Logo

AutoIt und Antivirus-Fehlalarme

AutoIt Antivirus False-PositiveAutoIt ist eine mächtige und gleichzeitig leicht zu erlernende Skriptsprache. Sie macht es möglich, die Skripte auch zu ausführbaren EXE-Dateien zu kompilieren und optional mit UPX zu komprimieren. All diese Attribute machen AutoIt daher neben der eigentlichen Zielgruppe auch noch für Leute mit bösen Hintergedanken interessant.

In der Regel analysieren Antivirenprogramme u.a. anhand von Prüfsummen, Verhaltensmustern und dem Aufbau einer Datei. Dieser wird z.B. durch UPX extrem verändert. UPX war vor 10 Jahren noch der letzte Schrei für Entwickler. Mittlerweile aber aufgrund seiner Verschleierungsmöglichkeiten bei vielen Antiviren-Herstellern ohne wenn und aber zum Abschuss frei gegeben. Ich selbst empfehle auf jeden Fall auf UPX zu verzichten! Doch selbst ohne UPX geraten AutoIt-Skripte gerne ins Fadenkreuz von Antiviren-Software und lösen oft einen Fehlalarm („false-positive“) aus. Einige wenige, meist eher unbekannte und teils fernöstliche Antiviren-Hersteller scheinen AutoIt-Programme sogar grundsätzlich zum Täter abzustempeln:

Auch ohne dass das AutoIt-Programm einen einzigen Befehl ausführt, erzeugen einige Antiviren-Programme Fehlalarme.

Auch ohne dass das AutoIt-Programm einen einzigen Befehl ausführt, erzeugen einige Antiviren-Programme Fehlalarme.

Und die Lösung?

Es gibt zwar nicht DIE Lösung für das Problem, aber ihr könnt sowohl als Schöpfer von AutoIt-Programmen als auch als Anwender etwas tun.

Aus Sicht des Entwicklers

Die radikale Lösung wäre, auf AutoIt oder andere Skriptsprachen zu verzichten und stattdessen Programmiersprachen wie z.B. C++ zu verwenden. Doch das geht am eigentlichen Sinn von Skriptsprachen vorbei. Wenn ihr Programme in AutoIt schreibt, solltet ihr daher nur die absolut nötigsten Includes vornehmen und so wenige „Systemmanipulationen“ (Dateien kopieren, Registry-Einträge vornehmen, etc.) wie möglich verwenden. Wie eingangs schon erwähnt, solltet ihr auch tunlichst auf den Einsatz von UPX verzichten. Sollte euer kompiliertes Skript bei einem Antiviren-Programm einen Fehlalarm auslösen, könnt ihr in vielen Fällen den Antiviren-Hersteller kontaktieren und die betreffende Programmdatei zur Analyse einschicken. Eine umfangreiche Liste von Herstellern und Kontaktmöglichkeiten findet ihr hier.

Aus Sicht des Endanwenders

Eine gesunde Portion Misstrauen gegenüber jeglichen Programmen und Skripten aus dem Internet ist immer angebracht. Egal ob diese auf einem kleinen Blog oder auf großen Download-Seiten angeboten werden. Ihr solltet heruntergeladene Skript- und ausführbare Programmdateien grundsätzlich erst selbst mit einer Antiviren-Software prüfen. Ladet die Datei dann zusätzlich noch auf virustotal.com hoch, um sie mit Dutzenden Antiviren-Engines prüfen zu lassen. Hier ist es allerdings durchaus möglich, dass AutoIt-Skripte bei ein paar wenigen Antiviren-Engines (vor allem bei eher kleinen, unbekannten) Fehlalarme auslösen. Solange die „Großen“ wie Kaspersky, GData, BitDefender, Avast, Avira, Symantec, usw. nichts zu meckern haben, solltet ihr auf der sicheren Seite sein.

4 Kommentare

Werbung in Skype deaktivieren | Aufschnur
23. September 2016 um 15:02 Uhr

[…] vor allem bei heruntergeladenen Dateien eine gesunde Portion Misstrauen zu haben! Ein Virenscan, wie hier beschrieben, gehört auf jeden Fall nach einem Download dazu. Es besteht für den normalen Anwender aber keine […]

Alex
24. September 2016 um 20:18 Uhr

Autolt war mir bis zu diesem Artikel hier fremd. Wieder etwas hinzugelernt. Danke und angenehmes Wochenende.

Cape-City
6. März 2017 um 16:21 Uhr

Interessanter Artikel und deckt sich genau mit meinen Erfahrungen! Ich habe es sogar, ohne Deinen Artikel vorher gekannt zu haben, in meinem neuen YouTube Video zu Thema AutoIt ebenfalls erklärt 😉

Grüße und schönen Feierabend, wenn es soweit ist!

Frank
29. Mai 2017 um 20:28 Uhr

… leider erkennt mein Avira free nun doch disableskypeads.exe als löschenswert und verschiebt es in die Quarantäne. Behelfe mir, indem ich Avira deaktiviere, disableskypeads.exe wieder herstelle und dann die Werbung durch dessen Start entferne. Beim nächsten Booten geht allerdings die nervige Erkennerei wieder von vorne los. Vielleicht bin ich zu doof, aber gibt nicht einen dauerhaften Weg, Avira beizubiegen, disableskypeads.ex zu ignorieren oder wenigstens nachzufragen, ob es in die Quarantäne verschoben werden soll???



Sag' deine Meinung