# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  > Ложные срабатывания  >  Я крут --  BackDoor написал.

## Палыч

В последние дни я потихоньку занимаюсь вопросом автоматической настройки компов для работы в сети. Накропал батник для настройки локалки. С помощью утилиток из Windows Server 2003 создал exe для настройки VPN. Дошла очередь до скрипта для настройки Outlook Express.

Для решения этой задачи я решил использовать AutoIt. Написал простенький скриптик:


```
WinMinimizeAll ( )
Run( @ProgramFilesDir & '\Internet Explorer\Connection Wizard\inetwiz.exe' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Установка подключения к Интернету', '1' )
Send ( '{DOWN}{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Параметры Интернета для локальной сети', '1' )
Send ( '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Настройте учётную запись почты Интернета', '1' )
Send ( '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Учётная запись почты Интернета', '1' )
Send ( '{UP}{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Введите имя', '5' )
Send ( 'Василий Пупкин' & '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Адресс электронной почты Интернета', '1' )
Send ( '[email protected]' & '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Серверы электронной почты', '1' )
Send ( 'pop3.itkm.ru' & '{TAB}' & 'smtp.itkm.ru' & '{Enter}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Вход в почту интернета' , '1' )
Send ( '{Enter}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Завершение настройки', '1' )
Send ( '{Enter}' )
Exit
```

Как видите -- всё просто и ясно.
Погонял я этот скрипт на своих компах -- всё нормально. Забегая вперёд, скажу, что KAV на этот скрипт и не подумал ругаться. 
Откомпилировал скрипт в экзешник -- тоже всё в порядке: екзешник работает, KAV молчит.

Вечером я отослал этот экзешник коллеге. Что бы посмотрел и заценил. И тут он мне по аске пишет, что его DrWEB орёт на этот экзешник. Дескать -- BackDoor.IRC.FFbot
Ну, я сразу закинул этот файлик на Virustotal. И вот результат:

Antivirus Version Last Update Result 
AhnLab-V3 2007.7.14.0 2007.07.16 no virus found 
AntiVir 7.4.0.42 2007.07.16 no virus found 
Authentium 4.93.8 2007.07.13 no virus found 
Avast 4.7.997.0 2007.07.16 no virus found 
AVG 7.5.0.476 2007.07.16 no virus found 
BitDefender 7.2 2007.07.16 no virus found 
CAT-QuickHeal 9.00 2007.07.16 no virus found 
ClamAV devel-20070416 2007.07.16 no virus found 
DrWeb 4.33 2007.07.16 BackDoor.IRC.FFbot 
eSafe 7.0.15.0 2007.07.16 suspicious Trojan/Worm 
eTrust-Vet 30.8.3787 2007.07.16 no virus found 
Ewido 4.0 2007.07.14 no virus found 
FileAdvisor 1 2007.07.16 no virus found 
Fortinet 2.91.0.0 2007.07.16 no virus found 
F-Prot 4.3.2.48 2007.07.13 no virus found 
Ikarus T3.1.1.8 2007.07.16 no virus found 
Kaspersky 4.0.2.24 2007.07.16 no virus found 
McAfee 5075 2007.07.16 no virus found 
Microsoft 1.2704 2007.07.16 no virus found 
NOD32v2 2400 2007.07.16 no virus found 
Norman 5.80.02 2007.07.16 no virus found 
Panda 9.0.0.4 2007.07.16 no virus found 
Sophos 4.19.0 2007.07.16 no virus found 
Sunbelt 2.2.907.0 2007.07.14 no virus found 
Symantec 10 2007.07.16 no virus found 
TheHacker 6.1.6.147 2007.07.16 no virus found 
VBA32 3.12.0.2 2007.07.16 Trojan.Win32.Autoit.ao 
VirusBuster 4.3.23:9 2007.07.16 no virus found 
Webwasher-Gateway 6.0.1 2007.07.16 Worm.Win32.ModifiedUPX.gen!90 (suspicious) 
Aditional information 
File size: 207795 bytes 
MD5: 08e99d0d059aa8fc31d8b21c5453a103 
SHA1: 1d3c34f90c0c36d53b3ac60e406075c62174a442 
packers: UPX 


VBA32 особенно порадовал. Так прям и пишет -- троян, дескать, из тех что AutoIt.

