AutoHotkey_H é virus? Topic is solved

Tire suas dúvidas sobre programação em AutoHotkey
User avatar
juanmuscaria
Posts: 52
Joined: 29 Oct 2017, 10:53
GitHub: juanmuscaria
Location: Brazil
Contact:

AutoHotkey_H é virus?

10 Jul 2018, 18:54

Hoje fui baixar o AutoHotkey_H no computador do meu irmão pois estou sem o meu computador,e eu uso o AHK_H pelas funções a mais que ele tem,porem dessa vez aconteceu uma coisa estranha, o windows defender alertou que ele era virus.
Ai eu joguei ele no Virus Total e mais de 34 ant-virus alertaram ele como virus, eu confuso com isso eu testei meu AutoHotkey.dll no meu pendrive e não alerou nada.
Esta seguro usar esse AHK_H?
Links:
https://www.virustotal.com/#/file/cb6f7fbf19d0f2ad2930628ba20827e8de243db5f52c33f196be3fef4e99e19b/detection
https://hotkeyit.github.io/v2/
|||||||||
User avatar
juanmuscaria
Posts: 52
Joined: 29 Oct 2017, 10:53
GitHub: juanmuscaria
Location: Brazil
Contact:

Re: AutoHotkey_H é virus?

10 Jul 2018, 19:01

Aparentemente somente o AutoHotkey.exe da pasta Win32w e todos os AutoHotkeySC.bin são considerados virus.
|||||||||
User avatar
Gio
Posts: 449
Joined: 30 Sep 2013, 10:54
Location: Brazil

Re: AutoHotkey_H é virus?  Topic is solved

11 Jul 2018, 12:36

Bom dia Juanmuscaria.

Os principais ramos do AutoHotkey (incluindo Basic ou 1.0, _L ou 1.1, v2, e _H) não possuem nenhum tipo de malware. No entanto, essa questão dos falsos positivos (alguns anti-virus vez por outra alarmarem que o executável pode conter um virus mesmo que isso não seja verdade) é um fato recorrente com o qual temos lidado constantemente ao longo dos anos. A razão para isso está principalmente na natureza do executável do AutoHotkey.

:arrow: Explico: O AutoHotkey é um interpretador (e não um compilador). Isso significa basicamente que o executável lê um script e executa os comandos que estiverem contidos nele a partir de códigos de máquina (machine code) que estão no próprio executável (e não no script em si, que é só um arquivo de texto). Por causa disso, o executável tem que conter códigos de instruções para executar todo e qualquer comando de script que seja possível dentro da linguagem que ele opera. Isso não vai mudar mesmo que o script não faça uso de determinados comandos, ou seja, mesmo que seu script não contenha hotkeys, o executável do autohotkey tem e continuará tendo código de instruções para implementar hotkeys. Ele simplesmente não vai acionar esse código se o seu script não pedir, mas o código vai estar lá do mesmo jeito (afinal, o arquivo executável não tem como se reescrever conforme muda o script do usuário).

Aí que vem o detalhe dos falsos-positivos: algumas sequências de instruções, como as que implementam um hook no teclado, ou as que modificam chaves do registro são vistas com suspeita pelos softwares anti-virus. Isso é baseado em duas coisas: a primeira é que nenhum anti-virus pode conhecer todos os possíveis códigos de virus, portanto, eles são forçados a implementar análises estatísticas e heurísticas para tentar encontrá-los. A segunda é que como uma grande parte dos virus também têm códigos que fazem coisas como implementar hooks (keyloggers) ou mudar chaves do registro, o score da análise do anti-virus é influenciado sempre que um programa contém esses códigos, até um ponto onde o anti-virus simplesmente declara aquele arquivo como suspeito. No entanto, conforme expliquei, esses códigos sequer são utilizados na maioria dos scripts, e se forem utilizados, serão nos termos que o programador escreveu no script. O AutoHotkey simplesmente executa os comandos que você manda ele executar (assim, cabe somente ao desenvolvedor do script garantir que a forma como as hotkeys ou outros comandos serão implementadas não causarão problemas ao usuário do script, e neste sentido, saiba que nossa comunidade contém inclusive regras contra a postagem de códigos maliciosos).

