MuOnline x Antivirus - Como remover falso-positivos nos antivírus

[Alankoba]

Olá pessoal beleza? Hoje vou mostrar pra vocês como resolver definitivamente esse problema e deixar seu Client limpo de avisos de vírus e falso-positivos.

Recentemente baixei alguns servidores para testar e tive que fazer vários procedimentos para conseguir entrar no jogo... Coisa que certamente fará você perder muitos players que não conseguirão fazer. Vamos lá!

Antes de tudo você precisa conhecer o site: virustotal.com, ele vai te ajudar a identificar quais antivírus estão detectando seus arquivos.
Você deve observar os seguintes pontos.

Dica

Remover os falso-positivos de todos os antivírus listados pelo Virustotal é uma tarefa muito difícil, concentre-se nos principais. O antivírus da Microsoft não pode detectar seu arquivo como vírus em nenhuma hipótese, pois ele vem instalado nativamente no Windows, portanto de nada adianta conseguir reduzir o número de avisos e ele continuar detectando. Os antivírus: Avast, AVG, Kaspersky e Avira são muito utilizados, portanto considere que se você conseguir tirar o aviso destes, então pode ser que seu problema já estará resolvido. Não confie totalmente no Virustotal, pois apesar dele ajudar nos testes não é garantido que o mecanismo de detecção heurístico dos antivírus em execução no computador obterão o mesmo resultado.

Meu main/launcher está sendo detectado pelos principais antivírus, o que fazer?

Vou listar algumas técnicas que você pode seguir para resolver o problema, listarei na seguinte ordem: mais fácil de fazer/mais difícil de fazer.

Técnica 1: Reportar que o arquivo é um falso-positivo para a empresa desenvolvedora do antivírus.
Praticamente todas as empresas desenvolvedoras de antivírus possuem um formulário/e-mail para fazer isso, e a resposta geralmente é bem rápida, digo por experiência própria. Listo abaixo os canais de algumas empresas, você pode encontrar as outras facilmente no próprio site de cada uma.

Avast: [Somente membros podem ver os links. ]
AVG: [Somente membros podem ver os links. ]
BitDefender: [Somente membros podem ver os links. ]
Clamav: [Somente membros podem ver os links. ]
Microsoft: [Somente membros podem ver os links. ]
Kaspersky: [Somente membros podem ver os links. ]
Symantec: [Somente membros podem ver os links. ]

Esta técnica é extremamente eficiente, pois como os antivírus tem parte do seu banco de dados em nuvem, então de um dia pro outro o problema está resolvido e nem foi necessário programar/modificar nada nos arquivos.

Técnica 2: Usar um EXE Packer simples.
Usar um EXE Packer simples é muito útil para se livrar dos false-positives (principalmente nos AVs estranhos que aparecem no Virustotal), mas lembre-se quanto mais simples melhor, portanto nada de Molebox/Themida ou coisas assim. Eu recomendo usar o UPX com a compactação mais baixa possível.

UPX com utilitário visual: [Somente membros podem ver os links. ]

É estranho dizer, mas até mesmo as opções que você modificar nas configurações do EXE Packer irão fazer diferença na análise dos AVs. Fiz alguns testes com um Main 1.18.89 e o resultado foi assustador, de 16/68 caiu para 2/68.

Técnica 3: Assine digitalmente os executáveis com um certificado auto-assinado.
O que? Como assim? Calma eu explico! Sabe quando você abre um executável no Windows e aparece que um programa externo que fazer alterações no seu dispositivo?

[Somente membros podem ver os links. ]

Pois é! Quando um executável é assinado digitalmente ele ganha um pouco de reputação com os AVs, sabendo disso há duas formas de fazer a assinatura, a primeira é comprando um certificado de uma autoridade certificadora como a Comodo, desta forma você resolverá definidamente o problema, mas infelizmente o custo é alto, então o jeito é fazer o próprio certificado que já ajudará a elevar a reputação dos arquivos assinados.

Como fazer?
Está com paciência? Vai precisar... rs.

Você precisa instalar o Windows SDK, o link para o SDK do Windows 10 é este aqui:
[Somente membros podem ver os links. ]
Você pode instalar o SDK do Windows 10 mesmo se estiver usando Windows 7 ou 8.

