных программах у меня получалось до 11 срабатываний из 57. В основном, на NOD32, Avira.

-----

Благодаря горе-программистам, которые пишут на AutoIt трояны и SMS-блокираторы, сейчас AutoIt крайне сложно использовать для создания коммерческого ПО. Потому что вы вынуждены защищать исходный код хотя бы обфускатором и при этом бороться с ложными срабатываниями антивирусов.

Предлагаю вместе подумать, как можно разрешить эту ситуацию? Необходимо:
1) делать мало-мальскую защиту кода (переименование переменных и функций, запутывание кода)
2) минимизировать срабатывания антивирусов.

Это поможет вывести AutoIt на новый уровень, когда можно будет без особых проблем создавать коммерческое ПО.[/hide]
 
Автор
S

Suppir

Продвинутый
Сообщения
967
Репутация
62
Проблема еще в том, что сейчас антивирусы активно обмениваются сигнатурами вирусов и базами (или копируют друг у друга). Поэтому, если сегодня вашу программу NOD32 признал за вирус, он хеш-сумма программы отсылается через интернет, а через неделю еще 20 антивирусов будут думать, что в этой программе вирус - хотя это не так.
 
Автор
S

Suppir

Продвинутый
Сообщения
967
Репутация
62
[hide=9999]InnI

Давайте, все-таки, не будем принимать за догму, что "скрипты AutoIt никогда не могут быть коммерческими программами и поэтому не нужно их защищать". Например, у меня несколько коммерческих программ, большинство написано на c#, одна - на Perl и одна - на AutoIt. Программу на AutoIt разрабатываю с 2009 года (дата моей регистрации на сайте). Надеюсь, что это далеко не единственная в мире коммерческая программа, написанная на AutoIt :smile:

Мне кажется, проблема реально существует! Хотелось бы не закрывать на нее глаза, а попробовать решить.
[/hide]
 
Автор
S

Suppir

Продвинутый
Сообщения
967
Репутация
62
Я, все-таки, надеюсь, что данная проблема очевидна и для Yashied. Ее нужно попробовать решить. Просьба не закрывать тему.
 

firex

AutoIT Гуру
Сообщения
943
Репутация
208
Suppir
Так или иначе эта тема не для публичного обсуждения, и я уверен, что делиться своими наработками никто не станет.

AutoIt x64 3.3.12.0 @Compiled
https://www.virustotal.com/ru/file/69d2f87e1711531cbe1a64a9a315fd95c02d45ca1b3e12ec0edbbfa82050966a/analysis/1428077746/
 
Автор
S

Suppir

Продвинутый
Сообщения
967
Репутация
62
firex

по ссылке - это вы скомпилировали в 12-й версии именно тот код, что я выложил? (я компилировал в более старой версии).

Или обработали каким-то своим обфускатором?
 

asdf8

Скриптер
Сообщения
564
Репутация
152
Suppir
Если проект коммерческий, то, возможно, больше можно заработать на судебных тяжбах с антивирусными компаниями - клевета, недобросовестная конкуренция и т.п.
Ну, или, если нет желания заниматься подобными вещами, связаться с антивирусными компаниями и предложить им убрать свою программу из вирусных баз.
 
Автор
S

Suppir

Продвинутый
Сообщения
967
Репутация
62
[hide=9999]Проект коммерческий, регулярно выпускаю обновления программы. Раньше было мало срабатываний (NOD32 и Avira + несколько малоизвестных антивирусов). Сейчас еще Касперский подключился :mad:

Шлю в антивирусные компании программу, они разные отписки пишут, как в нулевом посте. Типа, на программе применялось запутывание кода, поэтому был детектирован вирус. Или - фрагменты программы совпадают с нашими сигнатурами трояна. Но в любом коммерческом ПО есть защита кода (обфускаторы, протекторы).

Но даже без обфускатора прилично срабатываний: 11 из 57. С обфускатором 27 из 57. [/hide]
 

InnI

AutoIT Гуру
Сообщения
4,912
Репутация
1,429
Suppir
без обфускатора прилично срабатываний
Почитайте эти темы по поводу иконок
Одни автоматизированные приложения антивирусом блокируются а другие - нет
При компиляции скрипта антивирус распознает в нем трояна
И поиск по форуму по словам "антивирус" или "avast" может помочь.

Также тема на оффоруме
Are my AutoIt EXEs really infected?
 
Автор
S

Suppir

Продвинутый
Сообщения
967
Репутация
62
Да, я знаю, что если убрать стандартную иконку (или заменить ее на похожую), то меньше срабатываний. Но полностью это проблему не решает.
 

firex

AutoIT Гуру
Сообщения
943
Репутация
208
Suppir [?]
обработали каким-то своим обфускатором
Использую несколько иной способ инициализации скрипта, он попутно защищает от статического анализа( на счет динамического - без понятия).

Все в ваших руках.
 

joiner

Модератор
Локальный модератор
Сообщения
3,556
Репутация
628
возможно дело не только в обфускации, но и в версии интерпретатора .
сделал анализ своей программы WrapperAutoit3
компилировал в версии 3.3.12.0 - одно срабатывание https://www.virustotal.com/ru/file/c946fd5805dc4fa4b3668f583af64cafdb4250aab4c8c8bad2134df86593f1eb/analysis/1428098845/
версия 3.3.13.19 - девять https://www.virustotal.com/ru/file/32f069071cf26aa7c9794842799b7883debdc82c35a744f2184bf0cab931f180/analysis/1428099424/
насчет того, что Авира блокирует, то давно такого не было. Да, были срабатывания в версии 3.3.6.1. Но не долго
 
Автор
S

Suppir

Продвинутый
Сообщения
967
Репутация
62
joiner
Я компилирую, в основном, старыми версиями: 3.3.6 или 3.3.8.

Дело в том, что сначала, действительно, немного срабатываний. Но через несколько дней на этом же самом файле получается больше срабатываний - потому что антивирусные компании обмениваются хешами файлов с вирусами.
 

joiner

Модератор
Локальный модератор
Сообщения
3,556
Репутация
628
Пользуюсь Авирой дома, на работе антивирь от MS , писал на заказ ,в общем, пока жалоб на реакцию антивирей не было
 

qwerty.56

Новичок
Сообщения
3
Репутация
0
Касперский(KIS 16.0.0.614(d)) этот код воспринимает как:Trojan.Script.Generic

Код:
#AutoIt3Wrapper_Res_File_Add=gif-Green-UFO.gif, rt_rcdata, UFO

#include "GIFAnimation.au3"

$hGUI = GUICreate('StaticButton', 800, 600)
_GUICtrlCreateGIF(@AutoItExe, "10;UFO", 0, 0)
GUISetState(@SW_SHOW)

While 1
	If GUIGetMsg() = -3 Then ExitLoop
WEnd


А в ответ пишут:

Здравствуйте,

Нам не удалось воспроизвести детектирование нашим продуктом.
Пожалуйста, обновите антивирусные базы.
Если проблема сохранится, пришлите, пожалуйста, скриншот детектирования и, желательно, логи продукта.

С уважением,
Герман Москаленко

125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 h_ttp://w_ww.kaspersky.ru h_ttp://w_ww.viruslist.ru
 
Верх