Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

Dans cet espace, vous pouvez donner les dernières informations qui sont susceptibles d'intéresser les membres. Par exemple la sortie d'un nouveau logiciel, la mise à jour d'un produit ou d'un tutoriel. Si vous postez du contenu, assurez-vous qu'il soit libre de droits d'auteur. Vous pouvez par exemple poster le début d'un article, deux ou trois lignes, et mettre un lien vers le site pour lire l'article complet rédigé par son auteur.
En ligne
Avatar du membre
NicolasCoolman
Administrateur du site
Administrateur du site
Messages : 5902
Enregistré le : dim. 15 juin 2014 19:45
Localisation : France
Contact :

Nouveau ! Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

Message par NicolasCoolman » mer. 18 sept. 2019 16:54

Hello,

Depuis quelques versions, Windows Defender Antivirus (WD) détecte mes logiciels en tant que trojan, ce sont bien sûr des faux-positifs.

Nul doute que cela provient de l'analyse des programmes écrits en AutoIt.

Pour vous donner un exemple :

Je viens de créer un programme (test.au3) avec une seule ligne qui affiche un message 'Hello World' à l'écran :
MsgBox(0, 'Bienvenue', "Hello World" )

Une fois compilé et soumis à VirusTotal, ce programme executable (test.exe) est déjà détecté par 2 antivirus dont un en tant que trojan.
Antiy-AVL Trojan/Generic.ASVCS3S.1E5
SecureAge APEX Malicious


Etonnant non !

Alors vous imaginez ce que cela peut donner avec un programme de plus 30000 lignes de codes.

Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

Publicité
 

En ligne
Avatar du membre
NicolasCoolman
Administrateur du site
Administrateur du site
Messages : 5902
Enregistré le : dim. 15 juin 2014 19:45
Localisation : France
Contact :

Re: Windows Defender Antivirus détecte ZHPCleaner et ZHPDiag (Faux Positifs)

Message par NicolasCoolman » jeu. 19 sept. 2019 10:10

Hello,

Je viens de soumettre la dernière version de ZHPCleaner (v140) à VirusTotal.

Le résultat est flagrant (1/70), Microsoft WD fait de la résistance et trouve toujours un trojan avec encore un nom différent (Trojan:Win32/Azden.A!cl) !
Voir l'analyse

Est-ce volontaire ?

Avatar du membre
dalton
Membre
Membre
Messages : 195
Enregistré le : lun. 23 juin 2014 09:22

Re: Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

Message par dalton » jeu. 19 sept. 2019 10:35

Bonjour Nicolas,
Comme je l'ai déjà écrit,je télécharge tes outils sans difficulté...je les soumets pour analyse à WD qui ne me trouve aucune menace...bizarre non!

Avatar du membre
Australien
Modérateur
Modérateur
Messages : 2578
Enregistré le : sam. 21 juin 2014 23:47
Localisation : Nîmes-France

Re: Windows Defender Antivirus détecte ZHPCleaner et ZHPDiag (Faux Positifs)

Message par Australien » jeu. 19 sept. 2019 10:43

NicolasCoolman a écrit :

Est-ce volontaire ?
Hello

je ne crois pas et n'en voit pas les raisons.

par contre la variable commune à toutes les analyses VT du soucis qui dure depuis 15 jours c'est le commentaire d'un certain "thor"*.
https://www.virustotal.com/gui/file/ba9 ... /community

Detection
============================
Rule: SUSP_AutoIt_Indicators_Feb19_4
Rule Set: Suspicious Indicators 2

* THOR APT Scanner - Nextron Systems

Bizarrement (comme le souligne dalton) il n'y a aucune détection chez certains, mais dans de rares cas jusqu'à présent.
Amicalement
Patrick Australien
Team Nicolas Coolman

En ligne
Avatar du membre
NicolasCoolman
Administrateur du site
Administrateur du site
Messages : 5902
Enregistré le : dim. 15 juin 2014 19:45
Localisation : France
Contact :

Re: Windows Defender Antivirus détecte ZHPCleaner et ZHPDiag (Faux Positifs)

Message par NicolasCoolman » jeu. 19 sept. 2019 11:07

Australien a écrit :
jeu. 19 sept. 2019 10:43
par contre la variable commune à toutes les analyses VT du soucis qui dure depuis 15 jours c'est le commentaire d'un certain "thor"*.
Je n'ai pas compris le commentaire Twitter, il manque d'explication !

