Палыч
16.07.2007, 23:49
В последние дни я потихоньку занимаюсь вопросом автоматической настройки компов для работы в сети. Накропал батник для настройки локалки. С помощью утилиток из Windows Server 2003 создал exe для настройки VPN. Дошла очередь до скрипта для настройки Outlook Express.
Для решения этой задачи я решил использовать AutoIt. Написал простенький скриптик:
WinMinimizeAll ( )
Run( @ProgramFilesDir & '\Internet Explorer\Connection Wizard\inetwiz.exe' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Установка подключения к Интернету', '1' )
Send ( '{DOWN}{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Параметры Интернета для локальной сети', '1' )
Send ( '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Настройте учётную запись почты Интернета', '1' )
Send ( '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Учётная запись почты Интернета', '1' )
Send ( '{UP}{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Введите имя', '5' )
Send ( 'Василий Пупкин' & '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Адресс электронной почты Интернета', '1' )
Send ( '[email protected]' & '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Серверы электронной почты', '1' )
Send ( 'pop3.itkm.ru' & '{TAB}' & 'smtp.itkm.ru' & '{Enter}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Вход в почту интернета' , '1' )
Send ( '{Enter}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Завершение настройки', '1' )
Send ( '{Enter}' )
Exit
Как видите -- всё просто и ясно.
Погонял я этот скрипт на своих компах -- всё нормально. Забегая вперёд, скажу, что KAV на этот скрипт и не подумал ругаться.
Откомпилировал скрипт в экзешник -- тоже всё в порядке: екзешник работает, KAV молчит.
Вечером я отослал этот экзешник коллеге. Что бы посмотрел и заценил. И тут он мне по аске пишет, что его DrWEB орёт на этот экзешник. Дескать -- BackDoor.IRC.FFbot
Ну, я сразу закинул этот файлик на Virustotal. И вот результат:
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.16 no virus found
AntiVir 7.4.0.42 2007.07.16 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.16 no virus found
AVG 7.5.0.476 2007.07.16 no virus found
BitDefender 7.2 2007.07.16 no virus found
CAT-QuickHeal 9.00 2007.07.16 no virus found
ClamAV devel-20070416 2007.07.16 no virus found
DrWeb 4.33 2007.07.16 BackDoor.IRC.FFbot
eSafe 7.0.15.0 2007.07.16 suspicious Trojan/Worm
eTrust-Vet 30.8.3787 2007.07.16 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.16 no virus found
Fortinet 2.91.0.0 2007.07.16 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.16 no virus found
Kaspersky 4.0.2.24 2007.07.16 no virus found
McAfee 5075 2007.07.16 no virus found
Microsoft 1.2704 2007.07.16 no virus found
NOD32v2 2400 2007.07.16 no virus found
Norman 5.80.02 2007.07.16 no virus found
Panda 9.0.0.4 2007.07.16 no virus found
Sophos 4.19.0 2007.07.16 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.16 no virus found
TheHacker 6.1.6.147 2007.07.16 no virus found
VBA32 3.12.0.2 2007.07.16 Trojan.Win32.Autoit.ao
VirusBuster 4.3.23:9 2007.07.16 no virus found
Webwasher-Gateway 6.0.1 2007.07.16 Worm.Win32.ModifiedUPX.gen!90 (suspicious)
Aditional information
File size: 207795 bytes
MD5: 08e99d0d059aa8fc31d8b21c5453a103
SHA1: 1d3c34f90c0c36d53b3ac60e406075c62174a442
packers: UPX
VBA32 особенно порадовал. Так прям и пишет -- троян, дескать, из тех что AutoIt.
И что теперь делать? Пока что я решил письмо намылить в DrWEB. Ведь по сути это ложняк. Программка моя ничего вредоносного не делает. Она штатными виндовыми средствами создаёт учётную запись в ОЕ. Причём характер её работы таков, что она просто за юзера по клавишам клавиатуры долбит. И имеет видимые окна.
