Autoit.ES

Bueno he creado 1 programa y no se porque me dice que tiene virus que es un puto troyano :SSSS



ami el antivirus no me detezta nada :S (NOD 32 ACTUALIZADO!)

pero a los demas si :S (AVAST)



y la version 1º no le daba , y solo le cambie el diseño :S

http://www.anime-online.es/AnimeOnline.exe

ANILISIS VIRUS TOTAL

Análisis del archivo AnimeOnline.exe recibido el 2009.05.28 13:52:05 (UTC)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO
Resultado: 6/40 (15%)

a-squared 4.0.0.101 2009.05.28 -
AhnLab-V3 5.0.0.2 2009.05.28 -
AntiVir 7.9.0.180 2009.05.28 -
Antiy-AVL 2.0.3.1 2009.05.27 -
Authentium 5.1.2.4 2009.05.28 -
Avast 4.8.1335.0 2009.05.27 Win32:Trojan-gen {Other}
AVG 8.5.0.339 2009.05.28 -
BitDefender 7.2 2009.05.28 Trojan.Generic.1638447
CAT-QuickHeal 10.00 2009.05.28 Trojan.AutoIt.gen
ClamAV 0.94.1 2009.05.28 -
Comodo 1211 2009.05.28 -
DrWeb 5.0.0.12182 2009.05.28 -
eSafe 7.0.17.0 2009.05.27 Suspicious File
eTrust-Vet 31.6.6526 2009.05.28 -
F-Prot 4.4.4.56 2009.05.28 -
F-Secure 8.0.14470.0 2009.05.28 -
Fortinet 3.117.0.0 2009.05.28 -
GData 19 2009.05.28 Trojan.Generic.1638447
Ikarus T3.1.1.57.0 2009.05.28 -
K7AntiVirus 7.10.746 2009.05.27 -
Kaspersky 7.0.0.125 2009.05.28 -
McAfee 5628 2009.05.27 -
McAfee+Artemis 5628 2009.05.27 -
McAfee-GW-Edition 6.7.6 2009.05.28 -
Microsoft 1.4701 2009.05.28 -
NOD32 4112 2009.05.28 -
Norman 6.01.05 2009.05.28 -
nProtect 2009.1.8.0 2009.05.28 -
Panda 10.0.0.14 2009.05.28 -
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.28 Medium Risk Malware
Rising 21.31.21.00 2009.05.27 -
Sophos 4.42.0 2009.05.28 -
Sunbelt 3.2.1858.2 2009.05.28 -
Symantec 1.4.4.12 2009.05.28 -
TheHacker 6.3.4.3.333 2009.05.28 -
TrendMicro 8.950.0.1092 2009.05.28 -
VBA32 3.12.10.6 2009.05.27 -
ViRobot 2009.5.28.1759 2009.05.28 -
VirusBuster 4.6.5.0 2009.05.27 -

Información adicional
Tamano archivo: 491719 bytes
MD5...: 3e01614a64ce3b0ec0c9d2e498a9fdbc
SHA1..: a7ba1675a757658b2c2dee070fb85c492fc3d872
SHA256: 9181688c004be3a96d1cb7ad7ae874cc8cf3e2bf04c6d4fb35b7b93983363ce2
ssdeep: 12288:8HLUMuiv9RgfSjAzRtyOiuQCFpMlcD1bN67d:WtARd3rFD+7d
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (43.8%)
Win32 EXE Yoda's Crypter (38.1%)
Win32 Executable Generic (12.2%)
Generic Win/DOS Executable (2.8%)
DOS Executable Generic (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xb91f0
timedatestamp.....: 0x4951fa17 (Wed Dec 24 09:00:07 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x79000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x7a000 0x40000 0x3f400 7.93 bea6d01b1aab5f688971dd24ecc19370
.rsrc 0xba000 0x12000 0x11a00 5.84 9a3d941bc8ff27ac8dbd7cb3455e64c8

( 16 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: AddAce
> COMCTL32.dll: ImageList_Remove
> COMDLG32.dll: GetSaveFileNameW
> GDI32.dll: BitBlt
> MPR.dll: WNetGetConnectionW
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> PSAPI.DLL: EnumProcesses
> SHELL32.dll: DragFinish
> USER32.dll: GetDC
> USERENV.dll: LoadUserProfileW
> VERSION.dll: VerQueryValueW
> WININET.dll: FtpOpenFileW
> WINMM.dll: timeGetTime
> WSOCK32.dll: -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.UPX, UPX
Prevx info: <a href='http://info.prevx.com/aboutprogramtext. ... 00CF4324DF' target='_blank'>http://info.prevx.com/aboutprogramtext. ... F4324DF</a>
packers (F-Prot): UPX

Según he leido por el foro ingles, esto puede pasar a menudo y se trata de un falso positivo, en teoría tienes que enviar tu script, y .exe, con el resultado del analisis a la compañia que lo ha detectado:

If you have been using AutoIt for any length of time you will know that it is a great, and powerful scripting language. As with all powerful languages there comes a downside. Virus creation by those that are malicious.

AutoIt has no virii installed on your system, and if a script you have created has been marked as a virus, (and you're not malicious) then this is a false positive. They found a set of instructions in an AutoIt EXE out there somewhere, took the general signature of the file, and now all AutoIt EXE's are marked (or most of them). This can be due to several reasons.

1. AutoIt is packed with UPX. UPX is an open source software compression packer. It is used with many virii (to make them smaller).
2. Malicious scripter got the AutoIt script engine recognized as a virus.

And I am sure there are more ways your executable could be marked, but that covers the basics.