OpenSSL também, segue o link:
[Somente membros podem ver os links. ]


ZOSA - Utilitário para assinatura de executáveis:
[Somente membros podem ver os links. ]

O cidadão que fez essa ferramenta esta de parabéns, facilita muito o trabalho.


[Somente membros podem ver os links. ]

Preencha tudo com dados válidos, coloque seu nome se não tiver os dados empresariais.

Se você instalou o SDK e o OpenSSL nos diretórios recomendados então preencha com as seguintes informações:
C:\Program Files (x86)\OpenSSL-Win32\bin\openssl.exe
e
C:\Program Files (x86)\Windows Kits\10\bin\x86\signtool.exe

A outra configuração é para indicar onde esses certificados serão salvos.

DICA IMPORTANTE: A ferramenta salvará o certificado usado na primeira vez, use sempre o mesmo, pois desta forma você elevará ainda mais a confiança do certificado nos AVs.
DICA IMPORTANTE: Não importa o número de dias que o certificado vencerá, por padrão coloque 720, nesse tempo você precisará fazer outro certificado. Não coloque um número absurdo de dias, pois os AVs irão achar estranho e fora da realidade.

DICA BÔNUS: Você não precisa fazer isso no launcher se usar um que já está assinado ou que não levante falso-positivo nos AVs. Se for comprar um personalizado exija isso do desenvolvedor. Eu disponibilizei recentemente meu launcher que está 100% clean.
[Somente membros podem ver os links. ]

Depois conta pra gente o que vocês acharam. Valeu! Qualquer coisa estamos ai.

[megaman]

dessa eu não sabia

[cronusmaker]

so para complementar aqui alguns programas de paket tambem faz o sistema acusar como falso positivo por exemplo jogar dlls dentro de um executavel pelo molebox

o luncher da sky team e algumas tools da bor team tb tem virus por causa desse sistema de dlls pakets

[Mentor]

Tutorial muito bom e bem detalhado

[andredeco]

Belo tutorial!

Me atrevo a dizer que não acredito em nenhum procedimento descrito pelo fato de duvidar muito que com apenas um e-mail uma detentora de Anti-vírus
irá liberar o programa X do seu banco de dados sem ao menos analisar tal programa, e para isso, iriam necessitar do programa aberto para tal análise, certamente não iriam perder tempo Decompilando um .exe para analisar. É o nome público do Anti-vírus em jogo e não abririam exceções na detecção tão facilmente.
Outro ponto é toda a facilidade, imagina se funcionasse tão efetivamente, os hacker, maliciosos e etc... teriam toda a sua vida facilitada, apenas reportando como falso positivo ou usando um simples programa para assim disseminar os seus vírus em nossos PC's.

[Alankoba]

Belo tutorial!

Me atrevo a dizer que não acredito em nenhum procedimento descrito pelo fato de duvidar muito que com apenas um e-mail uma detentora de Anti-vírus
irá liberar o programa X do seu banco de dados sem ao menos analisar tal programa, e para isso, iriam necessitar do programa aberto para tal análise, certamente não iriam perder tempo Decompilando um .exe para analisar. É o nome público do Anti-vírus em jogo e não abririam exceções na detecção tão facilmente.
Outro ponto é toda a facilidade, imagina se funcionasse tão efetivamente, os hacker, maliciosos e etc... teriam toda a sua vida facilitada, apenas reportando como falso positivo ou usando um simples programa para assim disseminar os seus vírus em nossos PC's.

Para incluir o arquivo na lista de exceções não basta apenas envia-lo no formulário/e-mail, se você compacta-lo com Molebox ou Themida é enviar e receber em horas a recusa. O arquivo será analisado e se passar na análise ele deixa de ser detectado já na próxima atualização.

Eles não precisam descompilar o executável para analisá-lo, basta observarem alguns aspectos como.
* APIs que o executável adiciona como vinculo estático na tabela de importação (IAT).
* Combinação dos empilhamentos de alguns endereços, como por exemplo, uma chamada para GetAsyncKeyState e logo em sequência qualquer API de socket ou escrita de arquivo.
* Mudanças drásticas na estrutura dos arquivos como por exemplo, alterar o entryPoint para um OFFSET que esta fora do especificado no compilador do vc++6.0, isso acontece muito com o arquivo main.exe do Muonline, pois muitas customizações são feitas através de "hooks" em algumas chamadas e isso inclui o próprio entryPoint para carregar a DLL, veja bem, com certeza o compilador original do main.exe não utilizaria aqueles endereços para nada, portanto é um arquivo alterado por engenharia reversa, pode ser um malware...