Agora que já explicamos o porque dos falsos postivos, vamos falar sobre o porque você pode confiar que o AutoHotkey não tem nenhum tipo de virus por si só:

  • 1. Somos uma comunidade com mais de 15 anos de existência e temos um enorme prestígio e reputação a zelar, conquistado com mais de uma década e dezenas de milhares de horas de trabalho.
  • 2. Nossa comunidade é composta por milhares de programadores com todo tipo de conhecimento (inclusive outras linguagens e até programação em baixo nível), muitos dos quais já analisaram o código-fonte (que é aberto) e até fizeram suas próprias modificações.
  • 3. Nossos fórums são totalmente abertos e qualquer um pode e sempre pôde vir comentar sobre qualquer coisa aqui (logo, se houvesse qualquer atividade maliciosa do software, tenha certeza que já teria sido denunciada aqui e até mesmo em vários sites da web especializados em tecnologia).
  • 4. falando em sites especializados, saiba que somos recomendados por vários deles, tanto internacionais como nacionais (exemplos: tecmundo, howtogeek)
  • 5. Embora o software não tenha fins lucrativos, o valor intangível do AutoHotkey hoje é inestimável, superando em muito o valor que um hacker obteria com uma única ação de propagação de vírus através dele. Em outras palavras, mesmo que um membro da comunidade com acesso à publicação oficial (que são pouquíssimos diga-se de passagem: Lexikos principlamente e depois HotkeyIt) decidisse se tornar um criminoso e publicar códigos de malware, isso importaria em muito mais perdas do que ganhos para eles mesmos (não se esqueça que esses dois já têm milhares de horas de trabalho investidas no software, além de que muitos membros da comunidade os conhecem pessoalmente (e não simplesmente pelos pseudonimos de usuários), podendo facilmente denunciá-los às autoridades se houver razão). Logo, ainda que você não acredite na bondade dos programadores principais ou nos conhecimentos dos milhares de programadores membros da comunidade, saiba que o caminho mais "inteligente" (com aspas porque não considero um crime algo inteligente a se fazer) para eles mesmos se quisessem publicar malwares seria encontrar outra forma de publicar esse código e manter intacto o trabalho deles próprios.
  • 6. Pessoalmente, eu uso o AutoHotkey desde 2009. Até hoje nunca tive nenhum problema com a ferramenta oficial. Já vi executáveis do AutoHotkey serem infectados em um dos computadores da empresa, mas foi fácil ver que a infecção veio de outra fonte (no caso específico, bastou ver que o tamanho do arquivo mudou).

Assim, eu só tenho a dizer que estou plenamente tranquilo com relação ao AutoHotkey_H (desde que baixado de uma fonte oficial) :thumbup:

juanmuscaria wrote:Ai eu joguei ele no Virus Total e mais de 34 ant-virus alertaram ele como virus, eu confuso com isso eu testei meu AutoHotkey.dll no meu pendrive e não alerou nada.
Esta seguro usar esse AHK_H?
Links:
https://www.virustotal.com/#/file/cb6f7fbf19d0f2ad2930628ba20827e8de243db5f52c33f196be3fef4e99e19b/detection
https://hotkeyit.github.io/v2/


34 de 65 é um número considerável de falsos positivos. Mas veja que você selecionou o package inteiro para verificação de uma só vez. Isso aumenta muito as chances de falsos positivos (basta pensar que se um único arquivo der falso positivo em um determinado anti-virus, ele já vai contar como se o package inteiro tivesse dado falso-positivo para aquele antivirus). Além disso o package contém aplicativos acessórios, como um packer (mpress), que também costuma lidar com muitos falsos-positivos em virtude de ser comumente utilizado por desenvolvedores de vírus (o packer é usado para diminuir o tamanho do arquivo final, envelopando o executável em outro executável que auto-descompacta na execução. No caso do AutoHotkey essa sistemática também é usada principalmente para dar um pouco mais de privacidade ao código fonte, mas só se o usuário desejar - tem uma flag no Ahk2Exe para você indicar se deseja usar o mpress ou não).

Assim, em contrapartida a essa análise, eu peguei os principais arquivos do AutoHotkey da pasta x64w (os executáveis, DLLs e bin) e submeti à analise do VirusTotal. Aqui vão os resultados:

AutoHotkey.Dll (0 de 65)
AutoHotkeyMini.Dll (0 de 66)
AutoHotkeySC.bin (9 de 67)
AutoHotkey.exe versão _H (9 de 67)

Acredito que esses 9 de 67 sejam falsos-positivos (afinal 86,57% do anti-virus não reclamaram dos arquivos).

EDIT: modifiquei um pouco o texto do post porque estava muito extenso e confuso. Realmente não dá pra escrever um tutorial de segurança na web em um post como este.
"What is suitable automation? Whatever saves your day for the greater matters."
Barcoder - Create QR Codes and other Barcodes using only Autohotkey !!

Return to “Ajuda e Suporte Geral”

Who is online

Users browsing this forum: No registered users and 1 guest