1 GP
AutoIt v3.2.12.1官方版 VS 綠色繁中版 檔案掃毒心得 ※
作者:無痕之音│2008-06-14 11:11:18│巴幣:2│人氣:4949
‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧
※ AutoIt v3.2.12.1官方版 VS 綠色繁中版 病毒比對心得 ※
=========================================================
這一次個人去官方網站下載正宗的AUTOIT軟體:AutoIt v3.2.12.1官方版本,
把它們全部都進行 VIRUSTOTAL 網站掃毒做報告出來。
之所以這麼做,是想確認網路上找來的 AutoIt 3.2.2.0 繁體中文化版到底是不是有毒。
先前發文的文章有概略之討論,但是之後個人還是要做一些修正:Trojan Hunter 5 Build 965 版『 專防木馬軟體』使用心得(補充)
這個心得修正會於文中提到。
首先是將所有的檔案都用 7-ZIP 最大壓縮丟 VIRUSTOTAL...
重點:AutoIt v3.2.12.1官方版本是官方網站下載的,所以不會有人為破解、植入木馬病毒的可能性。
所以經由多家防毒軟體掃描的結果是可以信任的。
當然也可以輕易地觀查出最容易誤判的防毒軟體....
尤於 AUTOIT 3 是一種自動化腳本程式,其性質類似外掛
(其實用來寫遊戲頂多像按鍵精靈那樣,跟專門外掛不能比)
,而個人僅用它來寫一些最基本、最簡單,做軟體自動化之安裝,以代替滑鼠之點選動作。
尤其是某些死都不給靜默自動安裝參數指令的軟體,這東西就可以搬出來用了.....
至於無人值守的安裝製作方式,等個人極無聊有空想寫時就發一篇出來吧,但內容可能相當冗長。
---------------------------------------------------------
以下,就先列出將 AutoIt v3.2.12.1官方版 整個檔案壓縮成 AutoIt3.7z (以 7-ZIP 壓縮軟體極致壓縮)
丟 VIRUSTOTAL的掃描結果吧:
http://www.virustotal.com/zh-tw/analisis/316f7a61019c149d4be1541a524f87c9
檔案 AutoIt3.7z 接收於 2008.06.14 03:53:37 (CET)
當前狀態:
結果: 0/32 (0%)
反病毒引擎 版本 最後更新 掃瞄結果
AhnLab-V32008.6.13.12008.06.13-
AntiVir7.8.0.552008.06.13-
Authentium5.1.0.42008.06.14-
Avast4.8.1195.02008.06.14-
AVG7.5.0.5162008.06.13-
BitDefender7.22008.06.14-
CAT-QuickHeal9.502008.06.13-
ClamAV0.92.12008.06.14-
DrWeb4.44.0.091702008.06.13-
eSafe7.0.15.02008.06.12-
eTrust-Vet31.6.58732008.06.14-
Ewido4.02008.06.13-
F-Prot4.4.4.562008.06.12-
F-Secure6.70.13260.02008.06.13-
Fortinet3.14.0.02008.06.13-
GData2.0.7306.10232008.06.14-
IkarusT3.1.1.26.02008.06.13-
Kaspersky7.0.0.1252008.06.14-
McAfee53172008.06.13-
MicrosoftNone2008.06.13-
NOD32v231862008.06.13-
Norman5.80.022008.06.13-
Panda9.0.0.42008.06.13-
Prevx1V22008.06.14-
Rising20.48.42.002008.06.13-
Sophos4.30.02008.06.14-
Sunbelt3.0.1145.12008.06.05-
Symantec102008.06.14-
TheHacker6.2.92.3492008.06.13-
VBA323.12.6.72008.06.14-
VirusBuster4.3.26:92008.06.12-
Webwasher-Gateway6.6.22008.06.13-
...............
...............
全部掛零.......
經小的這樣一搞,這讓所有掃毒軟體完全掃不出來。
主因就是該軟體壓縮過後,原本的編碼改變,因此造成防毒軟體辨識之困難。
壓縮軟體的原理,就是將原來檔案的編碼重新編排組合,使之大小"看起來" 變小了而已。
如檔案原來是 123333333 就編排為 123x7 (7個3 故x7) 如此檔案大小自然就變小了。
例:
假設 Code - B 壓縮定義:
w -01
x -1
y -001
z -000
軟體原碼為 wxxyz 壓縮後經 Code - B 編碼後為 0111001000,當然這是將高階語言轉換成低階語言,便達到壓縮之目地。所以這樣的結果參考就好。
.......................................................
