Троян в FastExecutionScript



  • Привет. Работаю с купленным скриптом на басе. Несколько месяцев все было ок, но теперь в FastExecutionScript антивирус содержит троян. При этом, если полностью удалить скрипт и скачать все заново, троян никуда не девается. Пожалуйста, объясните, с чем это может быть связано.1_1552773210883_scr2.JPG 0_1552773210882_scr1.JPG



  • Первый раз такое вижу,и антивирусы все ноунеймы.



  • @capibari said in Троян в FastExecutionScript:

    Привет. Работаю с купленным скриптом на басе. Несколько месяцев все было ок, но теперь в FastExecutionScript антивирус содержит троян. При этом, если полностью удалить скрипт и скачать все заново, троян никуда не девается. Пожалуйста, объясните, с чем это может быть связано.

    Какой именно скрипт используете? Побывали запускать на других компах?



  • @capibari скиньте этот скрипт, посмотрим на него...



  • @uraabk said in Троян в FastExecutionScript:

    @capibari скиньте этот скрипт, посмотрим на него...

    Топикастер @capibari написал, что

    Работаю с купленным скриптом

    и

    удалить скрипт и скачать все заново

    значит речь идёт о магазине скриптов. Или нет?



  • Ridapi как он пишет может быть и следствием заражения уже у вас как вариант, проверяли пк полностью?



  • Антивирусы - касперский и вирустотал
    Пробовал запускать на разных машинах. На другой машине этот троян обнаружил даже виндоус дефендер.
    На пк был установлен лицензионный касперский с момента установки винды. И скрипт работал без проблем до недавнего времени. Больше на пк угроз не обнаружено. На другой машине скрипт запустил на чистой винде сразу после ее установки и обновления.
    Насколько я понимаю, скрипт именно подгружает с сервера затрояненые файлы, а именно FastEcexuteScript и Enginee.dll, т.к. если их полностью снести с машины (что и делают антивирус и дефендер), то на нее снова загружаются эти 2 файла уже с трояном.
    Скрипт не из магазина скриптов, покупал у разраба. Какой шанс того, что это его рук дело?
    .



  • @capibari А на другие скрипты не реагирует?



  • @capibari Уточните у разработчика в какой версии скомпилирован скрипт, и если она ниже текущей или предыдущей - попросите перекомпилировать и загрузить в кабинет. На некоторых версиях бас ругались антивирусы на исполняемые файлы, потом эту проблему решили.



  • Проверил 2 скрипта от этого разраба - оба с этой проблемой.
    Проверил свой на скорую руку скомпиленный скрипт, с ним оказалось все ок.



  • @drprime Спасибо. Попробую уточнить этот момент. О результате отпишусь здесь.



  • Сейчас покупатель на Кворк отписался тоже такая же лажа ( естественно у меня премиум версия ). Хотя ViresTotal показывает что всё чисто. Пойду писать разрабам. Скину ссылку им на эту тему.
    Вот что у него показал:

    alt text


  • Banned

    Ага попались ? Не буду говорить какие юзерагенты у нас тырят, но у меня такая же проблема !

    Поставил аваст в игнор и до сих пор подозреваю, что мои данные кто то тырит или ваще за мной подглядывает =)



  • @freeliman не используй бас, делов то. Всем будет легче



  • Проблема в том, что BAS довольно палевно выгружает файлы на диск (мне так кажется) и антивирусы думают, что это обычный троян, который хочет заразить компьютер



  • По идее надо просто разработчику BASа подписывать сертефикатом приложение, тогда возможно таких проблем не будет с антивирусами.
    P.s главный исполняемый файл BrowserAutomationStudio.exe подписан, а тот нет.



  • Продублирую здесь официальный ответ @support'a


    Антивирус может ругаться на приложение защищенное протектором, потому что часть кода выполняется в виртуальной машине и антивирус не может понять что там происходит, это очень упрощенно. Чтобы избежать этого, разработчику скрипта нужно получить сертификат для подписи исполняемого файла и библиотек. Это можно сделать например здесь https://www.gogetssl.com/code-signing-certificates/ При получении сертификата нужно предоставлять нотариально заверенные данные о себе, если речь идет об индивидуальном разработчике, или о своей компании. Я все это сделал для BAS, поскольку уверен, что в нем нет вредоносного кода, но о скриптах пользователей я такого сказать не могу, поэтому BAS подписан, а компилируемое приложение - нет. К подписанным исполняемым файлам антивирусы относятся намного лояльней, но это тоже не дает 100% гарантии от ложно-позитивных срабатываний, например, smartscreen больше ориентируется на "репутацию" файла. Вот еще примеры: FastExecuteScript.exe без протектора(0/70) https://www.virustotal.com/gui/file/4174f16d67a59e972373a01817f96263090a73fd6f9a2d5325c9c1d52bcef216/detection

    FastExecuteScript.exe c протектором (11/70) https://www.virustotal.com/gui/file/23a7d8a95c2f26f90e17a5eee5e2dfcc67e32e968e54ba9601d77afcd3759af4/detection

    FastExecuteScript.exe c протектором и подписанный (3/70) https://www.virustotal.com/gui/file/341795d6be659d4d6471448877c675ca8b49f555fa6983431a25bc20e22325cb/detection

    При этом придется подписывать FastExecuteScript.exe и Engine.dll(именно они защищены протектором) каждый раз и передавать пользователю или поднять свой сервер и заливать уже подписанные файлы туда(это изменяется в конфиге, я скажу как если будет надобность). Еще один вариант попроще - сделать версию без протектора, но тогда взломать скрипт будет гораздо проще. Также я отправил данные файлы в касперский(аваст на последнюю версию не ругается), чтобы они добавили их в исключения, но по опыту могу сказать, что на данный метод надеяться не стоит. Обычно это заканчивается тем, что нужно воевать за каждый билд и в конечном счете там просто перестают отвечать.


    В касперском ответили, что добавили 21.7.1 в исключения.



  • @fox Аваст сегодня вечером ругался во время завершения скрипта. Срабатывает 1 раз в 5 завершений



  • @fox, после ошибки с вирусом при новом запуске скомпилированного шаблона все настройки сбрасываются. Настройки работы шаблона где-нибудь сохраняются автоматически, чтобы можно было как xml подгрузить? Не нашел



  • @agility said in Троян в FastExecutionScript:

    @fox, после ошибки с вирусом при новом запуске скомпилированного шаблона все настройки сбрасываются. Настройки работы шаблона где-нибудь сохраняются автоматически, чтобы можно было как xml подгрузить? Не нашел

    Все настройки ресурсов хранятся в файле actual.xml


Log in to reply
 

  • 2
  • 2
  • 9
  • 2
  • 3
  • 8
  • 5
  • 2