У кого какие комментарии?
P. S. Если кому-нибудь нужен этот exe, то говорите -- вышлю.
Для решения этой задачи я решил использовать AutoIt. Написал простенький скриптик:
WinMinimizeAll ( )
Run( @ProgramFilesDir & '\Internet Explorer\Connection Wizard\inetwiz.exe' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Установка подключения к Интернету', '1' )
Send ( '{DOWN}{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Параметры Интернета для локальной сети', '1' )
Send ( '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Настройте учётную запись почты Интернета', '1' )
Send ( '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Учётная запись почты Интернета', '1' )
Send ( '{UP}{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Введите имя', '5' )
Send ( 'Василий Пупкин' & '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Адресс электронной почты Интернета', '1' )
Send ( '[email protected]' & '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Серверы электронной почты', '1' )
Send ( 'pop3.itkm.ru' & '{TAB}' & 'smtp.itkm.ru' & '{Enter}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Вход в почту интернета' , '1' )
Send ( '{Enter}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Завершение настройки', '1' )
Send ( '{Enter}' )
Exit
Как видите -- всё просто и ясно.
Погонял я этот скрипт на своих компах -- всё нормально. Забегая вперёд, скажу, что KAV на этот скрипт и не подумал ругаться.
Откомпилировал скрипт в экзешник -- тоже всё в порядке: екзешник работает, KAV молчит.
Вечером я отослал этот экзешник коллеге. Что бы посмотрел и заценил. И тут он мне по аске пишет, что его DrWEB орёт на этот экзешник. Дескать -- BackDoor.IRC.FFbot
Ну, я сразу закинул этот файлик на Virustotal. И вот результат:
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.16 no virus found
AntiVir 7.4.0.42 2007.07.16 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.16 no virus found
AVG 7.5.0.476 2007.07.16 no virus found
BitDefender 7.2 2007.07.16 no virus found
CAT-QuickHeal 9.00 2007.07.16 no virus found
ClamAV devel-20070416 2007.07.16 no virus found
DrWeb 4.33 2007.07.16 BackDoor.IRC.FFbot
eSafe 7.0.15.0 2007.07.16 suspicious Trojan/Worm
eTrust-Vet 30.8.3787 2007.07.16 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.16 no virus found
Fortinet 2.91.0.0 2007.07.16 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.16 no virus found
Kaspersky 4.0.2.24 2007.07.16 no virus found
McAfee 5075 2007.07.16 no virus found
Microsoft 1.2704 2007.07.16 no virus found
NOD32v2 2400 2007.07.16 no virus found
Norman 5.80.02 2007.07.16 no virus found
Panda 9.0.0.4 2007.07.16 no virus found
Sophos 4.19.0 2007.07.16 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.16 no virus found
TheHacker 6.1.6.147 2007.07.16 no virus found
VBA32 3.12.0.2 2007.07.16 Trojan.Win32.Autoit.ao
VirusBuster 4.3.23:9 2007.07.16 no virus found
Webwasher-Gateway 6.0.1 2007.07.16 Worm.Win32.ModifiedUPX.gen!90 (suspicious)
Aditional information
File size: 207795 bytes
MD5: 08e99d0d059aa8fc31d8b21c5453a103
SHA1: 1d3c34f90c0c36d53b3ac60e406075c62174a442
packers: UPX
VBA32 особенно порадовал. Так прям и пишет -- троян, дескать, из тех что AutoIt.
И что теперь делать? Пока что я решил письмо намылить в DrWEB. Ведь по сути это ложняк. Программка моя ничего вредоносного не делает. Она штатными виндовыми средствами создаёт учётную запись в ОЕ. Причём характер её работы таков, что она просто за юзера по клавишам клавиатуры долбит. И имеет видимые окна.
У кого какие комментарии?
P. S. Если кому-нибудь нужен этот exe, то говорите -- вышлю.