Isso são apenas alguns exemplos, posso citar muitos outros se ainda tiver dúvida.
Eu já consegui deixar um main.exe 100% limpo na verificação do virustotal apenas com o report do falso-positivo nos formulários.

Acredito que nesses anos eu já tenha feito mais de 500 reports eu tive menos de 30 recusas, e em todos os casos sem exceção foi por conta de estruturas mirabolantes no main.exe como juntar o player.bmd no main com o Molebox.

De qualquer forma um relato recente... Semanalmente envio arquivos de um sistema de gestão para alguns AVs e NUNCA recebi uma recusa, as respostas chegam muito rápido, raras vezes passou de 48 horas.

O Virustotal possui mecanismos para mitigar problemas como liberação por tentativa/erro, note que se você enviar 3 arquivos no site e depois enviar um outro este sempre receberá a mensagem que não contem qualquer ameaça, basta recarregar a página e ver o resultado real, isso tudo pra evitar bots.

Cada AV faz a análise de uma forma especifica, e como já fiz vários reports notei que também há uma tentativa deles de evitarem que malwares verdadeiros entrem na exceção, vez ou outra eles dizem que o arquivo foi incluído, mas ao checar novamente ele continua lá.

Sobre a assinatura digital eu nem vou comentar, pois acredito que você deva saber que é a unica forma recomendada para de fato se livrar de problemas com false-positives. No tópico eu ensino a criar o próprio certificado, isso já ajuda a elevar a reputação do arquivo, faça você mesmo o teste.

Enfim... Eu não encontrei nenhum material nos fóruns explicando como resolver isso, entrei na ultima semana em vários grupos de novos servidores e sempre a mesma coisa, prints e mais prints de players que não conseguem jogar por conta disso, que é algo simples de resolver mas a comunidade não havia democratizado essa informação.

A comunidade brasileira é a mais ativa no Muonline, mas infelizmente democratizar o acesso a conteúdo de qualidade nunca foi nosso forte.
Vejo outros jogos menos populares receberem centenas de modificações/customizações que parece que não há limites para os servidores privados...

Já no Muonline pouca coisa de fato evoluiu nesse sentido, demorou demais pra sair os emuladores, o pessoal fez cada trabalho digno de Cracker russo para adicionar funcionalidades no gameserver da própria Webzen, coisas que nunca fizeram sentido pra outros jogos, pois a emulação do server sempre foi o ponto principal antes das customizações... Mas isso é papo pra um outro tópico.

[andredeco]

Para incluir o arquivo na lista de exceções não basta apenas envia-lo no formulário/e-mail, se você compacta-lo com Molebox ou Themida é enviar e receber em horas a recusa. O arquivo será analisado e se passar na análise ele deixa de ser detectado já na próxima atualização.

Eles não precisam descompilar o executável para analisá-lo, basta observarem alguns aspectos como.
* APIs que o executável adiciona como vinculo estático na tabela de importação (IAT).
* Combinação dos empilhamentos de alguns endereços, como por exemplo, uma chamada para GetAsyncKeyState e logo em sequência qualquer API de socket ou escrita de arquivo.
* Mudanças drásticas na estrutura dos arquivos como por exemplo, alterar o entryPoint para um OFFSET que esta fora do especificado no compilador do vc++6.0, isso acontece muito com o arquivo main.exe do Muonline, pois muitas customizações são feitas através de "hooks" em algumas chamadas e isso inclui o próprio entryPoint para carregar a DLL, veja bem, com certeza o compilador original do main.exe não utilizaria aqueles endereços para nada, portanto é um arquivo alterado por engenharia reversa, pode ser um malware...

Isso são apenas alguns exemplos, posso citar muitos outros se ainda tiver dúvida.
Eu já consegui deixar um main.exe 100% limpo na verificação do virustotal apenas com o report do falso-positivo nos formulários.

Acredito que nesses anos eu já tenha feito mais de 500 reports eu tive menos de 30 recusas, e em todos os casos sem exceção foi por conta de estruturas mirabolantes no main.exe como juntar o player.bmd no main com o Molebox.

De qualquer forma um relato recente... Semanalmente envio arquivos de um sistema de gestão para alguns AVs e NUNCA recebi uma recusa, as respostas chegam muito rápido, raras vezes passou de 48 horas.

