AutoHotkey Community

[IsNull (n-l-i)]

Wie hier zu sehen ist, machen false positives wieder mal Probleme. Und da es nicht gerade einen guten Eindruck hinterlässt, wenn man öffentlich Tools anbietet die dann als Malware abgestempelt werden, möchte ich etwas dagegen unternehmen. Knonkret heist das, Kontaktaufnahme mit McAfee.

Da es nicht nur mein oben verlinktes Tool betrifft, sondern vielmehr alle in dieser AHK Version kompilierten Programme, denke ich das es auch hier auf Interesse stossen könnte.

Ich habe vor denen eine Mail zu schreiben (ich werde den Entwurf am Nachmittag posten) und da mal nachhacken. Es kann einfach nicht angehen, dass die immer ihre Signatur in den Interpreter setzten. Dazu kommt natürlich noch der UPX Packer, welcher auch bei vielen mal Grundsätzlich als bösartig gillt.

Alle Anregungen und Ideen dazu sind erwünscht. Natürlich dann auch eine Diskussion über die E-Mail.
Grüsse
IsNull

[M'o]

Volle Unterstützung meinerseits! Bei mir sind heute morgen in der Firma alle kompilierten Skripte weggeflogen. Wenn ich Dir helfen kann, sag mir wie. 's ist einfach nur zum Ko**en.

cIao
M'o

[IsNull (n-l-i)]

[Milchmann]

ebenfalls siehe auch mein Text leider uneingeloggt
http://de.autohotkey.com/forum/viewtopic.php?t=1884&start=120

Wenn ich helfen kann nur zu.
Müsste es nicht eigentlich auch so etwas im englischen Forum mit den gleichen Problemen geben ?


Bert

[Obi-Wahn]

Also derzeit erkennen
eSafe 7.0.15.0
Ikarus T3.1.1.26.0
McAfee 5290
NOD32v2 3086
Panda 9.0.0.4
Prevx1 V2

eine kompilierte AHK als irgendwie Gefährlich oder Verdächtig.

Da ich aber auch den anderen Thread gelesen hab:
UPX wird nur von
eSafe 7.0.15.0

als verdächtig / Trojaner erkannt.

Greets
O-W

Ps.: Gescannt über www.virustotal.com/de
_________________
Garten ist eine Kunstnatur
Das Leben ist nicht fair. Es ist nur fairer als der Tod, das ist alles.
Obi-Wahns Codeschnipsel @ securityvision.ch

[M'o]

[DerRaphael]

Hi, ich habe mal den Text ein wenig umgekrempelt: (Alte zu enfernende Text sehen so aus) Neue von mir eingefügte so

Im Namen der Autohotkey Community:

Guten Tag,

(

Im Namen der Autohotkey Community:
)
Wir erstellen Software(Programme/Skripte) mit der Open Source (OSS) Skriptsprache Autohotkey. Diese (werden) wird durch das (nach dem) ("k)Kompilieren(") sehr häufig als Malware (Maleware) eingestuft (-) und sind damit false positives. Es kann (Mag) daran liegen, dass die kompilierten Skripte (Kompilate) mit UPX gepackt werden. (Dies ist standardmässig so beim Compiler eingestellt.) Das ist die verwendete Standardeinstellung.

(Dies führt dazu, dass )Ihr Produkt (u.a. "McAfee VirusScan") zur Virenbekämpfung erkennt alle Programme, die mit Autohotkey erstellt(kompiliert) wurden, als Malware (einstuft /) und (somit auch gleich löscht) macht diese harmlosen und nützlichen Programme damit unschädlich. (-)Das ist sehr unangenem für uns. (Noch v)Viel schlimmer aber wird es (aber), wenn unsere Programme in Firmen genutzt (werden,) und dann arglose(ahnungslose) Benutzer durch(mit) solchen false positives verunsichert werden(in Panik geraten). Weder (Auch) unserem noch Ihrem Ruf (tut dies nicht gerade gut) ist ein derartiges Verhalten von Antivirensoftware förderlich.

Es ist leider nicht das erste Mal, dass es (diese ") false positves(" bei) in Zusammenhang mit Autohotkey(-UPX) gibt. Wir möchten sie deshalb bitten(,) beim (e)Erstellen (von den) der Signaturen darauf zu achten, dass sie nicht den (Interperter)Interpreter selbst als Virus abstempeln.

