AutoIt und Antivirus-Fehlalarme

AutoIt ist eine mächtige und gleichzeitig leicht zu erlernende Skriptsprache. Sie macht es möglich, die Skripte auch zu ausführbaren EXE-Dateien zu kompilieren und optional mit UPX zu komprimieren. All diese Attribute machen AutoIt daher neben der eigentlichen Zielgruppe auch noch für Leute mit bösen Hintergedanken interessant.

In der Regel analysieren Antivirenprogramme u.a. anhand von Prüfsummen, Verhaltensmustern und dem Aufbau einer Datei. Dieser wird z.B. durch UPX extrem verändert. UPX war vor 10 Jahren noch der letzte Schrei für Entwickler. Mittlerweile aber aufgrund seiner Verschleierungsmöglichkeiten bei vielen Antiviren-Herstellern ohne wenn und aber zum Abschuss frei gegeben. Ich selbst empfehle auf jeden Fall auf UPX zu verzichten! Doch selbst ohne UPX geraten AutoIt-Skripte gerne ins Fadenkreuz von Antiviren-Software und lösen oft einen Fehlalarm („false-positive“) aus. Einige wenige, meist eher unbekannte und teils fernöstliche Antiviren-Hersteller scheinen AutoIt-Programme sogar grundsätzlich als infiziert abzustempeln:

Auch ohne dass das AutoIt-Programm einen einzigen Befehl ausführt, erzeugen einige Antiviren-Programme Fehlalarme.

Und die Lösung für AutoIt?

Es gibt zwar nicht DIE Lösung für das Problem, aber ihr könnt sowohl als Schöpfer von AutoIt-Programmen als auch als Anwender etwas tun.

Aus Sicht des Entwicklers

Die radikale Lösung wäre, auf AutoIt oder andere Skriptsprachen zu verzichten und stattdessen Programmiersprachen wie z.B. C++ zu verwenden. Doch das geht am eigentlichen Sinn von Skriptsprachen vorbei. Wenn ihr Programme in AutoIt schreibt, solltet ihr daher nur die absolut nötigsten Includes vornehmen und so wenige „Systemmanipulationen“ (Dateien kopieren, Registry-Einträge vornehmen, etc.) wie möglich verwenden. Wie eingangs schon erwähnt, solltet ihr auch tunlichst auf den Einsatz von UPX verzichten. Sollte euer kompiliertes Skript bei einem Antiviren-Programm einen Fehlalarm auslösen, könnt ihr in vielen Fällen den Antiviren-Hersteller kontaktieren und die betreffende Programmdatei zur Analyse einschicken. Eine umfangreiche Liste von Herstellern und Kontaktmöglichkeiten findet ihr hier.

Aus Sicht des Endanwenders

Eine gesunde Portion Misstrauen gegenüber jeglichen Programmen und Skripten aus dem Internet ist immer angebracht. Egal ob diese auf einem kleinen Blog oder auf großen Download-Seiten angeboten werden. Ihr solltet heruntergeladene Skript- und ausführbare Programmdateien grundsätzlich erst selbst mit einer Antiviren-Software prüfen. Ladet die Datei dann zusätzlich noch auf virustotal.com hoch, um sie mit Dutzenden Antiviren-Engines prüfen zu lassen. Hier ist es allerdings durchaus möglich, dass AutoIt-Skripte bei ein paar wenigen Antiviren-Engines (vor allem bei eher kleinen, unbekannten) Fehlalarme auslösen. Solange die „Großen“ wie Kaspersky, GData, BitDefender, Avast, Symantec, usw. nichts zu meckern haben, solltet ihr auf der sicheren Seite sein.

Diese Beiträge könnten dich auch interessieren:

Automatisierung unter Windows mit AutoIt

Werbung in Skype deaktivieren

AutoIt: Logging-Funktion