Page 1 sur 3

Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

MessagePosté :18 sept. 2019, 16:54
par NicolasCoolman
Hello,

Depuis quelques versions, Windows Defender Antivirus (WD) détecte mes logiciels en tant que trojan, ce sont bien sûr des faux-positifs.

Nul doute que cela provient de l'analyse des programmes écrits en AutoIt.

Pour vous donner un exemple :

Je viens de créer un programme (test.au3) avec une seule ligne qui affiche un message 'Hello World' à l'écran :
MsgBox(0, 'Bienvenue', "Hello World" )

Une fois compilé et soumis à VirusTotal, ce programme executable (test.exe) est déjà détecté par 2 antivirus dont un en tant que trojan.
Antiy-AVL Trojan/Generic.ASVCS3S.1E5
SecureAge APEX Malicious


Etonnant non !

Alors vous imaginez ce que cela peut donner avec un programme de plus 30000 lignes de codes.

Re: Windows Defender Antivirus détecte ZHPCleaner et ZHPDiag (Faux Positifs)

MessagePosté :19 sept. 2019, 10:10
par NicolasCoolman
Hello,

Je viens de soumettre la dernière version de ZHPCleaner (v140) à VirusTotal.

Le résultat est flagrant (1/70), Microsoft WD fait de la résistance et trouve toujours un trojan avec encore un nom différent (Trojan:Win32/Azden.A!cl) !
Voir l'analyse

Est-ce volontaire ?

Re: Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

MessagePosté :19 sept. 2019, 10:35
par dalton
Bonjour Nicolas,
Comme je l'ai déjà écrit,je télécharge tes outils sans difficulté...je les soumets pour analyse à WD qui ne me trouve aucune menace...bizarre non!

Re: Windows Defender Antivirus détecte ZHPCleaner et ZHPDiag (Faux Positifs)

MessagePosté :19 sept. 2019, 10:43
par Australien
NicolasCoolman a écrit :

Est-ce volontaire ?
Hello

je ne crois pas et n'en voit pas les raisons.

par contre la variable commune à toutes les analyses VT du soucis qui dure depuis 15 jours c'est le commentaire d'un certain "thor"*.
https://www.virustotal.com/gui/file/ba9 ... /community

Detection
============================
Rule: SUSP_AutoIt_Indicators_Feb19_4
Rule Set: Suspicious Indicators 2

* THOR APT Scanner - Nextron Systems

Bizarrement (comme le souligne dalton) il n'y a aucune détection chez certains, mais dans de rares cas jusqu'à présent.

Re: Windows Defender Antivirus détecte ZHPCleaner et ZHPDiag (Faux Positifs)

MessagePosté :19 sept. 2019, 11:07
par NicolasCoolman
Australien a écrit : 19 sept. 2019, 10:43 par contre la variable commune à toutes les analyses VT du soucis qui dure depuis 15 jours c'est le commentaire d'un certain "thor"*.
Je n'ai pas compris le commentaire Twitter, il manque d'explication !

Mais sa description me laisse perplexe, ma version AutoIt provient du site officiel et sa dernière mise à jour de version date de quelques mois.
Detects unknown AutoIt software with malware indicators

Re: Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

MessagePosté :19 sept. 2019, 11:15
par Australien
Hello

question peut être con > ce serait pas upx qui met la merde.

Mes exécutables AutoIt sont-ils vraiment infectés ?

Re: Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

MessagePosté :19 sept. 2019, 11:19
par NicolasCoolman
Australien a écrit : 19 sept. 2019, 11:15 question peut être con > ce serait pas upx qui met la merde.
Non, car je ne coche pas l'option "UPX" à la compilation.

Re: Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

MessagePosté :19 sept. 2019, 11:27
par Australien
moi j'ai remonté (une demi douzaine de fois) des samples à Microsoft en tant que simple utilisateur, faux positif qui ont été corrigés dans la journée. Le soucis est qu'à chaque nouvelle version, Microsoft remet tes logiciels dans leurs détections.

Peut être devrais tu remonter des samples en tant que développeur, mais je crois pas que cela change grand chose....

Re: Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

MessagePosté :19 sept. 2019, 11:38
par NicolasCoolman
Australien a écrit : 19 sept. 2019, 11:27 Le soucis est qu'à chaque nouvelle version, Microsoft remet tes logiciels dans leurs détections.
Effectivement ! Mais j'ai créé un certificat pour mes logiciels, pourquoi ne l'utilisent-ils pas ?

Je pense que les autres antivirus doivent s'en servir.

En effet, quand j'ai soumis mon fichier d'une ligne "test.exe" non signé à VirusTotal, la solution Antiy-AVL a détéctée un trojan.
Alors que Antiy-AVL ne détecte rien avec la v140 de ZHPCleaner qui lui est signé et qui utilise maintes fois la fonction "MsgBox()".

Re: Windows Defender Antivirus détecte ZHPCleaner (Faux Positif)

MessagePosté :19 sept. 2019, 11:50
par Australien
a écrit :Mais j'ai créé un certificat pour mes logiciels, pourquoi ne l'utilisent-ils pas ?
:lol: pas content Tonton Nicolas.

en tous cas, eux ils voyent cela:

(Microsoft - VirusTotal)

File is not signed
Image

(sur ma machine)

Image