Mais sa description me laisse perplexe, ma version AutoIt provient du site officiel et sa dernière mise à jour de version date de quelques mois.
Detects unknown AutoIt software with malware indicators

Avatar du membre
Australien
Modérateur
Modérateur
Messages : 2578
Enregistré le : sam. 21 juin 2014 23:47
Localisation : Nîmes-France

Re: Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

Message par Australien » jeu. 19 sept. 2019 11:15

Hello

question peut être con > ce serait pas upx qui met la merde.

Mes exécutables AutoIt sont-ils vraiment infectés ?
Amicalement
Patrick Australien
Team Nicolas Coolman

En ligne
Avatar du membre
NicolasCoolman
Administrateur du site
Administrateur du site
Messages : 5902
Enregistré le : dim. 15 juin 2014 19:45
Localisation : France
Contact :

Re: Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

Message par NicolasCoolman » jeu. 19 sept. 2019 11:19

Australien a écrit :
jeu. 19 sept. 2019 11:15
question peut être con > ce serait pas upx qui met la merde.
Non, car je ne coche pas l'option "UPX" à la compilation.

Avatar du membre
Australien
Modérateur
Modérateur
Messages : 2578
Enregistré le : sam. 21 juin 2014 23:47
Localisation : Nîmes-France

Re: Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

Message par Australien » jeu. 19 sept. 2019 11:27

moi j'ai remonté (une demi douzaine de fois) des samples à Microsoft en tant que simple utilisateur, faux positif qui ont été corrigés dans la journée. Le soucis est qu'à chaque nouvelle version, Microsoft remet tes logiciels dans leurs détections.

Peut être devrais tu remonter des samples en tant que développeur, mais je crois pas que cela change grand chose....
Amicalement
Patrick Australien
Team Nicolas Coolman

En ligne
Avatar du membre
NicolasCoolman
Administrateur du site
Administrateur du site
Messages : 5902
Enregistré le : dim. 15 juin 2014 19:45
Localisation : France
Contact :

Re: Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

Message par NicolasCoolman » jeu. 19 sept. 2019 11:38

Australien a écrit :
jeu. 19 sept. 2019 11:27
Le soucis est qu'à chaque nouvelle version, Microsoft remet tes logiciels dans leurs détections.
Effectivement ! Mais j'ai créé un certificat pour mes logiciels, pourquoi ne l'utilisent-ils pas ?

Je pense que les autres antivirus doivent s'en servir.

En effet, quand j'ai soumis mon fichier d'une ligne "test.exe" non signé à VirusTotal, la solution Antiy-AVL a détéctée un trojan.
Alors que Antiy-AVL ne détecte rien avec la v140 de ZHPCleaner qui lui est signé et qui utilise maintes fois la fonction "MsgBox()".

Avatar du membre
Australien
Modérateur
Modérateur
Messages : 2578
Enregistré le : sam. 21 juin 2014 23:47
Localisation : Nîmes-France

Re: Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

Message par Australien » jeu. 19 sept. 2019 11:50

a écrit :Mais j'ai créé un certificat pour mes logiciels, pourquoi ne l'utilisent-ils pas ?
:lol: pas content Tonton Nicolas.

en tous cas, eux ils voyent cela:

(Microsoft - VirusTotal)

File is not signed
Image

(sur ma machine)

Image
Amicalement
Patrick Australien
Team Nicolas Coolman

Répondre