O Virustotal possui mecanismos para mitigar problemas como liberação por tentativa/erro, note que se você enviar 3 arquivos no site e depois enviar um outro este sempre receberá a mensagem que não contem qualquer ameaça, basta recarregar a página e ver o resultado real, isso tudo pra evitar bots.

Cada AV faz a análise de uma forma especifica, e como já fiz vários reports notei que também há uma tentativa deles de evitarem que malwares verdadeiros entrem na exceção, vez ou outra eles dizem que o arquivo foi incluído, mas ao checar novamente ele continua lá.

Sobre a assinatura digital eu nem vou comentar, pois acredito que você deva saber que é a unica forma recomendada para de fato se livrar de problemas com false-positives. No tópico eu ensino a criar o próprio certificado, isso já ajuda a elevar a reputação do arquivo, faça você mesmo o teste.

Agora está mais que compreendido. Sou totalmente leigo nestas questões de programações e etc... e em muitos anos nesta área de MuServer
eu nunca ouvi falar destes procedimentos, que por sinal são bem simples, por isto achei estranho e fácil demais. Certamente é uma ajuda
enorme, principalmente para quem manuseia as Seasons baixas onde praticamente todo Main acusa vírus.
Há sempre algo novo a aprender, muito obrigado por toda a explicação e conhecimento compartilhado.

[s00x]

Olá colegas, bom dia!

Primeiramente parabéns pelo tópico.

Aviso que, tudo que foi aqui citado é o meio mais simples e eficaz de executar essa ação, apenas fazendo o procedimento, vocês iram conseguir anular, todas ou se não, boa parte das falsas acusações, digo por experiencia própria apesar de ter feito algumas coisas a mais no próprio código.

Nota

Gostaria de agradecer ao @[Somente membros podem ver os links. ] pelo tópico, e dizer que merecidamente o conteúdo está fixado na área postada.

att's

[Maykon]

Depois de uma semana volta a detectar com mais falsos ainda!

[romariols]

A premissa é boa e ela realmente te faz acreditar que pode trazer algum resultado, mas a verdade é que isso não vai adiantar de nada, pode até piorar. O próprio executável main.exe de todos os servidores privados tem o código crackeado com base no original WebZen, passei um bom tempo analisando e tentando resolver este problema do false-positive com engenharia reversa, também tentei algumas das dicas citadas, um executável com o código extremamente alterado como o main.exe nunca vai ser aceito pelos verificadores, precisa-se de um código limpo sem realocações e isso todos sabemos que o Main MuOnline não tem.

As chamadas para os APIs GetAsyncKeyState, WSAStartUp, Rec, Socket, Shell e algumas outras que andei analisando, são muito antigas e suspeitas. Para confirmar basta dar uma rápida olhada com OllyDbg + Scylla que vc vai notar muitos APIs inválidos ou suspeitas, ao fixar alguns o arquivo fica até inutilizado.

[Somente membros podem ver os links. ]
[Somente membros podem ver os links. ]

Uma das coisas que eu fiz e teve resultado, foi o uso das ferramentas OllyDbg + Scylla, como funciona?

Primeiro, vc abre o executável com o Debbuger OllyDbg, aguarde a leitura do código do executável completamente.
OBS: Use um Main.exe sem nenhuma DLL externa hookada e que o EntryPoint original não tenha sido alterado.

Segundo, o OllyDbg vai te dar o EntryPoint original e seu Main.exe vai estar aberto em segundo plano, a próxima etapa é vc executar o Scylla em modo Administrador, com isso vc terá anexo os processos em execução na sua máquina, e com alguns offsets vc pode pesquisar e importar OEPs inteiros para reconstruir ou fixar APIs.
OBS: Para quem não sabe o Scylla é uma ferramenta de análise e reconstrução de arquivos com suporte a 64x, 86x e unicode.

Isso é só uma base para quem quiser procurar saber sobre o assunto, vale apena, pq se vc quiser ser um bom administrador vai precisar dessas ferramentas.

Isso foi oq realmente deu resultado nos meus arquivos, mas é um processo delicado e exige tempo e dedicação, eu cheguei a ter apenas 2 false-positivos em um dos meus Mains em 2017. Quem quiser limpar seu Main, na minha opinião, tem que procurar essa opção, enviar formulários não vai resolver.