Faux-positif Sur Des Programmes Autoit

Bonjour,


Je viens vous signaler un problème sur un projet logiciel en AutoIt et compressé en UPX.


- Le site en question : http://www.naio.fr


- Le fichier incriminé : http://files.naio.fr/iss/.old/nAiO-Install_1.5.0035.exe


- Le virus détecté : Gen:Trojan.Heur.AutoIT.1


Un utilisateur nous a remonté que le fichier lui avait modifié sa page de démarrage internet par un "about:blank". Etant donné que les sources sont disponibles dans le projet et que rien dans le code ne modifie cela, nous avons tenté de le raisonner en lui annonçant qu'il s'agissait sans doute d'un faux-positif. Nous avons vérifié sur différents autres antivirus, mais pas spécialement avec Bit-Defender. Peut-être détecte-t-il quelque chose que les autres n'ont pas vu, nous ne sommes pas formels sur ce souci.


La nouvelle mise à jour 1.5a du projet, datant du 08/07/2012, ne déclenche aucun souci, quand à elle. La différence principale vient du fait que nous n'utilisons pas de compression UPX, ce qui risque d'être handicapant sur le long terme vu la taille que prenne certains programme si on désactive l'UPX.


- Le fichier en question : http://files.naio.fr/iss/nAiO-Install.exe


- Résultat sur VirusTotal : https://www.virustotal.com/file/7f919d444052759f60bc4fe0b673c036fcbefb952d91342515bf07f0806dd585/analysis/1341835711/


Ce problème semble récurrent depuis 2006, puisque des évènements semblables sont remontés assez souvent sur le forum officiel AutoIt, et sur votre forum aussi.


- Topic AutoIt : http://www.autoitscript.com/forum/topic/34658-are-my-autoit-exes-really-infected/


- Topic Bit-Defender (relativement similaire) : http://forum.bitdefender.com/index.php?showtopic=22710


Présentation :


Le nAiO est un outil sous licence GNU/GPL3 agissant comme un outil/compagnon pour les joueurs de Dofus ou Wakfu entre autres. Il permet la connexion automatique de vos comptes, des captures d'écran automatiques assistées, et grâce à des modules optionnels, il est évolutif (calculateur de dégâts, gestionnaire de fenêtres et de raccourcis, etc...). Le logiciel est en accord avec les CGUs de la société Ankama détentrice des droits sur les jeux concernés, celles du jeu en ligne Dofus et du jeu en ligne Wakfu, et du site Jeux-On-Line dont la notoriété du nAiO a été lancée grâce à leur forum.


Merci d'avance !


ZDS, chef de projet du nAiO


PS: Les fichiers sont en ligne car la taille maximale en pièce jointe est de 4Mo, contre 7Mo environ chaque archive.

Réponses

  • Bonjour ZDS,


    J'ai récupéré l'exécutable depuis le premier lien que vous avez indiqué (celui qui permet de récupérer l'exécutable compressé en UPX), j'ai fait un test d'installation. Effectivement le programme principal nAiO.exe est détecté. Je fais le nécessaire auprès de mes collègues pour que la fausse détection soit retirée.


    Cordialement,


    Yann

  • Bonjour ZDS,


    J'ai été informé par le labo que la fausse détection allait être retirée dans la journée et qu'un correctif générique sera mis en place afin que les futures versions ne soient plus détectées.


    Cordialement,


    Yann

  • Waahhh merci beaucoup pour cette réactivité :)


    En tout cas, c'est un soulagement de savoir que notre outil n'est pas véritablement infecté (comme je le disais nous pouvons tous faire des erreurs).


    Merci encore, et à bientôt !

  • ZDS
    ZDS
    Modifié (juillet 2012)

    Bonjour,


    J'aimerai juste souligner le fait que le fichier "naio.exe" contenu dans l'installeur est bien ignoré par l'anti-virus, ce qui n'est pas le cas des autres (connexion.exe, aio-log.exe, mininit.exe, etc... en bref, tous les exes présents dans le sous-dossier "Modules" de notre projet). Enfin, n'ayant pas pu vérifier par moi même, c'est un utilisateur qui nous en a informé (le même utilisateur qui a prévenu la première fois).


    Merci d'avance !


    EDIT: Pour info, j'ai installé BD sur une VM Win7 64bits Pro, et sur cette machine virtuelle l'antivirus n'a pas de souci et ne dit rien sur les modules en question. Est-ce possible que ce soit l'ordinateur de l'utilisateur cité ci-dessus qui ait un problème? Ou bien que BD fonctionne mal sur des machines virtuelles?

  • Bonjour ZDS,


    Pourtant lors d'un test je n'ai eu que l'exécutable principal de Naio qui était détecté !


    Je vais en informer le labo pour leur dire que le reste des programmes est aussi détecté.


    Cordialement,


    Yann


  • Bonjour ZDS,


    Pourtant lors d'un test je n'ai eu que l'exécutable principal de Naio qui était détecté !


    Je vais en informer le labo pour leur dire que le reste des programmes est aussi détecté.


    Cordialement,


    Yann



    Bonjour, la detection n'a toujours pas ete desactivé pour tout les fichiers !

  • Bonjour Dieu,


    Oui et c'est normal puisque j'ai remonté le fait que d'autres fichiers étaient faussement détectés hier en fin d'après-midi, il faut laisser un peu de temps au labo, qui je vous l'assure à pas mal de chats à fouetter ! Mais ça va venir, dès que possible la fausse détection sera retirée pour les autres programmes.


    Cordialement,


    Yann

  • Merci bien, si vous pouvez me prevenir une fois que ca sera fait ca serait sympa !