PDA

Просмотр полной версии : Я крут -- BackDoor написал.



Палыч
16.07.2007, 22:49
В последние дни я потихоньку занимаюсь вопросом автоматической настройки компов для работы в сети. Накропал батник для настройки локалки. С помощью утилиток из Windows Server 2003 создал exe для настройки VPN. Дошла очередь до скрипта для настройки Outlook Express.

Для решения этой задачи я решил использовать AutoIt. Написал простенький скриптик:

WinMinimizeAll ( )
Run( @ProgramFilesDir & '\Internet Explorer\Connection Wizard\inetwiz.exe' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Установка подключения к Интернету', '1' )
Send ( '{DOWN}{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Параметры Интернета для локальной сети', '1' )
Send ( '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Настройте учётную запись почты Интернета', '1' )
Send ( '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Учётная запись почты Интернета', '1' )
Send ( '{UP}{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Введите имя', '5' )
Send ( 'Василий Пупкин' & '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Адресс электронной почты Интернета', '1' )
Send ( '[email protected]' & '{ENTER}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Серверы электронной почты', '1' )
Send ( 'pop3.itkm.ru' & '{TAB}' & 'smtp.itkm.ru' & '{Enter}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Вход в почту интернета' , '1' )
Send ( '{Enter}' )
WinWaitActive ( 'Мастер подключения к Интернету', 'Завершение настройки', '1' )
Send ( '{Enter}' )
Exit


Как видите -- всё просто и ясно.
Погонял я этот скрипт на своих компах -- всё нормально. Забегая вперёд, скажу, что KAV на этот скрипт и не подумал ругаться.
Откомпилировал скрипт в экзешник -- тоже всё в порядке: екзешник работает, KAV молчит.

Вечером я отослал этот экзешник коллеге. Что бы посмотрел и заценил. И тут он мне по аске пишет, что его DrWEB орёт на этот экзешник. Дескать -- BackDoor.IRC.FFbot
Ну, я сразу закинул этот файлик на Virustotal. И вот результат:

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.16 no virus found
AntiVir 7.4.0.42 2007.07.16 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.16 no virus found
AVG 7.5.0.476 2007.07.16 no virus found
BitDefender 7.2 2007.07.16 no virus found
CAT-QuickHeal 9.00 2007.07.16 no virus found
ClamAV devel-20070416 2007.07.16 no virus found
DrWeb 4.33 2007.07.16 BackDoor.IRC.FFbot
eSafe 7.0.15.0 2007.07.16 suspicious Trojan/Worm
eTrust-Vet 30.8.3787 2007.07.16 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.16 no virus found
Fortinet 2.91.0.0 2007.07.16 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.16 no virus found
Kaspersky 4.0.2.24 2007.07.16 no virus found
McAfee 5075 2007.07.16 no virus found
Microsoft 1.2704 2007.07.16 no virus found
NOD32v2 2400 2007.07.16 no virus found
Norman 5.80.02 2007.07.16 no virus found
Panda 9.0.0.4 2007.07.16 no virus found
Sophos 4.19.0 2007.07.16 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.16 no virus found
TheHacker 6.1.6.147 2007.07.16 no virus found
VBA32 3.12.0.2 2007.07.16 Trojan.Win32.Autoit.ao
VirusBuster 4.3.23:9 2007.07.16 no virus found
Webwasher-Gateway 6.0.1 2007.07.16 Worm.Win32.ModifiedUPX.gen!90 (suspicious)
Aditional information
File size: 207795 bytes
MD5: 08e99d0d059aa8fc31d8b21c5453a103
SHA1: 1d3c34f90c0c36d53b3ac60e406075c62174a442
packers: UPX


VBA32 особенно порадовал. Так прям и пишет -- троян, дескать, из тех что AutoIt.

И что теперь делать? Пока что я решил письмо намылить в DrWEB. Ведь по сути это ложняк. Программка моя ничего вредоносного не делает. Она штатными виндовыми средствами создаёт учётную запись в ОЕ. Причём характер её работы таков, что она просто за юзера по клавишам клавиатуры долбит. И имеет видимые окна.