另一組 AutoIt 3.2.2.0 繁體中文化版 對照,這是網路上找來經過綠化繁體中文化的 AutoIt 軟體,
內部是否被加料不可得知,不過先前心得說明有些檔案是有問題的,目前則更進一步詳查。
VIRUSTOTAL 掃描結果如下:
http://www.virustotal.com/zh-tw/analisis/8ebc8b4939b91ce4c3253d5a96011212
檔案 AutoIt_3.2.2.0_.7z 接收於 2008.06.14 04:25:17 (CET)
當前狀態:
結果: 1/32 (3.13%)
反病毒引擎 版本 最後更新 掃瞄結果
AhnLab-V32008.6.13.12008.06.13-
AntiVir7.8.0.552008.06.13-
Authentium5.1.0.42008.06.14-
Avast4.8.1195.02008.06.14-
AVG7.5.0.5162008.06.13-
BitDefender7.22008.06.14-
CAT-QuickHeal9.502008.06.13-
ClamAV0.92.12008.06.14-
DrWeb4.44.0.091702008.06.13-
eSafe7.0.15.02008.06.12-
eTrust-Vet31.6.58732008.06.14-
Ewido4.02008.06.13-
F-Prot4.4.4.562008.06.12-
F-Secure6.70.13260.02008.06.13-
Fortinet3.14.0.02008.06.13-
GData2.0.7306.10232008.06.14-
IkarusT3.1.1.26.02008.06.13-
Kaspersky7.0.0.1252008.06.14not-a-virus:Monitor.Win32.Hooker.s
McAfee53172008.06.13-
MicrosoftNone2008.06.13-
NOD32v231862008.06.13-
Norman5.80.022008.06.13-
Panda9.0.0.42008.06.13-
Prevx1V22008.06.14-
Rising20.48.42.002008.06.13-
Sophos4.30.02008.06.14-
Sunbelt3.0.1145.12008.06.05-
Symantec102008.06.14-
TheHacker6.2.92.3492008.06.13-
VBA323.12.6.72008.06.14-
VirusBuster4.3.26:92008.06.12-
Webwasher-Gateway6.6.22008.06.13-
就算經過7-ZIP 高度壓縮,還是被卡巴偵測出含有一個監控程式,這是合理的結果。
.......................................................
以下正題,這是 AutoIt v3.2.12.1官方版裡頭的檔案個別丟到VIRUSTOTAL 掃描結果。
由於不想列太長佔篇幅,所以就僅列出掃出問題的部份,至於其它檔案呢?
不用說,剩下個人沒列出的,都是經過掃描完全沒有問題的,所以就不列出,以下的結果
可以看出哪家特別容易誤判,因為該檔案軟體是自官方網站下載安裝的,所以其實沒有問題。
http://www.virustotal.com/zh-tw/analisis/d668228b41f454b44afa7f58abc088c6
檔案 AutoIt3A.exe 接收於 2008.06.14 00:57:59 (CET)
當前狀態:
結果: 1/32 (3.13%)
Panda9.0.0.42008.06.13Suspicious file
http://www.virustotal.com/zh-tw/analisis/ba8425e776ee9f9ca8b375cb68723b30
檔案 upx.exe 接收於 2008.06.14 00:09:17 (CET)
當前狀態:
結果: 2/32 (6.25%)
eSafe7.0.15.02008.06.12suspicious Trojan/Worm
Panda9.0.0.42008.06.13Suspicious file
http://www.virustotal.com/zh-tw/analisis/ce0bdf2578e40e97c338c481b795690c
檔案 AutoItASC.bin 接收於 2008.06.14 00:20:40 (CET)
當前狀態:
結果: 1/32 (3.13%)
Panda 9.0.0.4 2008.06.13 Suspicious file
http://www.virustotal.com/zh-tw/analisis/ecfb82c8f37a5c4bb37be41f20456fb7
檔案 AutoItV2toV3.exe 接收於 2008.06.14 00:32:12 (CET)
當前狀態:
結果: 2/32 (6.25%)
eSafe7.0.15.02008.06.12suspicious Trojan/Worm
Panda9.0.0.42008.06.13Suspicious file
http://www.virustotal.com/zh-tw/analisis/6a6f1be95ec57a364cada052295364f2
檔案 sqlite3.exe 接收於 2008.06.14 00:36:10 (CET)
當前狀態:
結果: 2/32 (6.25%)
eSafe 7.0.15.0 2008.06.12 suspicious Trojan/Worm
Prevx1 V2 2008.06.14 Suspicious
http://www.virustotal.com/zh-tw/analisis/506179260ce87d6d7436e94fa136f8b6