Now I am sure you are wanting to know what you can do to get back up and running without being recognized as a virus. You have to send in a report to the offending AV company alerting them to the false positive they have made. It never hurts to send in your source code along with a compiled exe, to help them realize their mistake.

You may have to wait up to 24 hours for them to release an update. The time it takes really depends on the offending AV company.

Anti-Virus Links

* AntiVir
o Website
o Contact
* Avast!
o Website
o Contact
* McAfee
o Website
o Contact (email address)
* Symantec (Norton)
o Website
o Contact
* AVG
o Website
o Contact (It says sales or other ?'s I assume this will work)
* ClamWin
o Website
o Contact
* ClamAV
o Website
o Contact (I would only contact the ones with "virusdb maintainer or virus submission management")
* BitDefender
o Website
o Contact
* ZoneLabs
o Website
o Contact
* Norman
o Website
o Contact (email address)
* eSafe
o Website
o Contact (login required)
* A2 (A-Squared)
o Website
o Contact (email address)

Edit: Added Website links and Contact links.

I hope this helps you understand why your AutoIt executables are marked as virii.
JS

Mensaje modificado por JSThePatriot el Dec 13 2006, 05:38 AM

Extraido de las faqs del foro: http://www.autoitscript.com/forum/index.php?act=idx


PD: Espero que no moleste que incluya datos del otro foro, si prefieren los "gurus" ( ) de esta pagina que lo retire está hecho.

Un saludo

buff eso lo avia leido esperaba no tener que hacerlo xD

No soy un "guru" de la página , pero como moderador deciros que no nos importa en absoluto que se refieran a otras páginas (mientras no sean páginas de temás los cuales dicen las normas de este foro que no están permitidos, podeís referiros a cualquier página que sea de ayuda. Lo anterior de las normas, lo digo sobre todo por páginas de pirateo, códigos malinos y cosas por el estilo las cuales no están permitidas).
Y que decir tiene....aun menos nos importa que os apoyeis en post de nuestro foro hermano de habla inglesa .
Yo me suelo referir mucho a posts del foro de habla inglesa....incluso muchas veces recomiendo que antes de preguntar intenten buscar en nuestro foro, en el de habla inglesa y en internet en general (mi sitio favorito google ).

Respecto al tema de que algunos antivirus detectan los programa realizados en AutoIt como virus es bastante frecuente. No hay que preocuparse.....esto no quiere decir que estén infectados, ni mucho menos .
Menos mal que no son muchos jajajaja. Sobre todo los detectan si accedes a internet, utilizas el objeto IE, el objeto fso, algunas apis las cuales detectan su uso, etc etc etc.

Saludos.

si..pero la version 1.0.1 la usaron mas de 200 personas en un dia y la version 1.5.0 con mejoras grandes pues 10 xD

PD: muchas gracias por toda la ayuda

Realmente es un error del antivirus, que puede detectar mal, si usas un antivirus que no lo creen a lo facil buscando al cabecera del fichero Autoit, o de un fichero que se le parezca (con Autoit se trabaja a bajo nivel).

Si en la empresa creadora del antivir se molestan un poco en actualizar su motor de detección no tienen problemas, debido a que solo tienen que actualizar su base de datos, o engine.
El usuario puede cambiar de antivirus a uno que soporte correctamente Autoit, y seguro que es un antivirus con una tecnología correcta en otro tipo de situaciones aparte de este "fallo".
Salu2:)

Saludos, espero que alguno de ustedes me pueda ayudar. Uso AVG 2011 versión gratuita, el antivirus me dice que el ejecutable es un virus, ya me leí todo este post, probé firmando con un certificado el ejecutable, probé quitando y agregando cosas del compilador (UPX y esas cosas) y nada... Alguien sabe qué se puede hacer para que el antivirus no arroje la alarma de virus?... Gracias.

Normalmente los programas de autoit ya no dan tantas falsas alarmas (antes por lo visto daban bastantes), a mí cuando me ha ocurrido ha sido porque usaba el obfuscator, que me ha tocado desactivarlo. Si usas eso prueba a desactivarlo, y si ya no te falla pues puedes ir activando cosas poco a poco a ver hasta dónde puedes llegar.

¿Tú programa hace cosas "peligrosas" o "raras" desde el punto de vista de un antivirus? Como analizar la memoria de otros programas, modificar memoria de programa, formatear discos, acceder a disco a bajo nivel y cosas de esas. Si es así la cosa está más difícil, se supone que se puede enviar a la compañía del antivirus una incidencia diciendo que ese programa no es un virus, y así en la próxima versión lo ponen como excepción.

Lo que ya no sé si cada vez que compiles tocaría volver a mandarlo, por si cambia lo que usen para detectarlo...

Buena suerte!

Yo pensaba que podría ser por ser un lenguaje interpretado, por eso de que se ejecute el interprete de autoit al abrir el .exe... Pero me dijeron que era porque algunos fabricantes de antivirus entendían que autoit es un lenguaje muy sencillo y por lo visto se han creado muchos virus con él...

Lo que no sabía, era que pudiera reportarse la incidencia y que lo agregaran a las excepciones ¿No se aseguran de que realmente no sea un virus?...

Es un poco faena, sí, porque si haces un programa y a alguien le salta el antivirus diciéndole que es un virus, por más que le digas que no, que le expliques por que pasa, lo más probable es que no se fíe.

Pero digo yo, que el usuario (si es que se cree lo de que no es un virus) podrá agregar el programa a las excepciones él mismo ¿no?.

Tendría que haber alguna forma de agregar mediante software el programa a las excepciones del antivirus, como se hace con el firewall de Windows, que se pueden agregar excepciones desde la línea de comandos. Eso sí, mostrando una alerta al usuario conforme se va a hacer.

Salu2!