У кого какие комментарии?

P. S. Если кому-нибудь нужен этот exe, то говорите -- вышлю.

Макcим
16.07.2007, 23:01
Советую забить и всё. Ты же не будешь выкладывать этот батник в сеть для общего пользования?

Палыч
16.07.2007, 23:10
Советую забить и всё. Ты же не будешь выкладывать этот батник в сеть для общего пользования?
Это не батник, это экзешник.
Вот именно, что буду! У меня вообще был замысел, чтобы, значит, при подключения нового юзера к нашей сети, ему вместе с распечаткой давали и CD с автораном и с этими файликами автоматической настройки компа. В смысле -- чтобы не ходить и не настраивать ему комп ручками. Такое, понимаешь, рационализаторское предложение хотел внедрить.
Теперь, как я понимаю, пока с DrWEB ситация не исправиться про это можно забыть. А то по городу сразу слух пойдёт, что провайдер бэкдоры впаривает.
И смех, и грех...

Макcим
16.07.2007, 23:36
Вот именно, что буду!Я думал это для личного пользования. Я если просто сделать *.bat без компиляции в *.exe?

Add-Aware
17.07.2007, 06:17
Раз это exe, то почему бы не попробовать запаковать или запротектить его? К примеру, тот же OriEn Dr. Web'jм не определяется. Хлопот это много не доставит.

Добавлено через 33 секунды
Orien - это протектор такой :)

pig
17.07.2007, 11:02
Нет, это не выход. Сегодня не определяется, завтра всё, что под этим пртектором, начнёт детектироваться как Trojan.Generic. И так по кругу.

Add-Aware
17.07.2007, 11:08
Нет, это не выход. Сегодня не определяется, завтра всё, что под этим пртектором, начнёт детектироваться как Trojan.Generic. И так по кругу.
Предложения? Это единственный возможный удобный (на мой взгляд :)) вариант. У Orien очень сильная шифровка, так что Dr.Web врядли будет определять сжатую им программу как malware.

drongo
17.07.2007, 11:22
Pig прав ;) Будут детектить просто как generic и даже не вникая в суть, пока не научиться распаковывать.
Может аналогом каким,вместо AutoIt,попробовать? А почему нельзя батником оставить?

NickGolovko
17.07.2007, 11:53
Мне более интересно, почему нельзя написать в лаб и попросить исправить сигнатуру. Детект-то не эвристический. :)

Палыч
17.07.2007, 12:01
А почему нельзя батником оставить?
Потому что тогда юзеру надо будет AutoIt устанавливать. Это же не традиционный bat-файл. Это файл в формате этой самой программы AutoIt, у него расширение .au3. Тоесть, у AutoIt свой оригинальный скриптовый язык, как, например, у AVZ.

Устанавливать программу только для того чтобы прописать в системе сетвые настройки?... Как-то это не рационально...

Да и потом, юзер, который может установить программу, сможет и вручную настройки прописать. И тогда зачем ему AutoIt и эти скрипты?

Кстати, компиляция из скрипта в *.exe осуществляется компилятором, который входит в состав программного пакета AutoIt. То есть компилятор свой, набортный.

DVi
17.07.2007, 12:08
Палыч, можно ли то же самое сделать на Visual Basic?

Палыч
17.07.2007, 12:21
Палыч, можно ли то же самое сделать на Visual Basic?
Не знаю. Ещё не смотрел в эту сторону.
Я сначала подожду ответа из DrWEB. А там видно будет.

DVi
17.07.2007, 12:26
Мне этот код очень напомнил скрипт на VB. Думаю, переделать его нетрудно.

Add-Aware
17.07.2007, 13:01
Палыч, а можно мне эту .exe на почту? :) Уж больно хотца посмотреть :) Заранее благодарен!

Добавлено через 2 минуты
Прошу прощения, e-mail: add-minпсинкаmailпиксельru

Палыч
17.07.2007, 13:13
Палыч, а можно мне эту .exe на почту?
Отправил. Смотри от integral85

Add-Aware
17.07.2007, 13:53
Ну не знаю, как там Trojan.Other, но после упаковки с помощью Orien
проверка Dr. Web'ом с последними базами (на сайте) показала, что всё
чисто :) Притом, что Orien уже определяется Dr. Web как упаковщик. Использовался Orien'овский загрузчик.

