[R] Trojan:Win32/Wacatac.DF!ml

Aide et conseils concernant AutoIt et ses outils.
Règles du forum
.
Répondre
GMH
Niveau 6
Niveau 6
Messages : 227
Enregistré le : dim. 24 juin 2012 14:56
Status : Hors ligne

[R] Trojan:Win32/Wacatac.DF!ml

#1

Message par GMH »

Bonjour,

J'ai écrit un programme en AutoIt que j'ai compilé sur mon premier ordinateur.
En guise de sauvegarde, j'en ai fait une copie que j'ai enregistrée sur mon second ordinateur.
Tous deux sont protégés par Windows Defender.

Alors que le programme antivirus Windows Defender de mon premier ordinateur ne me signale aucun problème, celui du second ordinateur me signale la présence d'un Trojan qu'il intitule : TROJAN:Win32/Wacatac.DF!ml

J'ai passé l'exécutable à VirusTotal. Sur les 38 antivirus proposés sur le site, 4 détectent un Trojan, mais jamais le même !

Est-ce sérieux ? Je ne saurais guère installer ce trojan dans mon code. Je ne savais même pas qu'il existait. Et étant le seul à utiliser mon propre programme, je ne vois pas trop l'intérêt de me menacer !

Je vous remercie de me dire ce que vous en pensez.
Modifié en dernier par GMH le sam. 18 juil. 2020 09:44, modifié 1 fois.
Avatar du membre
Tlem
Site Admin
Site Admin
Messages : 11773
Enregistré le : ven. 20 juil. 2007 21:00
Localisation : Bordeaux
Status : Hors ligne

Re: [..] Trojan:Win32/Wacatac.DF!ml

#2

Message par Tlem »

Bonsoir.
Ceci est fort probablement un faux positif.
Beaucoup d'antivirus considère les scripts AutoIt compilés comme potentiellement dangereux.
Malheureusement il n'y a pas grand chose à faire si ce n'est d'envoyer une demande à l'éditeur avec tous les éléments pour signaler cette erreur.

Après si vous voulez éviter ce genre de déboire, compilez votre script en .A3x et lancez le directement avec AutoIt3.exe.
C'est moins simple mais plus tranquille.

Bonne soirée.
Thierry

Rechercher sur le forum ----- Les règles du forum
Le "ça ne marche pas" est une conséquence commune découlant de beaucoup trop de raisons potentielles ...

Une idée ne peut pas appartenir à quelqu'un. (Albert Jacquard) tiré du documentaire "Copié n'est pas volé".
Avatar du membre
walkson
Modérateur
Modérateur
Messages : 1020
Enregistré le : ven. 12 août 2011 19:49
Localisation : Hurepoix
Status : Hors ligne

Re: [..] Trojan:Win32/Wacatac.DF!ml

#3

Message par walkson »

Bonjour,
Vieux, vieux problème que vous soulevez là ! Je crois même qu'il y a une rubrique qui a été créé sur ce sujet sur le forum us
Pour ma part, ayant Avast comme antivirus, 1/3 de mes codes sont des "virus" y compris de simple listview !
Pour le code ci-dessous, j'ai été obligé de bloquer Avast pour pouvoir le compiler. Il faut dire que j'ai mis tout ce qu'il n'aime pas :lol:

Code : Tout sélectionner

#Region ;**** Directives created by AutoIt3Wrapper_GUI ****
#AutoIt3Wrapper_Outfile=essai.exe
#AutoIt3Wrapper_UseUpx=y
#AutoIt3Wrapper_Res_File_Add=%AUTOITDIR%\Aut2Exe\Icons\SETUP01.ico, RT_ICON, ICO_1, 0
#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****

FileInstall("C:\Program Files\AutoIt3\Examples\Helpfile\Extras\Pattern.bmp", @ScriptDir & "\Test.bmp")
#include <GUIConstantsEx.au3>
#include <StaticConstants.au3>
#include <WindowsConstants.au3>
Local $ICO_1
#Region ### START Koda GUI section ### Form=
Global $Form1 = GUICreate("Form1", 209, 261)
GUISetIcon(@ScriptFullPath)
Global $Pic1 = GUICtrlCreatePic(@ScriptDir & "\Test.bmp", 32, 58, 145, 145)
GUISetState(@SW_SHOW)
#EndRegion ### END Koda GUI section ###

While 1
 $nMsg = GUIGetMsg()
 Switch $nMsg
	 Case $GUI_EVENT_CLOSE
		 FileDelete(@ScriptDir & "\Test.bmp")
		Exit

 EndSwitch
WEnd

Le résultat de l'analyse https://www.virustotal.com/gui/file/981 ... /detection
11 détections :mrgreen:
La solution que j'ai trouvé est de mettre les codes compilés dans une partition où Avast ne doit pas surveiller.
Il faut comprendre aussi que Autoit a permis de créer facilement des virus et de ce fait, dès qu'un code Autoit est détecté, les antivirus le bloquent sans autres analyses :roll:
Une dernière remarque, si vous lancez votre code dans Scite puis une deuxième fois et Scite vous indique qu'il ne trouve pas le code, allez voir la zone de quarantaine de votre antivirus..... (c'était une spécialité d'Avast pendant un moment)
A remarquer, si j'avais introduit les images sous forme de binaire ou tous autres de programmes, les antivirus n'aurait pas réagit !
[Edit] Le boss vous a répondu pendant que j'écrivais mon message. Cela ne change pas ma réponse :wink:
Cordialement,
Walkson
"Horas non numero nisi serenas " Le canon de midi
(Je ne compte que les heures heureuses)
GMH
Niveau 6
Niveau 6
Messages : 227
Enregistré le : dim. 24 juin 2012 14:56
Status : Hors ligne

Re: [R] Trojan:Win32/Wacatac.DF!ml

#4

Message par GMH »

Merci à tous deux pour ces éclaircissements qui rassurent. Ne codant pas pour distribuer mes programmes, il n'y a pas trop de soucis. Merci encore.
Répondre