web-dev-qa-db-fra.com

Programme réalisé avec PyInstaller maintenant considéré comme un cheval de Troie par AVG

Il y a environ un mois, j'ai utilisé PyInstaller et Inno Setup pour créer un programme d'installation pour mon script Python 3. Mon AVG Business Edition AntiVirus vient de commencer à se plaindre de la mise à jour d'aujourd'hui indiquant que le programme contient un cheval de Troie SCGeneric dans le fichier .exe principal utilisé pour démarrer le programme (dans le dossier créé par PyInstaller contenant tous les "tripes" de Python. ). Au début, je pensais simplement que c’était un faux positif dans AVG, mais en soumettant le fichier .exe à VirusTotal, j’obtiens cette analyse:

https://virustotal.com/fr/file/9b0c24a5a90d8e3a12d2e07e3f5e5224869c01732b2c79fd88a8986b8cf30406/analysis/1493881088/

Ce qui montre que 11 des 61 scanners détectent un problème:

TheHacker   Trojan/Agent.am 
NANO-Antivirus  Trojan.Win32.Agent.elyxeb 
DrWeb   Trojan.Starter.7246 
Yandex  Trojan.Crypren!52N9f3NgRrY 
Jiangmin    Trojan.Agent.asnd 
SentinelOne (Static ML)     static engine - malicious 
AVG     SCGeneric.KTO 
Rising  Malware.Generic.5!tfe (thunder:5:ujHAaqkyw6C) 
CrowdStrike Falcon (ML)     malicious_confidence_93% (D) 
Endgame     malicious (high confidence)     20170503
Zillya  Dropper.Sysn.Win32.5954 

Maintenant, je ne peux pas dire que ces autres scanners sont ceux dont j'ai entendu parler auparavant ... mais je crains toujours qu'il ne s'agisse pas seulement de donner un faux positif à AVG.

J'ai soumis le fichier .exe en question à AVG pour analyse. Espérons qu'ils se retireront de tout ce qu'ils pensaient essayer de détecter.

Y a-t-il autre chose que je puisse faire avec PyInstaller pour que le lanceur .exe qu'il a créé ne soit plus considéré comme un cheval de Troie?

Merci pour toute contribution.

8
Jeff H

J'ai pu envoyer le fichier en question sur la page "Signaler une fausse détection" d'AVG à l'adresse suivante: https://secure.avg.com/submit-sample . J'ai reçu une réponse assez rapidement (je ne me souviens plus combien de temps, mais c'était moins d'un jour) qu'ils avaient analysé mon fichier et déterminé qu'il ne contenait pas de virus. Ils ont dit qu'ils avaient ajusté leurs définitions de virus afin que cela ne déclenche plus un faux positif. J'ai mis à jour mes définitions et cela continuait de se déclencher. Je les ai donc contactées à nouveau avec ma version de la définition du virus. J'ai entendu dire à nouveau que la version que j'avais n'était pas assez haute. un serveur local. Mais en l'espace d'une journée, j'ai eu la bonne version des définitions et le faux positif ne s'est plus déclenché.

Donc, si vous avez un faux positif avec AVG, je recommanderais cette solution - assez rapide et facile à résoudre.

0
Jeff H

J'ai toujours eu des faux positifs avec Pyinstaller de VirusTotal . Voici comment je l'ai corrigé:

Pyinstaller est fourni avec des fichiers binaires préchargés du chargeur de démarrage pour différents systèmes d'exploitation. Je suggère de les compiler par vous-même sur votre machine. Assurez-vous que tout est cohérent sur votre machine. Pour Windows 64 bits, installez Python 64 bits. Téléchargez PyInstaller 64bit pour Windows. Assurez-vous que Visual Studio (VS) correspondant à votre Python est installé, vérifiez ci-dessous:

https://wiki.python.org/moin/WindowsCompilers

Compilez le chargeur de démarrage de Pyinstaller sur votre machine avec VS. Il met automatiquement à jour les fichiers run.exe, runw.exe, run_d.exe et runw_d.exe dans DownloadedPyinstallerFolder\PyInstaller\bootloader\Windows-64bit. Vérifiez ci-dessous pour plus d'informations:

https://pythonhosted.org/PyInstaller/bootloader-building.html

A la fin, installez Pyinstaller. Dans le répertoire Pyinstaller, exécutez

installation de python.py install

1
Sorush

Revenir à PyInstaller 3.1.1 depuis la version 3.4 a résolu des problèmes similaires (du moins temporairement).

0
boogie_bullfrog