AutoItとマルウェア

AutoItとマルウェア AutoIT
2019-11-13

ググっているとAutoIt マルウェア、ウィルスなどが出てくることがあります。
実際、AutoItでコンパイルしたexe形式がアンチ・ウイルスソフトだけでなくWindows Defenderにすらひっかかることもあります汗
32bit用にコンパイルされたのは結構な確率でマルウェア(trojan)として認識されてしまいます。

2020年2月5日更新
64bit版でもマルウェアとして認識されることを確認しました・・・ 筆者作成のスクリプトはUPX圧縮で誤検知され、UPX使わないと検知されませんでした。ので、今のところUPX使わなければ問題なさそうです(Windows Defenderしか確認していません)

AutoIt マルウェア誤検知対応 64bit版でも誤検知されるようになった 原因はUPXか!?
自分だけでしょうか?2020年1月半ばから、作成したアプリがWindows Defenderでトロイの木馬として誤検知されるようになりました。普段の開発環境では、Windows Defenderの除外設定でフォルダを除外しているので出ないのですが、テストPCのまっさらWindows10環境で一度出たら、他のテストPCでも検知されるようになり・・・
cfautog.tokyo
2020-02-05
スポンサーリンク

1. マルウェアとして認識される理由は昔AutoIt(UPX)を使ってマルウェアが作成されていたから

フリーで作りやすいツールは大抵悪いことをしようとする人たちに悪用されてしまいます。昔はAutoItでマルウェアがよく作られ世に出回っていたそうで、そのせいでAutoIt,UPXが使われた実行形式はマルウェアとしてフラグが立つようになったとのことです。
特にUPXを使うと結構な確率でマルウェアとして認識されてしまいます。

ただ、それも32bit版の話で64bit版で作成すると一気に解消(現在64bitでもダメです)します。まぁこれも悪用する人がいるかいないかでフラグが立つか立たないかが決まる模様ですが。

AutoIt and Malware - AutoIt Wiki
www.autoitscript.com

2. 32bit版で動作させたいなら圧縮はなし、それか32bit版は諦める

圧縮も2種類あり、AutoItコンパイル時の圧縮、UPXによる圧縮があります。
UPX圧縮はもちろんしないとして、AutoItコンパイル時の圧縮でもマルウェア認識されることがありました。(Windows10 Home 32bit テスト用の結構古いパソコンで)
AutoItの/comp も0にするしかなさそうです。
それでも一度Defenderで認識されてしまうと、除外しない限りexeを置いた瞬間に問答無用で消されてしまいました。

というわけで筆者は検証が面倒なので32bit版は切捨てました・・・

2.1 マルウェア解除は、各AV(アンチ・ウィルス)企業にソース提供して安全性を知らせる必要があるようです

以下が参考になるかと。もうかれこれ10年以上前からの問題のようですね・・・
作成したアプリがマカフィーなどのアンチ・ウィルスソフトにマルウェアとして認識されたらの話ですが。

Are my AutoIt exes really infected?
If you have been using AutoIt for any length of time you will know that it is a great, and powerful scripting language. As with all powerful languages there com...
www.autoitscript.com
AutoIT is detected as a Virus
Hello,I already know the problem regarding the UPX packer as explained in this topic. I work in a very big company; I can compile and run AutoIT exe on my PC wi...
www.autoitscript.com

2.2 Microsoft Defenderの場合

下記に書いてあります。検知されるファイルを送信して返事を待つという感じです。

Microsoft による分析のためにファイルを送信する
マルウェア分析のためにファイルを Microsoft に送信する方法、申請を追跡する方法、および紛争検出について説明します。
learn.microsoft.com

3. ちなみに、弊社で開発したソフトはバックグラウンドでレポートなど作成・送信はしていません

仮に送信する場合は、最初にしっかり説明しますので安心してください。

たまたま見つけたのですが、TeraTermなども検知されたことがあったんですね・・・

Windows Defenderによるウイルス・マルウェア誤検知の報告が相次ぐ ~「Lhaplus」や「Tera Term」など/ウイルス対策ソフトの最新パターンファイルで誤検知問題は解消
 オンラインソフトの「Lhaplus」や「Tera Term」などが「Windows Defender」と「Microsoft Security Essentials」によってウイルスやマルウェアと判定され、ダウンロード直後などに該当ソフトのファイルが削除されてしまうという報告が12月6日以降、窓の杜編集部に相次いで寄...
forest.watch.impress.co.jp

4. マルウェアと診断されたら AV会社にファイルを送信して診断

Windows Defenderで見事にひっかかったので、その解決方法をまとめました。

Windows DefenderにAutoItアプリがマルウェアとして認識されたらMicrosoftにファイルを送って診断してもらう
AutoItで悩ましいのが、AV (Anti Virus)ソフトにマルウェアとして認識される可能性が高いこと。特にTrojan:Win32/*** って・・・いや、わたくしマルウェアなるものを作ったつもりはないんですが。Windows Defenderの設定でスキャンしないフォルダを設定する方法と、Submit a file for malware analysisにファイルを送り診断してもらう2つの方法を紹介します。
cfautog.tokyo
2020-01-16

ちなみにMcfeeやNortonなど他のは入れていないのでわからず・・同じようにファイル送信して除外定義ファイルをAV会社に作ってもらうことになると思います。

スポンサーリンク

コメント

タイトルとURLをコピーしました