И что теперь делать? Пока что я решил письмо намылить в DrWEB. Ведь по сути это ложняк. Программка моя ничего вредоносного не делает. Она штатными виндовыми средствами создаёт учётную запись в ОЕ. Причём характер её работы таков, что она просто за юзера по клавишам клавиатуры долбит. И имеет видимые окна.

У кого какие комментарии?

P. S. Если кому-нибудь нужен этот exe, то говорите -- вышлю.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Макcим

Советую забить и всё. Ты же не будешь выкладывать этот батник в сеть для общего пользования?

----------


## Палыч

> Советую забить и всё. Ты же не будешь выкладывать этот батник в сеть для общего пользования?


Это не батник, это экзешник.
Вот именно, что буду! У меня вообще был замысел, чтобы, значит, при подключения нового юзера к нашей сети, ему вместе с распечаткой давали и CD с автораном и с этими файликами автоматической настройки компа. В смысле -- чтобы не ходить и не настраивать ему комп ручками. Такое, понимаешь, рационализаторское предложение хотел внедрить. 
Теперь, как я понимаю, пока с DrWEB ситация не исправиться про это можно забыть. А то по городу сразу слух пойдёт, что провайдер бэкдоры впаривает. 
 И смех, и грех...

----------


## Макcим

> Вот именно, что буду!


Я думал это для личного пользования. Я если просто сделать *.bat без компиляции в *.exe?

----------


## Add-Aware

Раз это exe, то почему бы не попробовать запаковать или запротектить его? К примеру, тот же OriEn Dr. Web'jм не определяется. Хлопот это много не доставит.

*Добавлено через 33 секунды*
Orien - это протектор такой  :Smiley:

----------


## pig

Нет, это не выход. Сегодня не определяется, завтра всё, что под этим пртектором, начнёт детектироваться как Trojan.Generic. И так по кругу.

----------


## Add-Aware

> Нет, это не выход. Сегодня не определяется, завтра всё, что под этим пртектором, начнёт детектироваться как Trojan.Generic. И так по кругу.


Предложения? Это единственный возможный удобный (на мой взгляд  :Smiley: ) вариант. У Orien очень сильная шифровка, так что Dr.Web врядли будет определять сжатую им программу как malware.

----------


## drongo

Pig прав  :Wink:  Будут детектить просто как generic и  даже не вникая в суть, пока не научиться распаковывать.
Может аналогом каким,вместо AutoIt,попробовать? А почему нельзя батником оставить?

----------


## NickGolovko

Мне более интересно, почему нельзя написать в лаб и попросить исправить сигнатуру. Детект-то не эвристический.  :Smiley:

----------


## Палыч

> А почему нельзя батником оставить?


Потому что тогда юзеру надо будет AutoIt устанавливать. Это же не традиционный bat-файл. Это файл в формате этой самой  программы AutoIt, у него расширение .au3. Тоесть, у AutoIt свой оригинальный скриптовый язык, как, например, у AVZ.

Устанавливать программу только для того чтобы прописать в системе сетвые настройки?... Как-то это не рационально...

Да и потом, юзер, который может установить программу, сможет и вручную настройки прописать. И тогда зачем ему AutoIt и эти скрипты?

Кстати, компиляция из скрипта в *.exe осуществляется  компилятором, который входит в состав программного пакета AutoIt. То есть компилятор свой, набортный.

----------


## DVi

*Палыч*, можно ли то же самое сделать на Visual Basic?

----------


## Палыч

> Палыч, можно ли то же самое сделать на Visual Basic?


Не знаю. Ещё не смотрел в эту сторону. 
Я сначала подожду ответа из DrWEB. А там видно будет.

----------


## DVi

Мне этот код очень напомнил скрипт на VB. Думаю, переделать его нетрудно.

----------


## Add-Aware

*Палыч*, а можно мне эту .exe на почту?  :Smiley:  Уж больно хотца посмотреть  :Smiley:  Заранее благодарен!

*Добавлено через 2 минуты*
Прошу прощения, e-mail: add-minпсинкаmailпиксельru

----------


## Палыч

> Палыч, а можно мне эту .exe на почту?