檔案 Include.rar 接收於 2008.06.14 00:45:33 (CET)
當前狀態:
結果: 1/32 (3.13%)
eSafe7.0.15.02008.06.12VBS.Inor.u
註:Include.rar 其實是將『AutoIt3』目錄下的『Include』目錄最大壓縮成Include.rar,
其內部的內容檔案都只有 *.AU3 腳本檔而已,直言之,裡面的都是純文字,都可以用記事本直接打開修改。
--------------------------------------------------------
下面的是有問題的 AutoIt 3.2.2.0 繁體中文化版 掃描結果
將 [Au3Info.exe AutoIt3.exe Au3Check.exe]壓縮成 AutoIt 3.2.2.0.rar 掃描:
http://www.virustotal.com/zh-tw/analisis/24e43fc0e5dd039668b6afb8c661cc52
檔案 AutoIt_3.2.2.0.rar 接收於 2008.06.14 01:07:58 (CET)
當前狀態:
結果: 3/32 (9.38%)
eSafe7.0.15.02008.06.12Suspicious File
Panda9.0.0.42008.06.13Suspicious file
Webwasher-Gateway6.6.22008.06.13Worm.Win32.Malware.gen#ASPack!90 (suspicious)
http://www.virustotal.com/zh-tw/analisis/90b0ba159611d822b91849e231c8d1e9
檔案 Aut2Exe.rar 接收於 2008.06.14 01:10:33 (CET)
當前狀態:
結果: 3/32 (9.38%)
eSafe7.0.15.02008.06.12Suspicious File
IkarusT3.1.1.26.02008.06.13Trojan-Downloader.Win32.Dluca.cr
Webwasher-Gateway6.6.22008.06.13Win32.Malware.gen#PECompact!92 (suspicious)
http://www.virustotal.com/zh-tw/analisis/7dc15d49096cc96bfdba2cdcff0caa8e
檔案 Exe2Aut.exe 接收於 2008.06.14 01:18:28 (CET)
當前狀態:
結果: 2/32 (6.25%)
eSafe7.0.15.02008.06.12Suspicious File
Webwasher-Gateway 6.6.2 2008.06.13 Win32.Malware.gen#ASPack!90 (suspicious)
http://www.virustotal.com/zh-tw/analisis/6a45449590da9186f76edcd9e875d11f
檔案 SciTE.exe 接收於 2008.06.14 01:37:38 (CET)
當前狀態:
結果: 2/32 (6.25%)
eSafe7.0.15.02008.06.12suspicious Trojan/Worm
Webwasher-Gateway6.6.22008.06.13Win32.ModifiedUPX.gen!82 (suspicious)
======================================================
結論:
※※※※※※※※※※※※※※※※※※※※※
Panda、eSafe 這兩家誤判檔案的機率太大了,
前者不查殼,後者防駭能力普普,還談不上道。
※※※※※※※※※※※※※※※※※※※※※
所以這兩家掃描的結果,真的只能做參考而已。
※※※※※※※※※※※※※※※※※※※※※
至於企業常用的 Webwasher-Gateway 不論是專業評測網站還是其掃木馬(包括免殺過的木馬)的能力,
它的能力是很不錯的,誤判率也不高,所以值得參考一題。(好像變成防毒軟體測試了???)
總之就以上,將官方網站提供的 AutoIt v3.2.12.1官方版跟 綠化版被加料過的版本相比,可以確定後者被植入木馬的可能性極高。
在這邊我必需修正的觀點是 ─ 原先認為我找來的 AutoIt 3.2.2.0 其中底下的:Au3Info.exe (視窗檢查器)AutoIt3.exe(自動化執行器)、Au3Check.exe(檢查腳本錯誤),包括『Aut2Exe』目錄下的 Aut2Exe.exe(腳本轉換執行檔器)以及『SciTE』目錄下的 SciTE.exe 是沒問題的。
但經過如此之比對後,只能確認這些檔案....顯然都有被加料過了...
因為這些檔案,官方板本的檔案是"掃不出病毒"的!
所以總結:這類綠化過的不明軟體,還是別任意下載使用的好,還是以官方軟體為主。
目前正在將 XnView 這套綠化版看圖軟體,做成壓縮檔上傳 VIRUSTOTAL 掃描...
檔案大小原本是 26.9MB 最佳壓縮後是 9.69MB。
等結果如何,再看看如何,視情況修改此文補充。
---- XnView 掃描結果:----
http://www.virustotal.com/zh-tw/analisis/17792d3f20d5c012f58beba95aeb7033
檔案 XnView.rar 接收於 2008.06.14 05:38:18 (CET)
當前狀態:
結果: 0/31 (0%)
全部掛零... 看來還好嘛。
改天來丟*.EXE檔一個個測試好了......
------ 本篇說明就以上 ------
引用網址:https://home.gamer.com.tw/TrackBack.php?sn=717431
All rights reserved. 版權所有,保留一切權利
創作內容
坂田吾朗九段連珠 BPV (34)