Макcим
17.07.2007, 13:54
А как другие вендоры?

Add-Aware
17.07.2007, 14:02
Сейчас посмотрим...

Заволновались:
Ikarus - Trojan-Downloader.Win32.Banload.ase
CAT-QuickHeal - (Suspicious) - DNAScan
eSafe - suspicious Trojan/Worm
Неугомонный VBA32 - suspected of Backdoor.Hupigon.8 (paranoid heuristics)
Webwasher-Gateway - Win32.Malware.gen (suspicious)
Sunbelt - VIPRE.Suspicious

Но, ввиду их нераспространённости в России, я думаю, на них можно закрыть глаза :) В конце концов, несколько вендоров ругались даже на мою совершенно безобидную программу на KOL (которая вообще была простым окошечком :) ).

Xen
18.07.2007, 16:16
На месте авторов AutoIt я бы попробовал подать в суд =)

DVi
18.07.2007, 16:19
На месте авторов AutoIt я бы попробовал подать в суд =)
Бесполезно, т.к. детектируется не сам AutoIt, а его производные, к которым авторы AutoIt не имеют никакого отношения.

Add-Aware
18.07.2007, 17:30
А эти производные как раз таки детектируются "за дело", так что не удастся, думаю, даже отписать о ложных срабатываниях :)

Палыч
19.07.2007, 11:31
Логическое завершение этой истории:


Уважаемый Олег Павлов,

Ваш запрос был проанализирован. Комментарии к Вашему запросу:
Обновите базы - это ложное срабатывание исправлено еще во вторник.


Спасибо за сотрудничество.

--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

V_Bond
09.08.2007, 18:48
AhnLab-V3 2007.8.9.2 2007.08.09 -
AntiVir 7.4.0.57 2007.08.09 HTML/Exploit.Mhtml
Authentium 4.93.8 2007.08.08 -
Avast 4.7.1029.0 2007.08.09 -
AVG 7.5.0.476 2007.08.08 -
BitDefender 7.2 2007.08.09 -
CAT-QuickHeal 9.00 2007.08.09 -
ClamAV 0.91 2007.08.09 -
DrWeb 4.33 2007.08.09 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5045 2007.08.09 -
Ewido 4.0 2007.08.08 -
FileAdvisor 1 2007.08.09 -
Fortinet 2.91.0.0 2007.08.09 -
F-Prot 4.3.2.48 2007.08.08 -
F-Secure 6.70.13030.0 2007.08.09 Exploit.HTML.Mht
Ikarus T3.1.1.12 2007.08.09 -
Kaspersky 4.0.2.24 2007.08.09 Exploit.HTML.Mht
McAfee 5094 2007.08.09 Exploit-MhtRedir.gen
Microsoft 1.2704 2007.08.09 -
NOD32v2 2447 2007.08.09 -
Norman 5.80.02 2007.08.08 -
Panda 9.0.0.4 2007.08.09 -
Prevx1 V2 2007.08.09 -
Rising 19.35.33.00 2007.08.09 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.09 -
Symantec 10 2007.08.09 Bloodhound.Exploit.6
TheHacker 6.1.7.166 2007.08.09 -
VBA32 3.12.2.2 2007.08.09 -
VirusBuster 4.3.26:9 2007.08.09 -
Webwasher-Gateway 6.0.1 2007.08.09 Script.Exploit.Mhtml

вот так ... а я просто писал в блокноте .... скрипт авз ...

drongo
09.08.2007, 19:38
V_Bond, это не из-за авз ;) а вот из -за гадости на картинке, которую нужно фиксить ;)
http://img162.imageshack.us/img162/500/v1my6.th.png (http://img162.imageshack.us/my.php?image=v1my6.png)

V_Bond
09.08.2007, 20:03
вот так ... а я просто писал в блокноте .... скрипт авз ... -это выражение так сказать .... собирательное... ;)