Что нового

AuoIt и антивирусы

C2H5OH

AutoIT Гуру
Сообщения
1,473
Репутация
333
Пришел тут ко мне умелец один, принёс файлы на флешке. Только вставили влешку в комп, кашпировский сразу нарисовался
Обнаружен вредоносный объект Обнаружено: Trojan.Win23.Autoit.adm Объект: E:\gbrjiv.exe/script.au3
Объект удалён Удалено: Trojan.Win23.Autoit.adm Объект: E:\gbrjiv.exe/script.au3

Файл скрытый.
Умелец на SciTE и на форум смотрит как на новые ворота. Я склонен считать что не он автор.

Это что, кто-то вирусы на AutoIt пишет?
 

joiner

Модератор
Локальный модератор
Сообщения
3,556
Репутация
628
C2H5OH [?]
Это что, кто-то вирусы на AutoIt пишет?
да ладно? вот это новость! ;D
C2H5OH, ясен перец пишут. освоить язык не сложно. зная особенности системы , можно сделать зловреда или банер-вымогатель. тырить всякую всячину..
 

MnM

Post-Hardcore
Сообщения
679
Репутация
90
Антивирусники прекрасно опознают вирусы написанные на AutoIt, даже если сильно запутать.
Как то раз написал я программку чтобы сама проверяла есть ли она в атозагрузке или нет(если нет то скопироватся). Вердикт касперского: "Ты написал вирусню следовательно я удалю ее :smile:"
 

joiner

Модератор
Локальный модератор
Сообщения
3,556
Репутация
628
MnM [?]
Антивирусники прекрасно опознают вирусы написанные на AutoIt, даже если сильно запутать
скорее всего просто банят раз это AutoIT. одно время Авира не давала мне скомпилировать ни одного скрипта. потом эта паранойя вроде прошла.
а банеры-вымогатели даже каспер не блокирует..ведь это не вирус :smile:
 

asdf8

Скриптер
Сообщения
564
Репутация
152
MnM [?]
Антивирусники прекрасно опознают вирусы написанные на AutoIt, даже если сильно запутать.

:smile: :smile: :smile: это не правда, то, что они опознают далеко не всегда является вирусом.
Сигнатурным анализом определять вирусы написанные на AutoIt - тупиковый путь. Один и тот-же код AutoIt можно собрать столькими способами, что сигнатурные базы для него превысят все разумные размеры.


Как то раз написал я программку чтобы сама проверяла есть ли она в атозагрузке или нет(если нет то скопироватся). Вердикт касперского: "Ты написал вирусню следовательно я удалю ее
smiley.gif
"

Если вердикт выносится на основании того, что программа заносит себя в автозагрузку, или использует определенные функции WinApi (или те-же хуки) - это не антивирус, это хрень, которая тратит ресурсы компьютера, а так-же деньги и время юзера, т.е. делает то-же, что и вирусы.
 

MnM

Post-Hardcore
Сообщения
679
Репутация
90
asdf8 сказал(а):
тратит ресурсы компьютера
asdf8 сказал(а):
С этим согласен, плюс у касперского если не ошибаюсь и по сей день есть функция в трее - "Выход", которая выгружает его самого из системы даже без пароля(если таковой имеется)
 

AZJIO

Меценат
Меценат
Сообщения
2,874
Репутация
1,194
asdf8 [?]
Если вердикт выносится на основании того, что программа заносит себя в автозагрузку, или использует определенные функции WinApi (или те-же хуки) - это не антивирус, это хрень, которая тратит ресурсы компьютера, а так-же деньги и время юзера, т.е. делает то-же, что и вирусы.
Один антивирус скажет можно и разрешает всё подряд, другой скажет нельзя и блокирует всё подряд. Важно общее средне-статистическое плюс голова на плечах. Для автозагрузки у меня стоит "AnVir Task Manager", для флешки "Зоркий глаз", потому что касперский, как и положено разрешает автозагрузку и autorun.inf с флешки не блокирует.
 

AZJIO

Меценат
Меценат
Сообщения
2,874
Репутация
1,194
MnM
А если человек забыл пароль? Я пару раз удалял Dr.Web на компьютерах (незнаю что он там делал, в связке с вирусами это была уже не система) так мне пришлось серьёзно повозиться.
У касперского самозащита не даёт управлять через TeamViewer.
 

MnM

Post-Hardcore
Сообщения
679
Репутация
90
AZJIO сказал(а):
А если человек забыл пароль?
У нас учительница говорит:
Монолог с учительницей по математике сказал(а):
-Нууу, доставай дневник двойку поставлю.
-У меня нет, я дома забыл
-Хорошо, подставляй голову, сейчас на лоб напишу чтобы не забывал
;)
 

asdf8

Скриптер
Сообщения
564
Репутация
152
AZJIO [?]
Один антивирус скажет можно и разрешает всё подряд, другой скажет нельзя и блокирует всё подряд.

