[R] Dossier sur les Antivirus

L4crymal · #1

Bonjours, aujourd'hui je vais vous présenter un petit dossier qui consiste à analyser le comportement des antivirus sur nos script Autoit 3

Pour cela j'ai utiliser le site NoVirusThanks pour analyser les fichiers à tester, ayant tous le même contenu :

Code : Tout sélectionner

MsgBox(0,"","Hello World!")

Liste des fichiers:

Test.au3 : Script source normale
Test_Obfuscated.au3 : script source Obfuscated

Test_1.exe : script source compilé normalement
Test_2.exe : script source compilé avec option+UPX
Test_3.exe : script source compilé avec option sans UPX

Test_4.exe : script source Obfuscated compilé normalement
Test_5.exe : script source Obfuscated compilé avec option+UPX
Test_6.exe : script source Obfuscated compilé avec option sans UPX

TESTS:

Test.au3 : Script source normale

► Afficher le texte

Test_Obfuscated.au3 : script source Obfuscated

► Afficher le texte

Test_1.exe : script source compilé normalement

► Afficher le texte

Test_2.exe : script source compilé avec option+UPX

► Afficher le texte

Test_3.exe : script source compilé avec option sans UPX

► Afficher le texte

Test_4.exe : script source Obfuscated compilé normalement

► Afficher le texte

Test_5.exe : script source Obfuscated compilé avec option+UPX

► Afficher le texte

Test_6.exe : script source Obfuscated compilé avec option sans UPX

► Afficher le texte

CONCLUSION :

C'est à ne plus rien y comprendre... Pourquoi certains sont detectés et d'autre pas???

Aller petite surprise...

Un script faisait un FileInstall avec une simple image compilé simplement :

► Afficher le texte

Puis compiler avec option sans UPX:

► Afficher le texte

DE QUOI SEMER LE DOUTE

#2

SI tu regarde bien la taille de l'exe généré, dès qu'il dépasse les 287ko il sera considéré comme un risk de multi(virus).

La question du pourquoi tel ou tel A(nti) V(virus) détecte ou non la soit disant infection.Pourrait pas trop te répondre, a part que l'entete de l'exe (au niveau stub) et doublé d'ou l'alerte ? à vérifier

L4crymal · #3

Chaud, donc on peut pas faire de gros script :p enfoiré de a-squared !

#4

je me suis encore mal exprimé

tu peux faire de gros script c'est pas le problème, le soucis vient de l'entête (qui est doublé, ce que je veux dire c'est que l'exe autoit est en double dans l'exe généré.

J'ai déjà eu le même soucis, c'est pour çà que je compile plus, les première fois l'exe faisait 287ko et quelque temp après ca dépassé largement les 500ko (avec les meme options lors de la compilation). .... va savoir si çà vient de aut2exe ou encore de autoitwrapper nocé

D'après les test vaut mieux utiliser Obfuscated, étrange

Certain disait que cté la faute d'UPX!!

voilàvoilà.

L4crymal · #5

ani a écrit : Certain disait que cté la faute d'UPX!!

Le contraire est maintenant prouvé

merci ani

#6

autoit propose des outils, dans ce dossier il y a autoit3wrapper (source (±2000lignes) & compilé),
regarde les tailles

non compilé 96ko

compilé 306ko (upx v.3.00)

je viend de tester l'exemple avec notepad, en y ajoutant les directives proposé de autoit3wrapper.

non compilé 2ko (± 70lignes)

compilé 599ko

là y a un problème sec !!!
As-tu des messages d'erreur dans le debugger de scite ?
ché moi il trouve plus tidy & au3check....

Edit:J'avais pas vu que cté résolu.

L4crymal · #7

Non j'enlève le résolu parce que là c'est louche tu as raison, need Thierry!!!

Sinon moi j'ai pas d'erreur, sauf pour UPX, souvent j'ai l'erreur comme quoi il le trouve pas ou alors qu'il n'a pas les droits requis ...

#8

Pour le tidy et au3check c'est résolu. les liens était erronée

Hm je viend de retester avant de résoudre le problème et là j'obtiend
3ko => 285ko (le pc venait juste d'être allumer (8:12)) voir fin pour comprendre

avec c'est directives

Code : Tout sélectionner

#AutoIt3Wrapper_UseAnsi=y
#AutoIt3Wrapper_useupx=y
#AutoIt3Wrapper_Res_Comment=Commentaire blabla
#AutoIt3Wrapper_Res_Description=description blabla
#AutoIt3Wrapper_Res_Fileversion=0.0.0.1
#AutoIt3Wrapper_Res_Fileversion_AutoIncrement=p
#AutoIt3Wrapper_Res_LegalCopyright=Copyright © 200x 
#AutoIt3Wrapper_Res_Field=Made By|lustucru 
#AutoIt3Wrapper_Res_Field=Email|lus at turcu dot com
#AutoIt3Wrapper_Res_Field=AutoIt Version|%AutoItVer%
#AutoIt3Wrapper_Res_Field=Compile Date|%date% %time%
#AutoIt3Wrapper_Run_Tidy=y
#Tidy_Parameters=/sf
#Obfuscator_Parameters=/sci 1

Teste de génération d'exe avec le même script et même directive
20:15

285ko
20:35

599ko

hm la bébéte qui monte qui monte ....
le 599 je suis sur qu'il sera reconnu en .....surprise

Quel est le site de scan que tu as utilisé ?

