-
Я крут -- BackDoor написал.
В последние дни я потихоньку занимаюсь вопросом автоматической настройки компов для работы в сети. Накропал батник для настройки локалки. С помощью утилиток из Windows Server 2003 создал exe для настройки VPN. Дошла очередь до скрипта для настройки Outlook Express.
Для решения этой задачи я решил использовать AutoIt. Написал простенький скриптик:
Код:
WinMinimizeAll ( )
Run( @ProgramFilesDir & '\Internet Explorer\Connection Wizard\inetwiz.exe' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Установка подключения к Интернету', '1' )
Send ( '{DOWN}{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Параметры Интернета для локальной сети', '1' )
Send ( '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Настройте учётную запись почты Интернета', '1' )
Send ( '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Учётная запись почты Интернета', '1' )
Send ( '{UP}{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Введите имя', '5' )
Send ( 'Василий Пупкин' & '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Адресс электронной почты Интернета', '1' )
Send ( '[email protected]' & '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Серверы электронной почты', '1' )
Send ( 'pop3.itkm.ru' & '{TAB}' & 'smtp.itkm.ru' & '{Enter}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Вход в почту интернета' , '1' )
Send ( '{Enter}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Завершение настройки', '1' )
Send ( '{Enter}' )
Exit
Как видите -- всё просто и ясно.
Погонял я этот скрипт на своих компах -- всё нормально. Забегая вперёд, скажу, что KAV на этот скрипт и не подумал ругаться.
Откомпилировал скрипт в экзешник -- тоже всё в порядке: екзешник работает, KAV молчит.
Вечером я отослал этот экзешник коллеге. Что бы посмотрел и заценил. И тут он мне по аске пишет, что его DrWEB орёт на этот экзешник. Дескать -- BackDoor.IRC.FFbot
Ну, я сразу закинул этот файлик на Virustotal. И вот результат:
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.16 no virus found
AntiVir 7.4.0.42 2007.07.16 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.16 no virus found
AVG 7.5.0.476 2007.07.16 no virus found
BitDefender 7.2 2007.07.16 no virus found
CAT-QuickHeal 9.00 2007.07.16 no virus found
ClamAV devel-20070416 2007.07.16 no virus found
DrWeb 4.33 2007.07.16 BackDoor.IRC.FFbot
eSafe 7.0.15.0 2007.07.16 suspicious Trojan/Worm
eTrust-Vet 30.8.3787 2007.07.16 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.16 no virus found
Fortinet 2.91.0.0 2007.07.16 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.16 no virus found
Kaspersky 4.0.2.24 2007.07.16 no virus found
McAfee 5075 2007.07.16 no virus found
Microsoft 1.2704 2007.07.16 no virus found
NOD32v2 2400 2007.07.16 no virus found
Norman 5.80.02 2007.07.16 no virus found
Panda 9.0.0.4 2007.07.16 no virus found
Sophos 4.19.0 2007.07.16 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.16 no virus found
TheHacker 6.1.6.147 2007.07.16 no virus found
VBA32 3.12.0.2 2007.07.16 Trojan.Win32.Autoit.ao
VirusBuster 4.3.23:9 2007.07.16 no virus found
Webwasher-Gateway 6.0.1 2007.07.16 Worm.Win32.ModifiedUPX.gen!90 (suspicious)
Aditional information
File size: 207795 bytes
MD5: 08e99d0d059aa8fc31d8b21c5453a103
SHA1: 1d3c34f90c0c36d53b3ac60e406075c62174a442
packers: UPX
VBA32 особенно порадовал. Так прям и пишет -- троян, дескать, из тех что AutoIt.
И что теперь делать? Пока что я решил письмо намылить в DrWEB. Ведь по сути это ложняк. Программка моя ничего вредоносного не делает. Она штатными виндовыми средствами создаёт учётную запись в ОЕ. Причём характер её работы таков, что она просто за юзера по клавишам клавиатуры долбит. И имеет видимые окна.
У кого какие комментарии?
P. S. Если кому-нибудь нужен этот exe, то говорите -- вышлю.
Наше дело правое--победа будет за нами!!!
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Советую забить и всё. Ты же не будешь выкладывать этот батник в сеть для общего пользования?
-
-
Сообщение от
Maxim
Советую забить и всё. Ты же не будешь выкладывать этот батник в сеть для общего пользования?
Это не батник, это экзешник.
Вот именно, что буду! У меня вообще был замысел, чтобы, значит, при подключения нового юзера к нашей сети, ему вместе с распечаткой давали и CD с автораном и с этими файликами автоматической настройки компа. В смысле -- чтобы не ходить и не настраивать ему комп ручками. Такое, понимаешь, рационализаторское предложение хотел внедрить.
Теперь, как я понимаю, пока с DrWEB ситация не исправиться про это можно забыть. А то по городу сразу слух пойдёт, что провайдер бэкдоры впаривает.
