INVESTOX-Forum

Hallo zusammen

Seit ich heute morgen Avira Antivir PE Classic updated habe (Virendefinitionsdatei V6.37.01.107 vom 16.2.07 und der Suchengine V7.03.01.37 vom 17.2.07) werden meine mit AutoIT 3 compilierten .exe als Wurmes WORM/YahLover.H "erkannt" Dies ist eindeutig ein sogenannter false positiv.

Ich habe die betreffenden Scripts und die dazugehörenden .exe an Avira geschickt, damit dies umgehend berichtigt wird.

Warum .exe aus AutoIT Scripts immer mal wieder als Virus, Wurm usw. erkannt werden, steht hier. Dort steht auch, wie man einen false positive meldet.

Der Grund ist auf gut Deutsch, dass mit diesem fantastischen Tool (AutoIT) eben auch Viren und Würmer usw. programmierbar sind. Und so ein Antiviren-Software Hersteller schnell mal eine zu allgemein gefasste Kennungs-Sequenz in seinen Scanner packt, wenn ihm ein aus AutoIT compilierter Schädling bekannt wird. Danach werden dann pauschal alle .exe aus AutoIT Scripts als schadhaft brandmarkt.

Falls Ihr mit anderer Antiviren-Software arbeitet: wenn so ein Fall vorkommt, muss man das false positive .exe (und die Source, falls sie überhaupt vorliegen und nicht irgendwie copyright geschützt sind) an den Hersteller zur Berichtigung dessen Definitionen senden.

Ich bin sehr gespannt, wie die Reaktion von Avira ausfällt, und wie lange es dauern wird. In diesem Fall hat es konkret myTWSStart.exe "getroffen" (aber auch jede andere .exe, die man aus einem AutoIT Script compiliert, ist derzeit betroffen!).

Edit:
Ich habe einen korrespondierenden Thread bei Avira aufgemacht, siehe hier.

Ach noch etwas: wer seinen Virenscanner im Falle eines Fundes auf "Löschen" eingestellt hat oder "Verschieben in Quarantäne": da wird dann das betroffene .exe am Montag zum Börsenstart nicht vom Taskplaner gefunden werden.

Also bitte über's WoEnde checken, damit Montag nichts anbrennt!

Hallo

Ich habe mit Avira getestet, wie man die betroffenen AutoIT .exe Files in die Ausnahme nehmen kann:

Auf meinen Testmaschinen werde ich es so machen, wie im anhängenden Bild (AutoIT Objekte mit einem * am Anfang, um generisch und unabhängig vom Pfad das Objekt auszuschliessen); man muss die Ausnahme Objekte zweimal eintragen: einmal unter Guard und nochmal unter Scanner/Suche.

Auf meiner Produktions-Maschine wird der Pfad aber voll-qualifiziert angegeben, damit sich nichts einschleichen kann (bisher habe ich keine, wie in anderen Threads berichtete, Performance Probleme mit einem Antiviren-Kit auf der Produktions-Maschine - und leiste mir daher den "Luxus" ) .

Denn gemäss dem Parallel-Thread bei Avira kann es ein paar Tage dauern, bis die Virendefinitionsdatei angepasst und geliefert wird.

Hallo Udo

Ich weiss nicht so recht. Ich gebe schon Geld aus, aber nicht immer ist es viel, was hilft.

Als ich dieses Fehl-Signal hatte, habe ich mich heute morgen in den einschlägigen Foren umgesehen. Und Probleme mit Fehlsignalen zu AutoIT haben alle Scanner schon gehabt. Immer aus den gleichen, von mir beschriebenen Gründen. Desswegen sind auf der AutoIT Web-Seite ja auch fast alle Hersteller in diesem Zusammenhang erwähnt.

Was würde ich mich erst über solche Fehlsignale ärgern, wenn ich den Service auch noch teuer gekauft hätte. So sage ich halt, ok, was soll's

Hallo Udo

Also ich bin bisher gut gefahren mit dem Avira Produkt; auch meine Vergleichstests mit anderen Produkten haben Avira's Scanner gut aussehen lassen. Natürlich gibt es weitere Schutzmassnahmen, aber das ist ja alles gar nicht der Sinn dieses Threads.

Warum sich Scanner schwer tun mit aus AutoIT Scripts generierten .exe dagegen schon. Ich habe momentan einen interessanten Schriftwechsel mit dem Hersteller des Avira Scanners. Und deren Erklärung (hier auszugsweise) in diesem Punkt ist leicht nachzuvollziehen:

Zitat

Das Problem ist die Kombination EXE + Script am Dateiende. Der EXE-Programmteil, der das Script ausführt sieht schon recht "verdächtig" aus. Er ist laufzeitgepackt (UPX) und hat einiges an API, die man oft in Malware findet. Das AutoIt-Script befindet sich angefügt am Dateiende und ist komprimiert und verschlüsselt. Es kann leider nicht wirklich gut zwischen gutartigen und bösartigen Scripten unterschieden werden, ohne die Scripte zu dekodieren und zu entpacken. Das kann aber praktisch fast kein Virenscanner - genau der Grund warum die Virenprogrammierer diese Script-Sprache für ihre Malware nehmen.

Und in diesem speziellen Fall, weil es gerade um sicherheitskritische Inhalte im Script geht, ist das decodieren des Scripts beim compilieren ausdrücklich verboten worden.

Es würde mich also nicht überraschen, wenn im Laufe der Zeit auch andere Scanner myTWSStart.exe als Malware anzeigen - und auf die Hintergründe in diesem Fall wollte ich mit diesem Thread hinweisen.