Что нового

Avast Pro v4.8 (база 28.01.2011) находит вирус в скрипте AutoIT

Woland_D

Новичок
Сообщения
18
Репутация
2
Вечер добрый.
Подскажите в каком направлении смотреть - сегодня обновилась база антивируса Avast Pro v.4 (обновление происходит регулярно, вчера - всё было нормально).
И сразу на любой скрипт с использованием библиотеки IE.au3 возникает предупреждение системы безопасности: "Внимание - обнаружен вирус! Win32:Downloader-FHZ [Trj]"
 

Garrett

Модератор
Локальный модератор
Сообщения
3 999
Репутация
964
Re: AutoIT vs Avast Pro

Woland_D странно! :blink:
Активно пользуюсь именно четвёркой, и никаких проблем!


Добавлено:
Сообщение автоматически объединено:

Может дело в коде вашего скрипта? ;)
 

CreatoR

Must AutoIt!
Команда форума
Администратор
Сообщения
8 473
Репутация
2 403
Re: AutoIT vs Avast Pro

Предупреждение За нарушение правил форума (пункт Б.5):
Имя темы должно нести смысловую нагрузку (отражать суть вопроса/проблемы)
Правильно сформулированное название темы привлекает больше внимания, и шансы получить конкретный ответ увеличиваются.


Как правильно называть темы

"AutoIT vs Avast Pro" это неприемлемое название темы, переименуйте тему иначе она будет закрыта, а вам возможно будет выдан бан на несколько дней.

С уважением, Администратор форума.
 
Автор
Woland_D

Woland_D

Новичок
Сообщения
18
Репутация
2
Re: AutoIT vs Avast Pro

Garrett сказал(а):
Woland_D странно! :blink:
Активно пользуюсь именно четвёркой, и никаких проблем!


Добавлено:
Сообщение автоматически объединено:

Может дело в коде вашего скрипта? ;)




Сейчас проверю на двух других компьютерах, правда там Windows с того же дистрибутива и Аваст установлен тоже с автообновлением.

А код скрипта, по моему, влиять не должен:

Код:
#include <IE.au3>
$oIE = _IECreate("about:blank")
 

Garrett

Модератор
Локальный модератор
Сообщения
3 999
Репутация
964
Re: Avast Pro v.4 находит вирус в скрипте AutoIT

Код который вы привели, не должен вызывать реакции Avast 100%!
 
Автор
Woland_D

Woland_D

Новичок
Сообщения
18
Репутация
2
Re: Avast Pro v.4 находит вирус в скрипте AutoIT

Garrett сказал(а):
Код который вы привели, не должен вызывать реакции Avast 100%!
Я же это прекрасно понимаю!
Код - примитив. Самое странное, если не включать библиотеку IE.au3 - сообщения про вирус нет. Провёл следующие действия - удалил установленный AutoIT (полностью физически вытер папку). Скачал с официального сайта последний дистрибутив 3.3.6.1. Установил, запустил, скомпилировал этот примитивный скрипт - то же самое, - вирус.
Скомпилировал скрипт без этой библиотеки - "вируса" нет.
Провёл аналогичные действия на втором компе - тот же эффект.

Теперь сижу и думаю, как воспримут люди, которым я с использованием AutoIt делал скрипты, - сообщение аваста, что там троян...
Avast Pro - v 4.8 (версия обновления 28.01.2011)



Добавлено:
Сообщение автоматически объединено:

В подтверждение моих слов
 

Yashied

Модератор
Команда форума
Глобальный модератор
Сообщения
5 379
Репутация
2 713
Проверьте ваш файл парочкой других антивиросов, и, если вирусов обнаружено не будет, то отправьте этот баг-репорт в Avast (надеюсь "pro" у вас лицензионный).
 

Garrett

Модератор
Локальный модератор
Сообщения
3 999
Репутация
964
Вот результат, on-line проверки на Virus Total, скомпилированного кода:
Код:
#include <IE.au3>
$oIE = _IECreate("about:blank")


File name: virus_ie.exe
Submission date: 2011-01-28 23:16:50 (UTC)
Current status: queued queued analysing finished
Result: 3/ 43 (7.0%)

7.0% из 100 % это не авторитетные AnVir
 
Автор
Woland_D

Woland_D

Новичок
Сообщения
18
Репутация
2
Понятно, что получаемая при компиляции сигнатура похожа на сигнатуру вируса. Статистика немного изменилась - уже 6/42.
Просто обидно и неприятно - AutoIt очень удобный инструмент. Но если данная статистика будет расти - придётся от него отказаться. Не будешь же заказчикам рассказывать, что "Внимание, обнаружен троян" - это всего лишь ошибка антивируса.
Эх. А всё так хорошо начиналось...

File name: test.exe
Submission date: 2011-01-29 08:16:18 (UTC)
Current status: finished
Result: 6/ 42 (14.3%)
 

kaster

Мой Аватар, он лучший самый
Команда форума
Глобальный модератор
Сообщения
4 020
Репутация
622
Woland_D
вини в этом начинающих вирусописателей, из за кривых вирусов которых антивирусы частенько тревогу забивают на пустом месте
 

CreatoR

Must AutoIt!
Команда форума
Администратор
Сообщения
8 473
Репутация
2 403
Kaster [?]
вини в этом начинающих вирусописателей, из за кривых вирусов которых антивирусы частенько тревогу забивают на пустом месте
Кстати, Avast как раз один из лучших антивирусов для определения вирусов написанных на AutoIt.

