Faux-positif Sur Des Programmes Autoit

Bonjour,

Je viens vous signaler un problème sur un projet logiciel en AutoIt et compressé en UPX.

- Le site en question : http://www.naio.fr

- Le fichier incriminé : http://files.naio.fr/iss/.old/nAiO-Install_1.5.0035.exe

- Le virus détecté : Gen:Trojan.Heur.AutoIT.1

Un utilisateur nous a remonté que le fichier lui avait modifié sa page de démarrage internet par un "about:blank". Etant donné que les sources sont disponibles dans le projet et que rien dans le code ne modifie cela, nous avons tenté de le raisonner en lui annonçant qu'il s'agissait sans doute d'un faux-positif. Nous avons vérifié sur différents autres antivirus, mais pas spécialement avec Bit-Defender. Peut-être détecte-t-il quelque chose que les autres n'ont pas vu, nous ne sommes pas formels sur ce souci.

La nouvelle mise à jour 1.5a du projet, datant du 08/07/2012, ne déclenche aucun souci, quand à elle. La différence principale vient du fait que nous n'utilisons pas de compression UPX, ce qui risque d'être handicapant sur le long terme vu la taille que prenne certains programme si on désactive l'UPX.

- Le fichier en question : http://files.naio.fr/iss/nAiO-Install.exe

- Résultat sur VirusTotal : https://www.virustotal.com/file/7f919d444052759f60bc4fe0b673c036fcbefb952d91342515bf07f0806dd585/analysis/1341835711/

Ce problème semble récurrent depuis 2006, puisque des évènements semblables sont remontés assez souvent sur le forum officiel AutoIt, et sur votre forum aussi.

- Topic AutoIt : http://www.autoitscript.com/forum/topic/34658-are-my-autoit-exes-really-infected/

- Topic Bit-Defender (relativement similaire) : http://forum.bitdefender.com/index.php?showtopic=22710

Présentation :

Le nAiO est un outil sous licence GNU/GPL3 agissant comme un outil/compagnon pour les joueurs de Dofus ou Wakfu entre autres. Il permet la connexion automatique de vos comptes, des captures d'écran automatiques assistées, et grâce à des modules optionnels, il est évolutif (calculateur de dégâts, gestionnaire de fenêtres et de raccourcis, etc...). Le logiciel est en accord avec les CGUs de la société Ankama détentrice des droits sur les jeux concernés, celles du jeu en ligne Dofus et du jeu en ligne Wakfu, et du site Jeux-On-Line dont la notoriété du nAiO a été lancée grâce à leur forum.

Merci d'avance !

ZDS, chef de projet du nAiO

PS: Les fichiers sont en ligne car la taille maximale en pièce jointe est de 4Mo, contre 7Mo environ chaque archive.

Trouver d'autres publications étiquetées avec

Réponses

Yann A.

Bonjour ZDS,

J'ai récupéré l'exécutable depuis le premier lien que vous avez indiqué (celui qui permet de récupérer l'exécutable compressé en UPX), j'ai fait un test d'installation. Effectivement le programme principal nAiO.exe est détecté. Je fais le nécessaire auprès de mes collègues pour que la fausse détection soit retirée.

Cordialement,

Yann

Yann A.

Bonjour ZDS,

J'ai été informé par le labo que la fausse détection allait être retirée dans la journée et qu'un correctif générique sera mis en place afin que les futures versions ne soient plus détectées.

Cordialement,

Yann

ZDS

Waahhh merci beaucoup pour cette réactivité

En tout cas, c'est un soulagement de savoir que notre outil n'est pas véritablement infecté (comme je le disais nous pouvons tous faire des erreurs).

Merci encore, et à bientôt !

ZDS

Bonjour,

J'aimerai juste souligner le fait que le fichier "naio.exe" contenu dans l'installeur est bien ignoré par l'anti-virus, ce qui n'est pas le cas des autres (connexion.exe, aio-log.exe, mininit.exe, etc... en bref, tous les exes présents dans le sous-dossier "Modules" de notre projet). Enfin, n'ayant pas pu vérifier par moi même, c'est un utilisateur qui nous en a informé (le même utilisateur qui a prévenu la première fois).

Merci d'avance !

EDIT: Pour info, j'ai installé BD sur une VM Win7 64bits Pro, et sur cette machine virtuelle l'antivirus n'a pas de souci et ne dit rien sur les modules en question. Est-ce possible que ce soit l'ordinateur de l'utilisateur cité ci-dessus qui ait un problème? Ou bien que BD fonctionne mal sur des machines virtuelles?

Yann A.

Bonjour ZDS,

Pourtant lors d'un test je n'ai eu que l'exécutable principal de Naio qui était détecté !

Je vais en informer le labo pour leur dire que le reste des programmes est aussi détecté.

Cordialement,

Yann

Dieu

Bonjour ZDS,

Pourtant lors d'un test je n'ai eu que l'exécutable principal de Naio qui était détecté !

Je vais en informer le labo pour leur dire que le reste des programmes est aussi détecté.

Cordialement,

Yann

Bonjour, la detection n'a toujours pas ete desactivé pour tout les fichiers !

Yann A.

Bonjour Dieu,

Oui et c'est normal puisque j'ai remonté le fait que d'autres fichiers étaient faussement détectés hier en fin d'après-midi, il faut laisser un peu de temps au labo, qui je vous l'assure à pas mal de chats à fouetter ! Mais ça va venir, dès que possible la fausse détection sera retirée pour les autres programmes.

Cordialement,

Yann

Dieu

Merci bien, si vous pouvez me prevenir une fois que ca sera fait ca serait sympa !