ZONE ANTIMALWARE

Le forum de Nicolas Coolman a pour objectif de détecter et d'informer sur les nouvelles menaces malwares présentes sur le web. 

Dans cet espace, vous pouvez donner les dernières informations qui sont susceptibles d'intéresser les membres. Par exemple la sortie d'un nouveau logiciel, la mise à jour d'un produit ou d'un tutoriel. Si vous postez du contenu, assurez-vous qu'il soit libre de droits d'auteur. Vous pouvez par exemple poster le début d'un article, deux ou trois lignes, et mettre un lien vers le site pour lire l'article complet rédigé par son auteur.
 #103160  par NicolasCoolman
 
Hello,

Depuis quelques versions, Windows Defender Antivirus (WD) détecte mes logiciels en tant que trojan, ce sont bien sûr des faux-positifs.

Nul doute que cela provient de l'analyse des programmes écrits en AutoIt.

Pour vous donner un exemple :

Je viens de créer un programme (test.au3) avec une seule ligne qui affiche un message 'Hello World' à l'écran :
MsgBox(0, 'Bienvenue', "Hello World" )

Une fois compilé et soumis à VirusTotal, ce programme executable (test.exe) est déjà détecté par 2 antivirus dont un en tant que trojan.
Antiy-AVL Trojan/Generic.ASVCS3S.1E5
SecureAge APEX Malicious


Etonnant non !

Alors vous imaginez ce que cela peut donner avec un programme de plus 30000 lignes de codes.
 #103178  par NicolasCoolman
 
Hello,

Je viens de soumettre la dernière version de ZHPCleaner (v140) à VirusTotal.

Le résultat est flagrant (1/70), Microsoft WD fait de la résistance et trouve toujours un trojan avec encore un nom différent (Trojan:Win32/Azden.A!cl) !
Voir l'analyse

Est-ce volontaire ?
 #103181  par Australien
 
NicolasCoolman a écrit :

Est-ce volontaire ?
Hello

je ne crois pas et n'en voit pas les raisons.

par contre la variable commune à toutes les analyses VT du soucis qui dure depuis 15 jours c'est le commentaire d'un certain "thor"*.
https://www.virustotal.com/gui/file/ba9 ... /community

Detection
============================
Rule: SUSP_AutoIt_Indicators_Feb19_4
Rule Set: Suspicious Indicators 2

* THOR APT Scanner - Nextron Systems

Bizarrement (comme le souligne dalton) il n'y a aucune détection chez certains, mais dans de rares cas jusqu'à présent.
 #103183  par NicolasCoolman
 
Australien a écrit : 19 sept. 2019, 10:43 par contre la variable commune à toutes les analyses VT du soucis qui dure depuis 15 jours c'est le commentaire d'un certain "thor"*.
Je n'ai pas compris le commentaire Twitter, il manque d'explication !

Mais sa description me laisse perplexe, ma version AutoIt provient du site officiel et sa dernière mise à jour de version date de quelques mois.
Detects unknown AutoIt software with malware indicators
 #103186  par NicolasCoolman
 
Australien a écrit : 19 sept. 2019, 11:15 question peut être con > ce serait pas upx qui met la merde.
Non, car je ne coche pas l'option "UPX" à la compilation.
 #103187  par Australien
 
moi j'ai remonté (une demi douzaine de fois) des samples à Microsoft en tant que simple utilisateur, faux positif qui ont été corrigés dans la journée. Le soucis est qu'à chaque nouvelle version, Microsoft remet tes logiciels dans leurs détections.

Peut être devrais tu remonter des samples en tant que développeur, mais je crois pas que cela change grand chose....
 #103188  par NicolasCoolman
 
Australien a écrit : 19 sept. 2019, 11:27 Le soucis est qu'à chaque nouvelle version, Microsoft remet tes logiciels dans leurs détections.
Effectivement ! Mais j'ai créé un certificat pour mes logiciels, pourquoi ne l'utilisent-ils pas ?

Je pense que les autres antivirus doivent s'en servir.

En effet, quand j'ai soumis mon fichier d'une ligne "test.exe" non signé à VirusTotal, la solution Antiy-AVL a détéctée un trojan.
Alors que Antiy-AVL ne détecte rien avec la v140 de ZHPCleaner qui lui est signé et qui utilise maintes fois la fonction "MsgBox()".
 #103190  par Australien
 
a écrit :Mais j'ai créé un certificat pour mes logiciels, pourquoi ne l'utilisent-ils pas ?
:lol: pas content Tonton Nicolas.

en tous cas, eux ils voyent cela:

(Microsoft - VirusTotal)

File is not signed
Image

(sur ma machine)

Image
Sujets similaires Statistiques Dernier message
Windows Defender : Des pirates contournent l’antivirus Microsoft
par NicolasCoolman  dans : Les nouvelles
0 Réponses
1048 Vues
par NicolasCoolman
zhpcleaner nettoyé par microsoft defender
par letoine  dans : ZHPCleaner
2 Réponses
269 Vues
par NicolasCoolman
icône windows Defender désactivé
par LeChe  dans : Support Windows
7 Réponses
3344 Vues
par ab_web
Windows Defender trompé par le rançongiciel LockBit
par NicolasCoolman  dans : Les nouvelles
0 Réponses
403 Vues
par NicolasCoolman
ZHPCleaner détecte sans cesse /pup-optional-crossrider
par lePassager71  dans : Analyse de rapports et Désinfection.
2 Réponses
328 Vues
par NicolasCoolman