И смех, и грех...
Наше дело правое--победа будет за нами!!!
-
-
Сообщение от
Палыч
Вот именно, что буду!
Я думал это для личного пользования. Я если просто сделать *.bat без компиляции в *.exe?
-
-
Junior Member
- Вес репутации
- 62
Протектор\упаковщик?
Раз это exe, то почему бы не попробовать запаковать или запротектить его? К примеру, тот же OriEn Dr. Web'jм не определяется. Хлопот это много не доставит.
Добавлено через 33 секунды
Orien - это протектор такой
Последний раз редактировалось Add-Aware; 17.07.2007 в 07:17.
Причина: Добавлено сообщение
-
Нет, это не выход. Сегодня не определяется, завтра всё, что под этим пртектором, начнёт детектироваться как Trojan.Generic. И так по кругу.
-
-
Junior Member
- Вес репутации
- 62
Нет, это не выход. Сегодня не определяется, завтра всё, что под этим пртектором, начнёт детектироваться как Trojan.Generic. И так по кругу.
Предложения? Это единственный возможный удобный (на мой взгляд ) вариант. У Orien очень сильная шифровка, так что Dr.Web врядли будет определять сжатую им программу как malware.
-
Pig прав Будут детектить просто как generic и даже не вникая в суть, пока не научиться распаковывать.
Может аналогом каким,вместо AutoIt,попробовать? А почему нельзя батником оставить?
-
-
Мне более интересно, почему нельзя написать в лаб и попросить исправить сигнатуру. Детект-то не эвристический.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Сообщение от
drongo
А почему нельзя батником оставить?
Потому что тогда юзеру надо будет AutoIt устанавливать. Это же не традиционный bat-файл. Это файл в формате этой самой программы AutoIt, у него расширение .au3. Тоесть, у AutoIt свой оригинальный скриптовый язык, как, например, у AVZ.
Устанавливать программу только для того чтобы прописать в системе сетвые настройки?... Как-то это не рационально...
Да и потом, юзер, который может установить программу, сможет и вручную настройки прописать. И тогда зачем ему AutoIt и эти скрипты?
Кстати, компиляция из скрипта в *.exe осуществляется компилятором, который входит в состав программного пакета AutoIt. То есть компилятор свой, набортный.
Наше дело правое--победа будет за нами!!!
-
-
Палыч, можно ли то же самое сделать на Visual Basic?
-
-
Сообщение от
DVi
Палыч, можно ли то же самое сделать на Visual Basic?
Не знаю. Ещё не смотрел в эту сторону.
Я сначала подожду ответа из DrWEB. А там видно будет.
Наше дело правое--победа будет за нами!!!
-
-
Мне этот код очень напомнил скрипт на VB. Думаю, переделать его нетрудно.
-
-
Junior Member
- Вес репутации
- 62
Палыч, а можно мне эту .exe на почту? Уж больно хотца посмотреть Заранее благодарен!
Добавлено через 2 минуты
Прошу прощения, e-mail: add-minпсинкаmailпиксельru
Последний раз редактировалось Палыч; 17.07.2007 в 14:12.
Причина: Добавлено сообщение
-
Сообщение от
Add-Aware
Палыч, а можно мне эту .exe на почту?
Отправил. Смотри от integral85
Наше дело правое--победа будет за нами!!!
-
-
Junior Member
- Вес репутации
- 62
Ну не знаю, как там Trojan.Other, но после упаковки с помощью Orien
проверка Dr. Web'ом с последними базами (на сайте) показала, что всё
чисто Притом, что Orien уже определяется Dr. Web как упаковщик. Использовался Orien'овский загрузчик.
Последний раз редактировалось ALEX(XX); 17.07.2007 в 15:00.
-
-
-
Junior Member
- Вес репутации
- 62
Сейчас посмотрим...
Заволновались:
Ikarus - Trojan-Downloader.Win32.Banload.ase
CAT-QuickHeal - (Suspicious) - DNAScan
eSafe - suspicious Trojan/Worm
Неугомонный VBA32 - suspected of Backdoor.Hupigon.8 (paranoid heuristics)
Webwasher-Gateway - Win32.Malware.gen (suspicious)
Sunbelt - VIPRE.Suspicious
Но, ввиду их нераспространённости в России, я думаю, на них можно закрыть глаза В конце концов, несколько вендоров ругались даже на мою совершенно безобидную программу на KOL (которая вообще была простым окошечком ).
-
На месте авторов AutoIt я бы попробовал подать в суд =)
-
Сообщение от
Xen
На месте авторов AutoIt я бы попробовал подать в суд =)
Бесполезно, т.к. детектируется не сам AutoIt, а его производные, к которым авторы AutoIt не имеют никакого отношения.
-