Eigentlich war es keine wirkliche Überraschung, als mich am Montag, den 03.02.2014 mein Webspace-Provider All-inkl.com per E-Mail darüber informierte, das ein Virus in einer Datei des Blogs erkannt und entfernt worden ist. Getroffen hat es den Download vom Beitrag Windows: Rettungs-CD für Drive Snapshot v2.0.

Es ist ein etwas leidiges Thema, das immer mal wieder und von unterschiedlichen Virenscannern zu Exe-Dateien kompilierte AutoIt-Skripte als möglicher Schädling erkannt werden. Das Thema False-positive hatten wir ja schließlich schon mal beim Download vom Beitrag Portable RealVNC Server (siehe die dortigen Kommentare).

Ein Teil dieses Rätsels dürfte zum einen der Umstand sein, das AutoIt nicht nur von den Guten sondern auch von den Bösen verwendet wird, als auch das der Exe-Compiler per Standard UPX (siehe dazu auch Wikipedia) als Packer verwendet. Gerade letztgenanntes sorgt (IMHO) nahezu regelmäßig für Probleme mit Schutzprogrammen.

Grund genug also mal zu testen, was machbar ist um die Situation zu verbessern. Zum Testen wurden die gleichen AutoIt-Skripte verwendet, wie Sie im als False-positive gelöschten Archiv als Exe-Dateien vorhanden waren. Um mit möglichst vielen Virenscannern einen Vergleich anstellen zu können wird VirusTotal.com verwendet.

Der Ausgangszustand

Zu Beginn der Testreihe wurden die Dateien gescannt, wie Sie zuvor automatisch aus dem Blog gelöscht wurden.

Ergebnis von “ds-update_x86.exe” am 07.02.2014:VirusTotal.com - ds-update_x86.exe - Ausgangszustand

Details bei VirusTotal.com

Ergebnis von “ds-update_amd64.exe” am 07.02.2014:VirusTotal.com - ds-update_amd64.exe - Ausgangszustand

Details bei VirusTotal.com

Auch wenn man auf den Screenshots nur einen Teil der Ergebnisse erkennen kann, so wird schnell klar, das es mehrere Treffer gibt und damit das Risiko, das die Dateien gefiltert, geblockt oder gelöscht werden relativ hoch ist.

Der erste Versuch

Da die Exe-Dateien als Kommandozeilen-Tools dienen und UPX nicht zum Einsatz kommen soll, muss bei neueren AutoIt- respektive Aut2Exe-Versionen die Eingabeaufforderung verwendet werden:

Aut2Exe.exe /in ds-update_x86.au3 /nopack /console

Relevant ist der Parameter “/nopack” um UPX zu umgehen.

Aut2Exe – Command Line

Ergebnis von “ds-update_x86.exe” ohne UPX vom 07.02.2013:

VirusTotal.com - ds-update_x86.exe ohne UPXDetails auf VirusTotal.com

Ergebnis von “ds-update_amd64.exe” ohne UPX vom 07.02.2014:VirusTotal.com - ds-update_amd64.exe ohne UPX

Details auf VirusTotal.com

Wie man erkennen kann, hat es geholfen, sowohl eine neuere AutoIt-Version einzusetzen, als auch auf UPX zu verzichten. Zwar erreicht man bei der 32-bit Version (x86) keine Null-Treffer, aber besser als zuvor ist es auf jeden Fall.

Ein weiterer Test zusätzlich mit dem Paramter “/comp 0” ändert leider nichts am Ergebnis bei 32-bit.

Ähnliche Artikel:

  1. Windows Server: Was der Virenscanner nicht scannen sollte
  2. AutoIt: Aut2Exe – Versionsunterschiede
  3. Bislang unbekannter BKA/GVU-Trojaner (oder was davon noch über war)
  4. Seucrepoint UTM und Virenscanner hinter dem Proxy
  5. AutoIt – On-Off-Line