Отправил. Смотри от integral85

----------


## Add-Aware

Ну не знаю, как там Trojan.Other, но после упаковки с помощью Orien
проверка Dr. Web'ом  с последними базами (на сайте) показала, что всё
чисто  :Smiley:  Притом, что Orien уже определяется Dr. Web как упаковщик. Использовался Orien'овский загрузчик.

----------


## Макcим

А как другие вендоры?

----------


## Add-Aware

Сейчас посмотрим...

Заволновались:
Ikarus - Trojan-Downloader.Win32.Banload.ase
CAT-QuickHeal - (Suspicious) - DNAScan
eSafe - suspicious Trojan/Worm
Неугомонный VBA32 - suspected of Backdoor.Hupigon.8 (paranoid heuristics)
Webwasher-Gateway - Win32.Malware.gen (suspicious)
Sunbelt	- VIPRE.Suspicious

Но, ввиду их нераспространённости в России, я думаю, на них можно закрыть глаза  :Smiley:  В конце концов, несколько вендоров ругались даже на мою совершенно безобидную программу на KOL (которая вообще была простым окошечком  :Smiley:  ).

----------


## Xen

На месте авторов AutoIt я бы попробовал подать в суд =)

----------


## DVi

> На месте авторов AutoIt я бы попробовал подать в суд =)


Бесполезно, т.к. детектируется не сам AutoIt,  а его производные, к которым авторы AutoIt не имеют никакого отношения.

----------


## Add-Aware

А эти производные как раз таки детектируются "за дело", так что не удастся, думаю, даже отписать о ложных срабатываниях  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Палыч

Логическое завершение этой истории:



> Уважаемый Олег Павлов,
> 
> Ваш запрос был проанализирован. Комментарии к Вашему запросу:
> Обновите базы - это ложное срабатывание исправлено еще во вторник.
> 
> 
> Спасибо за сотрудничество.
> 
> -- 
> ...

----------


## V_Bond

AhnLab-V3	2007.8.9.2	2007.08.09	-
*AntiVir	7.4.0.57	2007.08.09	HTML/Exploit.Mhtml*
Authentium	4.93.8	2007.08.08	-
Avast	4.7.1029.0	2007.08.09	-
AVG	7.5.0.476	2007.08.08	-
BitDefender	7.2	2007.08.09	-
CAT-QuickHeal	9.00	2007.08.09	-
ClamAV	0.91	2007.08.09	-
DrWeb	4.33	2007.08.09	-
eSafe	7.0.15.0	2007.07.31	-
eTrust-Vet	31.1.5045	2007.08.09	-
Ewido	4.0	2007.08.08	-
FileAdvisor	1	2007.08.09	-
Fortinet	2.91.0.0	2007.08.09	-
F-Prot	4.3.2.48	2007.08.08	-
*F-Secure	6.70.13030.0	2007.08.09	Exploit.HTML.Mh*t
Ikarus	T3.1.1.12	2007.08.09	-
*Kaspersky	4.0.2.24	2007.08.09	Exploit.HTML.Mht*
*McAfee	5094	2007.08.09	Exploit-MhtRedir.gen*
Microsoft	1.2704	2007.08.09	-
NOD32v2	2447	2007.08.09	-
Norman	5.80.02	2007.08.08	-
Panda	9.0.0.4	2007.08.09	-
Prevx1	V2	2007.08.09	-
Rising	19.35.33.00	2007.08.09	-
Sophos	4.19.0	2007.08.01	-
Sunbelt	2.2.907.0	2007.08.09	-
*Symantec	10	2007.08.09	Bloodhound.Exploit.6*
TheHacker	6.1.7.166	2007.08.09	-
VBA32	3.12.2.2	2007.08.09	-
VirusBuster	4.3.26:9	2007.08.09	-
*Webwasher-Gateway	6.0.1	2007.08.09	Script.Exploit.Mhtml*

вот так ... а я просто писал в блокноте .... скрипт авз ...

----------


## drongo

*V_Bond*, это *не* из-за авз  :Wink:  а вот из -за гадости  на картинке, которую нужно фиксить  :Wink:

----------


## V_Bond

> вот так ... а я просто писал в блокноте .... скрипт авз ...


  -это выражение так сказать ....  собирательное...  :Wink:

----------

