AutoItとマルウェア

AutoItとマルウェア AutoIT

ググっているとAutoIt マルウェア、ウィルスなどが出てくることがあります。
実際、AutoItでコンパイルしたexe形式がアンチ・ウイルスソフトだけでなくWindows Defenderにすらひっかかることもあります汗
32bit用にコンパイルされたのは結構な確率でマルウェア(trojan)として認識されてしまいます。

2020年2月5日更新
64bit版でもマルウェアとして認識されることを確認しました・・・ 筆者作成のスクリプトはUPX圧縮で誤検知され、UPX使わないと検知されませんでした。ので、今のところUPX使わなければ問題なさそうです(Windows Defenderしか確認していません)

スポンサーリンク

1. マルウェアとして認識される理由は昔AutoIt(UPX)を使ってマルウェアが作成されていたから

フリーで作りやすいツールは大抵悪いことをしようとする人たちに悪用されてしまいます。昔はAutoItでマルウェアがよく作られ世に出回っていたそうで、そのせいでAutoIt,UPXが使われた実行形式はマルウェアとしてフラグが立つようになったとのことです。
特にUPXを使うと結構な確率でマルウェアとして認識されてしまいます。

ただ、それも32bit版の話で64bit版で作成すると一気に解消(現在64bitでもダメです)します。まぁこれも悪用する人がいるかいないかでフラグが立つか立たないかが決まる模様ですが。

AutoIt and Malware - AutoIt Wiki

2. 32bit版で動作させたいなら圧縮はなし、それか32bit版は諦める

圧縮も2種類あり、AutoItコンパイル時の圧縮、UPXによる圧縮があります。
UPX圧縮はもちろんしないとして、AutoItコンパイル時の圧縮でもマルウェア認識されることがありました。(Windows10 Home 32bit テスト用の結構古いパソコンで)
AutoItの/comp も0にするしかなさそうです。
それでも一度Defenderで認識されてしまうと、除外しない限りexeを置いた瞬間に問答無用で消されてしまいました。

というわけで筆者は検証が面倒なので32bit版は切捨てました・・・

2.1 マルウェア解除は、各AV(アンチ・ウィルス)企業にソース提供して安全性を知らせる必要があるようです

以下が参考になるかと。もうかれこれ10年以上前からの問題のようですね・・・
作成したアプリがマカフィーなどのアンチ・ウィルスソフトにマルウェアとして認識されたらの話ですが。

Are my AutoIt EXEs really infected?
If you have been using AutoIt for any length of time you will know that it is a great, and powerful scripting language. As with all powerful languages there com...
AutoIT is detected as a Virus
Hello,I already know the problem regarding the UPX packer as explained in this topic. I work in a very big company; I can compile and run AutoIT exe on my PC wi...

2.2 Microsoft Defenderの場合

下記に書いてあります。検知されるファイルを送信して返事を待つという感じです。

Microsoft による分析のためにファイルを送信する - Windows security
マルウェアの分析用に Microsoft にファイルを送信する方法、申請を追跡する方法、および検出を調査する方法について説明します。

3. ちなみに、弊社で開発したソフトはバックグラウンドでレポートなど作成・送信はしていません

仮に送信する場合は、最初にしっかり説明しますので安心してください。

たまたま見つけたのですが、TeraTermなども検知されたことがあったんですね・・・

Windows Defenderによるウイルス・マルウェア誤検知の報告が相次ぐ ~「Lhaplus」や「Tera Term」など/ウイルス対策ソフトの最新パターンファイルで誤検知問題は解消
 オンラインソフトの「Lhaplus」や「Tera Term」などが「Windows Defender」と「Microsoft Security Essentials」によってウイルスやマルウェアと判定され、ダウンロード直後などに該当ソフトのファイルが削除されてしまうという報告が12月6日以降、窓の杜編集部に相次いで寄...

4. マルウェアと診断されたら AV会社にファイルを送信して診断

Windows Defenderで見事にひっかかったので、その解決方法をまとめました。

ちなみにMcfeeやNortonなど他のは入れていないのでわからず・・同じようにファイル送信して除外定義ファイルをAV会社に作ってもらうことになると思います。

コメント

タイトルとURLをコピーしました