Eigentlich war es keine wirkliche Überraschung, als mich am Montag, den 03.02.2014 mein Webspace-Provider All-inkl.com per E-Mail darüber informierte, das ein Virus in einer Datei des Blogs erkannt und entfernt worden ist. Getroffen hat es den Download vom Beitrag Windows: Rettungs-CD für Drive Snapshot v2.0.
Es ist ein etwas leidiges Thema, das immer mal wieder und von unterschiedlichen Virenscannern zu Exe-Dateien kompilierte AutoIt-Skripte als möglicher Schädling erkannt werden. Das Thema False-positive hatten wir ja schließlich schon mal beim Download vom Beitrag Portable RealVNC Server (siehe die dortigen Kommentare).
Ein Teil dieses Rätsels dürfte zum einen der Umstand sein, das AutoIt nicht nur von den Guten sondern auch von den Bösen verwendet wird, als auch das der Exe-Compiler per Standard UPX (siehe dazu auch Wikipedia) als Packer verwendet. Gerade letztgenanntes sorgt (IMHO) nahezu regelmäßig für Probleme mit Schutzprogrammen.
Grund genug also mal zu testen, was machbar ist um die Situation zu verbessern. Zum Testen wurden die gleichen AutoIt-Skripte verwendet, wie Sie im als False-positive gelöschten Archiv als Exe-Dateien vorhanden waren. Um mit möglichst vielen Virenscannern einen Vergleich anstellen zu können wird VirusTotal.com verwendet.
Der Ausgangszustand
Zu Beginn der Testreihe wurden die Dateien gescannt, wie Sie zuvor automatisch aus dem Blog gelöscht wurden.
Ergebnis von “ds-update_x86.exe” am 07.02.2014:
Ergebnis von “ds-update_amd64.exe” am 07.02.2014:
Auch wenn man auf den Screenshots nur einen Teil der Ergebnisse erkennen kann, so wird schnell klar, das es mehrere Treffer gibt und damit das Risiko, das die Dateien gefiltert, geblockt oder gelöscht werden relativ hoch ist.
Der erste Versuch
Da die Exe-Dateien als Kommandozeilen-Tools dienen und UPX nicht zum Einsatz kommen soll, muss bei neueren AutoIt- respektive Aut2Exe-Versionen die Eingabeaufforderung verwendet werden:
Aut2Exe.exe /in ds-update_x86.au3 /nopack /console
Relevant ist der Parameter “/nopack” um UPX zu umgehen.
Ergebnis von “ds-update_x86.exe” ohne UPX vom 07.02.2013:
Ergebnis von “ds-update_amd64.exe” ohne UPX vom 07.02.2014:
Wie man erkennen kann, hat es geholfen, sowohl eine neuere AutoIt-Version einzusetzen, als auch auf UPX zu verzichten. Zwar erreicht man bei der 32-bit Version (x86) keine Null-Treffer, aber besser als zuvor ist es auf jeden Fall.
Ein weiterer Test zusätzlich mit dem Paramter “/comp 0” ändert leider nichts am Ergebnis bei 32-bit.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
0 Kommentare
2 Pingbacks