L4crymal · #9

Vraiment étrange O_o

http://scanner.novirusthanks.org/

#10

je n'arrive pas accéder à cette url, c'est pour çà que je posait la question, j'avais déjà testé le site aucun virus merci, j'arrive a visiter tout les liens sauf celui de scanner...

après reboot pc, je m'apercois que l'exe 599ko est retombé à 285, j'ai un problème dans le rafraichissement des données via l'explorer !! do ki ri

j'ai refait la meme chose que précément est idem
j'obtien 285 et après un bon quart d'heure 599

bon vais formater lol

L4crymal · #11

Code malicieux de la part du compilateur ?

Kikoolol · #12

Essai aussi sur :

http://www.virustotal.com

Il y'as plus de 40 Antivirus et les derniers mises à jour.
Cependant pour les virus, je pense que cela dépend aussi du contenu du script... (reste à prouver).

#13

Suite aux différentes discussions et à mes tests personnels, voici ce que j'en suis venu à penser :

1 - Un script non compilé n'est jamais reconnu comme virus (sauf si évidemment on rentre la signature d'un virus dans le script).

2 - En fonction des mises à jour de la base de donnée antivirale de certains antivirus ou site antivirus en ligne, un script AutoIt compilé peut être reconnu comme virus quel que soit les options de compilation.

3 - De manière générale, un script compilé sans UPX et Ansi passera la plupart des antivirus (mais comme je l'ai dit en 2, ce n'est pas du 100%

).

Ensuite, en ce qui concerne un script compilé, il n'y à pas deux fois "l'exe autoit dans l'exe généré" comme l'à dit ani, mais 'une seule fois'.
J'ai mis une seule fois entre guillemet car en réalité ce n'est pas le fichier AutoIt3.exe qui est rajouté dans la compilation, mais le fichier AutoItSC.bin (partie exécutable des scripts compilés) qui ce trouve dans le dossier C:\Program Files\AutoIt3\Aut2Exe (et pour une compilation pour X64, c'est le fichier AutoItSC_x64.bin).

C'est pour cela que parfois lors de la compilation certains ont eu un message d'erreur leur indiquant que AutoItSC.bin est introuvable car l'antivirus le bloquait.

Pour résumé la chose, nous pouvons simplifier par le fait que le script compilé est le résultat de l'ajout du script au fichier AutoItSC.bin.

L4crymal · #14

Merci Thierry

[R]

#15

Donc de toute façon, l'antivirus ne connait pas la langage au3 et ne pourra pas savoir s'il y a vraiment un virus : il donnera probablement le même résultat quel que soit le script vu qu'il ne pourra analyser que AutoItSC.bin.

#16

Et même mieux. Je joint un script contenant la signature du virus EICAR.
Compilé ou non, Antivir ne me dit rien. Par contre si je lance le script, évidement là il se déclenche.

#17

pas suivit :§

ton av ne detecte rien apr!s scan ? faut vite le changer lol

sinon comme dit plus haut pas suivit ^^('

y a pas le code source là lol

demain ze zou a zoroo extinction lol

:S

#18

ani a écrit :y a pas le code source là

Ben si puisque c'est un fichier au3.

AutoIt Français

[R] Dossier sur les Antivirus

[R] Dossier sur les Antivirus

Re: [..] Dossier sur les Antivirus

Re: [..] Dossier sur les Antivirus

Re: [..] Dossier sur les Antivirus

Re: [..] Dossier sur les Antivirus

Re: [R] Dossier sur les Antivirus

Re: [R] Dossier sur les Antivirus

Re: [..] Dossier sur les Antivirus

Re: [..] Dossier sur les Antivirus

Re: [..] Dossier sur les Antivirus

Re: [..] Dossier sur les Antivirus

Re: [..] Dossier sur les Antivirus

Re: [..] Dossier sur les Antivirus

Re: [..] Dossier sur les Antivirus

Re: [R] Dossier sur les Antivirus

Re: [R] Dossier sur les Antivirus

Re: [R] Dossier sur les Antivirus

Re: [R] Dossier sur les Antivirus