Я недавно подцепил на флэшку вирус с другой машины, где стоит Nod32, принёс флэшку на родной комп, и Avast тут же сообщил про вирус, и главное в названий вируса упоминался AutoIt. Я решил проверить это дело, распаковал exe'шник, и оказалось вирус совсем не простой, тот кто его писал знал что он делает, и явно хорошо знал AutoIt.
Вот кажется его описание.

Woland_D [?]
если данная статистика будет расти - придётся от него отказаться
У меня есть несколько безобидных программ, которые авастом определялись как вирусы. Я написал в тех поддержку, отправил им программу, через несколько дней они добавили исключение в вирусную базу.
 

Garrett

Модератор
Локальный модератор
Сообщения
3 999
Репутация
964
CreatoR [?]
Я недавно подцепил на флэшку вирус с другой машины, где стоит Nod32
Да уж, Nod32 это ещё та штучка, с Dr.Web`ом "два сапога пара"! ;D
Скачал я как-то у товарища утилиту на CD (у него Nod32 стоял), пришёл домой (у меня Dr.Web в то время был) и запустил утилиту ... :mad: :Censored:!
Итог! Я лишился диска, и больше, ни с Dr.Web ни с Nod32`ом я не "дружу"!
Кстати, товарищу повезло больше, я первый испытал вирус на своей машине, и предупредил его! :laugh:

Не знаю как там и что, но у меня на вышеуказанный (скомпилированный) код Avast молчит! :ok:

P.S. Avast за четыре года непрерывного использования, ни разу не подвёл! Не лукавя, скажу, что были маленькие огрехи, но это уже по собственной глупости! ;)
 
Автор
Woland_D

Woland_D

Новичок
Сообщения
18
Репутация
2
Что ж - будем ждать реакции Avast.
Хотя верится с трудом, что будет она быстрой... Если вообще будет.
На счёт - отказаться, - погорячился.
Всё равно, для простых (и не очень) задач - AutoIT - выручает. Где другими системами необходимо несколько десятков строк кода, - в нём всего несколько строк.
 

Suppir

Продвинутый
Сообщения
967
Репутация
62
У меня касперский летом несколько раз стирал exe-шники при попытке компиляции. Написал на форум касперским, приложил примеры exe-шников, - вроде пофиксили, уже полгода как без приключений.
 

dronet

Знающий
Сообщения
46
Репутация
8
Дело в том что ктото уже настрочил вирус на AutoIt-е, вот и занесли в базу Avast, и при совпадении Avast забивает тривогу.
Могу посоветовать только что можно изменить структуру файла IE.au3, попробывать переименовать переменные и названия функций. работа эта не легкая - потомучто для
Код:
#include <IE.au3>
$oIE = _IECreate("about:blank")
этого кода уже используетса дополнительно более 800ста строк :shok:
проверял программой Au3PP - программа для оптимизации скрипта вот
У меня у самого Каспер стоит - молчит, проверить не как не могу.
Так что удачи.
 
Автор
Woland_D

Woland_D

Новичок
Сообщения
18
Репутация
2
Garrett сказал(а):
А чего ждать?
Вот тест вышеупомянутого скрипта
Тогда просьба - можете выслать ([email protected]) или передать любым удобным вам способом свою версию библиотеки IE.au3?
А то меня уже начинает мучать подозрение, что проблемы с моим компом.
Понимаю, что возможно у вас внесены определённые настройки в конфигурационные файлы AutoIt. И благодаря этим настройкам - скомпилированный ехе-файл не определяется как вирус.
 

dronet

Знающий
Сообщения
46
Репутация
8
попробовал через онлайн сканер свой метод. Всё ок :laugh:


Добавлено:
Сообщение автоматически объединено:

Woland_D Пробу настроить Tidu при компилировании.
Или вставь в начале кода это
Код:
#AutoIt3Wrapper_Run_Tidy=y ; Запуск Tidy
#Tidy_Parameters=/rel /tc n ; Удаляем пустые пробелы, 0=Tab > 0=Spaces.
 

Garrett

Модератор
Локальный модератор
Сообщения
3 999
Репутация
964
Woland_D библиотека у меня стандартная из дистрибутива Autoit с autoitscript.com
Давайте начнём с того, что вы скачаете скомпилированный мной файл, и посмотрите реакцию Avast, принудительно обновив перед этим базу Avast!
not_virus.zip
 

dronet

Знающий
Сообщения
46
Репутация
8
Woland_D Я уже привёл решение проблемы, у меня больше не реагирует вставляй в начале
Код:
#AutoIt3Wrapper_Run_Tidy=y ; Запуск Tidy
#Tidy_Parameters=/rel /tc n ; Удаляем пустые пробелы, 0=Tab > 0=Spaces.
Или вручную настраивай Tidy :IL_AutoIt_1:
 
Верх