Podpora :: RAR Support

2020-10-24 11:23:20
Tom
SFX moduly windows

Dobrý den,

chci se zeptat na aktuální situaci kolem SFX modulů.
Častý problém u grafického modulu je při kontrolách AV, které jej označují za malware. Je označen jako backdoor. Z toho důvodu je po uploadu na server (typu uloz.to) prakticky ihned smazán.
https://www.hybrid-analysis.com/sample/bfef138dd22eac6d70f5f64a38e537cc172d 6e7e6febf57d14d40f4927e407da - Falcon report
Problém je cca posledních 7 verzí.

Musím tedy použít modul v příkazové řádce. Nevýhodou je, že nelze uživatelem vybrat cestu pro rozbalení.

Je nějaká možnost jak tohle vyřešit?

2020-10-24 12:06:32
Ľubomír Mlích
Re: SFX moduly windows

Dobrý den,

ano problém potvrzuji. Antiviry skutečně označují .exe soubory generované RARem jako nebezpečné, přestože třeba obsahují pouze neškodný textový dokument. Důvodem je, že RAR SFX archivy jsou zneužívany k rozbalení nebezpečných souborů. Problém je třeba jej řešit s konkrétním výrobcem antiviru a ze zprávy, kterou jste zaslal není jasné o kom je řeč, cituji:

2/62 Antivirus vendors marked sample as malicious (3% detection rate)

První krok bude zjistit, které antiviry to jsou a druhý bude kontaktovat je a požádat o nápravu.

2020-10-24 12:09:18
Ľubomír Mlích
Re: SFX moduly windows

Požádal jsem centrálu, aby se tím zabývala.

2020-10-24 13:59:01
Tom
Re: SFX moduly windows

Jako odůvodnění může být, že může spouštět něco před, něco po rozbalení a nemá důvěryhodný certifikát. Takže se to hned vyhodnocuje jako podezřelé.
Modul s příkazovou řádkou tohle nedokáže udělat a je vyhodnocen jako čístý. Dokáže pouze rozbalit.

Hodil by se modul, který je s GUI, dokáže jenom se zeptat na cestu a rozbalit. Ten by teoreticky mohl fungovat bez omezení AV.

Před několika lety se tohle tolik nezneužívalo a v budoucnu by se mohlo stát, že takovýto modul, který je schopen něco spustit a není podepsán, tak jednoduše AV vždy zablokuje.
Je to dnes bráno jako bezpečnostní riziko.

Zkusil jsem teď vytvořit SFX archiv s verzí 5.00. Mám otestováno, že tohle procházelo v té době bez problému. Dnes ale označeno jako malware.

Něco tam je, co vadí. Než se tohle vyřeší, budu nucen používat jenom konzolovou verzi SFX modulu.

2020-10-26 19:18:30
Ľubomír Mlích
Re: SFX moduly windows

ER říká, že nejlepší způsob jak toto řešit, je že co nejvíce různých zákazníků pošle dotyčné antivirové společnosti report, že detekují vir, když tam žádný není. A že když se ozve dostatečné množství lidí, tak se obvykle antivirová společnost rozhodne upravit algoritmy pro detekci viru/malware tak aby SFX archivy nebyly automaticky označované jako nebezpečné.

Podle mého názoru by toto mohl být problém, který by mohl řešit někdo jiný z podpory na centrále, komunikovat s dotyčnými antivirovými společnostmi a upozorňovat je na tento problém.

Popsal jsem ER váš nápad a požádal ho o vyjádření.

2020-10-27 18:28:33
Tom
Re: SFX moduly windows
Občas na VirusTotalu narazím na soubor, který je označen "tento soubor nahrál sám tvůrce" a všechny SV co čerpají z tohoto zdroje vědí, že je to neškodné. Tímto to jde říct lépe jak od určitého počtu uživatelů.
2020-10-27 20:34:48
Ľubomír Mlích
Re: SFX moduly windows

ER odpověděl, že ano, může to tak skutečně být, ale nemusí. Že jsou to víceméně odhady. Bylo by možné to zkusit tak jak říkáte, ale nikde není zaručeno, že budou všechny antiviry postupovat podle této představy.

Antiviry to dělají špatně, že označují SFX archiv za škodlivý i když není škodlivý a jim to je třeba říkat, aby to napravili.

Anglický text od ER:

We do not know for sure what triggers this. Same antivirus may complain about one WinRAR version installer and be silent about another, even though both share almost the same SFX module.

I guess, they utilize some integral score, which may evaluate presence of execute commands, writing a lot of files to different subfolders, presence of executable on other user computers, attempt to read data from executable own file and other factors. If we remove one of factors, we may reduce probability of false positives, but hardly eliminate them completely.

If it had been only because of some command or data inside of SFX module, antivirus on his computer would complain about default.sfx and zip.sfx files in WinRAR folder as well. If it does not complain, then it is triggered by combination of SFX module and archive data and I would suppose that cloud protection adds a lot to that integral scores.

Just guesses, of course.

2020-10-30 16:25:55
Tom
Re: SFX moduly windows

To, co jsem testoval byl jenom SFX modul bez dalších dat.
AV kolikrát reagují až je daný soubor spuštěn. Ve složce WinRAR má příponu *.sfx, tím pádem nemusí být hned spuštěna pokročilejší analýza (záleží od použitého AV).
Falcon sandbox ten soubor cíleně spouští a zkoumá jeho chování.

Modul Default.sfx vyhodnotí jako backdoor, ale WinCon.sfx nikoliv.
Jak modul Default.sfx tak WinCon.sfx můžou rozbalovat velké množství souborů. Tento faktor nevadí.

Po důkladnějším testování to vypadá, že problém nastává od verze 3.80. Od té doby je označen jako malware (jenom SFX modul bez dalších dat).
První krok by měl být úprava modulu, aby jej AV neoznačoval jako malware bez dalších dat.
Zde je tabulka: https://ulozto.net/file/jVy4nRufc5vM/test-pdf

2020-10-30 19:02:28
Ľubomír Mlích
Re: SFX moduly windows

Vaše analýza je obdivuhodná a díky za ni.

Ovšem WinRAR není špatně, nepotřebuje opravit.

Opravit potřebuje antivir.