Mit freundlichen Grüßen(Freundliche Grüsse)
Autohotkey Community

de.autohotkey.com

Hier nochmals der gleiche Text - ohne die Altbestände (roten Texte):

[IsNull(n-l-i)]

Danke für deine Korrekturen. Bis auf arglos - ahnungslos bin ich einverstanden. Da allerdings finde ich ahnungslos doch treffender.

Übrigens: Wohin würdet ihr die Mail schicken? vendor_questions@mcafee.com?

Siehe: http://de.mcafee.com/root/aboutUs.asp?id=contactUs

[Ripp3r]D3[]

[DerRaphael]

arglos setzte ich immer mit sorgenfrei und unbedarft in verbindung

ahnungslos hingegen verbinde ich immer mit inkompetent.

wenn also eine firma angesprochen und deren kunden als inkompetent bezeichnet werden, sind die erfolgsaussichten, dass man was bewegt eher als gegen null strebend anzusehen.

@ripper:

[Ripp3r]D3[]

unschädlich unbrauchbar
_________________

ResistantX:
"...In deren Köpfen läuft das selbe Programm welches auch bei den früheren Jahrgängen lief! Ich bin der Virus der diese Programme zerstören will..."

[DerRaphael]

Da McAfee u.a. zu nai.com gehört, dachte ich mir es wäre nicht verkehrt den Text auch in einer us-englischen Variante zu liefern. Da es sich bei mir lediglich um Schulenglisch handelt, sind Verbesserungsvorschläge erwünscht und gefordert.

Und hier der aktualisierte Text (Es ist eine sinngemäße und keine Wort-für-Wort-Übersetzung):

Zitat:

Im Namen der Autohotkey Community: Guten Tag, Wir erstellen Software mit der Open Source Skriptsprache Autohotkey. Diese wird durch das Kompilieren sehr häufig als Malware eingestuft und sind damit false positives. Es kann daran liegen, dass die kompilierten Skripte mit UPX gepackt werden. Das ist die verwendete Standardeinstellung. Ihr Produkt zur Virenbekämpfung erkennt alle Programme, die mit Autohotkey erstellt wurden, als Malware und macht diese harmlosen und nützlichen Programme damit unbrauchbar. Das ist sehr unangenem für uns. Viel schlimmer aber wird es, wenn unsere Programme in Firmen genutzt und dann arglose Benutzer durch solchen false positives verunsichert werden. Weder unserem noch Ihrem Ruf ist ein derartiges Verhalten von Antivirensoftware förderlich. Es ist leider nicht das erste Mal, dass es false positves in Zusammenhang mit Autohotkey gibt. Wir möchten sie deshalb bitten beim Erstellen der Signaturen darauf zu achten, dass sie nicht den Interpreter selbst als Virus abstempeln. Mit freundlichen Grüßen Autohotkey Community de.autohotkey.com

Zitat:

In the name of Autohotkey's community (Germany): Good day, We create software with the open source scripting language Autohotkey. After compiling our software is often recognized as malware and therefore as a false positive. A reason might be, that the compiled scripts are UPX packed. This is the default setting. Your antiviral product recognizes every program, that was done with Autohotkey as malware and renders these harmless and useful tools useless. This is a very displeasing behaviour. It gets even worse when our programs are used in companies and because of false positives trusting users get bewildered. Neither our nor your reputation does such behaviour of antiviral software any good. Sadly this is not the first time that there are false positives with compiled Autohotkey scripts as a background. We'd like to ask you when generating virii signatures, that not Autohotkey's scripting language interpreter is treated as the malware. Kind regards, Autohotkey Community / Germany de.autohotkey.com

grüße
derRaphael
_________________

[ AHK Forum Plugins (de/en) | AHK Hilfe | http://playahk.com]
-------------------------
Moderator

[Dbof]

Sieht aus wie Google Translate

[DerRaphael]

was du wolle?!? das translate von oben, war mit ohne google gemacht worden ... ich versteh dich nicht,

grüße
derRaphael
_________________

[ AHK Forum Plugins (de/en) | AHK Hilfe | http://playahk.com]
-------------------------
Moderator

[Dbof]

locker bleiben, war Spaß, hab nur über die Fähigkeiten von Google gelästert


Soviel zu