С учетом моей цитаты, это означает, что поведенческий анализ антивируса не может отличить вирус от не вируса. Чем может помочь такой антивирус при встрече с вирусом - каждый сам может решить для себя. Раньше, хотя-бы не стеснялись спрашивать юзера - "Вот какой-то подозрительный файл, может вирус, может показалось. Чо с ним делать?". Сейчас это не модно - показалось, значит вирус и мочить без разговоров. А это, фактически, роспись в собственном бессилии.
У меня стоит старенький ComodoFirewall 5.8 и DrWeb 7, и этот, последний, уже порядком достал. Сейчас больше склоняюсь к новому ComodoFirewall (фаервал + hips + песочница) + "Зоркий глаз".
 

beliy

Продвинутый
Сообщения
372
Репутация
72
У касперского самозащита не даёт управлять через TeamViewer.
В любом антивирусном продукте есть опция "Исключения", также для продуктов с функциональностью фаервола есть система правил, которыми также можно управлять.

это не антивирус, это хрень, которая тратит ресурсы компьютера, а так-же деньги и время юзера, т.е. делает то-же, что и вирусы.
Любой антивирус - это палка с 2 концами, в чем то хорош, а чем то и кусается... Имхо в этом вопросе, пока, Linux
форева, жаль только что Autoit там нативно не работает...

OffTopic:
Поправьте написание Autoit в названии темы...
 

AZJIO

Меценат
Меценат
Сообщения
2,874
Репутация
1,194
MnM
-Хорошо, подставляй голову, сейчас на лоб напишу чтобы не забывал
Тебя больше не позовут вот и всё... Или позовут те, кому будешь делать бесплатно.


asdf8 [?]
показалось, значит вирус и мочить без разговоров
У касперского есть галочка "Удалять если лечение не возможно". У меня есть много программок, который он давно бы прикончил, но из-за этой галочки он только раз в месяц напомнит что нашёл и надо-бы удалить. При чём если он уверен в вирусе на 100% то удаляет даже с этой галочкой и я заметил что это поведение совпадает с моим предпочтением, так как он не удалил ни одной из коллекции программ, зато успешно мочит только скаченный файл, который я сам подозревал что вирус. Ещё он не запустит программу, если считает что это вирус. Этот вопрос многие боятся при выводе сообщения "Что делать с файлом" с подозрением на вирус.
 

asdf8

Скриптер
Сообщения
564
Репутация
152
AZJIO [?]
Этот вопрос многие боятся при выводе сообщения "Что делать с файлом" с подозрением на вирус.
Боятся нажать кнопку "Это вирус и его надо грохнуть" ?

Про исключения я знаю, я говорил о другом :

asdf8 [?]
поведенческий анализ антивируса не может отличить вирус от не вируса. Чем может помочь такой антивирус при встрече с вирусом - каждый сам может решить для себя.
 

winstan

Эксплотатор)
Сообщения
406
Репутация
79
У меня касперский просто не дает скомпелировать вообще любой скрипт Autoit'а
сразу орет что вирус и посылает компилятор в карантин :rofl:
 

joiner

Модератор
Локальный модератор
Сообщения
3,556
Репутация
628
а у меня бесплатная версия авиры. почти не "гавкает", остальное ловит "почти" хорошо.. остальные 90% защиты это моя голова..за последние лет пять ни разу не мочил систему из за заражения. и не чистил другими антивирями.
главный антивирь в голове. это природный факт ;)
 

AZJIO

Меценат
Меценат
Сообщения
2,874
Репутация
1,194
asdf8
Боятся нажать кнопку "Это вирус и его надо грохнуть" ?
Боятся пропустить вирус, хотя подозрение это всего лишь подозрение.

В "AnVir Task Manager" к примеру по отсутствию поля "Компания" повышает рейтинг опасности файла, и это понятно. Так же и антивирус создаёт некий рейтинг, а пользователь не далёк в этом, есть только его выбор, который зависит от критерия "откуда файл". Файл может быть скачан и оф.сайта, где указана контрольная сумма и сам сайт внушает доверие, или с известного обменника или с непонятного сайта. Вот тут пользователь и должен включать голову. Автоопределение вируса на 100% просто невозможно, есть 100% сигнатуры известных вирусов и есть некоторое поведение, при котором можно засомневаться в источнике.
 

asdf8

Скриптер
Сообщения
564
Репутация
152
AZJIO [?]
есть 100% сигнатуры известных вирусов

У меня эта иллюзия рассеялась, когда почти все мои скомпилированные скрипты у меня на компе, стали вирусами (по этим сигнатурным базам).
 
Верх