Trojan:Script/Wacatac.B!ml

Если ваши собственные скрипты помечаются антивирусом как Trojan:Script/Wacatac.B!ml, это, скорее всего, является ложным срабатыванием, вызванным эвристическими и машинными алгоритмами вашего защитного программного обеспечения, в частности, Защитника Windows (Microsoft Defender). Давайте разберемся, почему это происходит и что с этим делать.

Что означает это обнаружение?

Trojan:Script/Wacatac.B!ml — это общее название, которое Защитник Windows использует для обозначения вредоносных программ-троянов. Ключевыми элементами в этом названии являются:

Trojan: Указывает на тип вредоносного ПО, которое маскируется под легитимную программу, но в фоновом режиме выполняет вредоносные действия, такие как кража данных, установка другого вредоносного ПО или предоставление удаленного доступа к вашему компьютеру.

Script: Говорит о том, что угроза была обнаружена в файле сценария, например, JavaScript, PowerShell, VBScript или даже в скомпилированном из скрипта исполняемом файле (например, из Python).

!ml: Этот суффикс крайне важен. Он означает, что обнаружение было сделано с помощью машинного обучения (Machine Learning). То есть, антивирус не нашел точное совпадение с известным вирусом в своей базе данных, а посчитал код вашего скрипта "подозрительным" на основе анализа его поведения и структуры, которые напоминают ему известные вредоносные программы.

Почему ваши скрипты помечаются как вредоносные?

Системы на основе машинного обучения и эвристического анализа ищут в коде определенные шаблоны и действия, которые часто встречаются во вредоносных программах. Ваши легитимные скрипты могут быть ошибочно помечены как угроза по нескольким причинам:

• Взаимодействие с системными файлами или реестром: Скрипты, которые изменяют системные настройки, читают или записывают файлы в системные папки, могут быть расценены как подозрительные.
• Сетевая активность: Если ваш скрипт скачивает файлы из интернета, отправляет данные на удаленный сервер или открывает сетевые соединения, это может вызвать подозрения.
• Упаковка или обфускация кода: Использование упаковщиков (например, PyInstaller для Python) или техник запутывания кода (обфускации) для защиты вашего скрипта может сделать его похожим на вредоносное ПО, которое часто скрывает свой код подобным образом.
• Отсутствие цифровой подписи: Неподписанные исполняемые файлы или скрипты вызывают больше подозрений у антивирусных программ.
• Необычные имена файлов или расположение: Скрипты со случайными или бессмысленными именами, особенно если они находятся во временных папках (Temp), могут быть отмечены как подозрительные.
• Использование "опасных" функций: Некоторые функции, связанные, например, с управлением процессами, перехватом ввода с клавиатуры или работой с памятью других приложений, могут быть расценены как потенциально опасные.

Как определить, является ли это ложным срабатыванием?

Скорее всего, вы имеете дело с ложным срабатыванием, если:

• Вы сами написали этот скрипт и точно знаете, что он делает.
• Скрипт получен из надежного источника.
• Обнаружение происходит после обновления антивирусных баз или самого скрипта.
• Другие антивирусные сканеры не находят в файле никакой угрозы.

В подавляющем большинстве случаев для разработчиков и продвинутых пользователей обнаружение Trojan:Script/Wacatac.B!ml в собственных скриптах является досадной помехой, а не реальной угрозой безопасности. В нашем ПО код и зачастую расценивается как вирус при скачивании файла, рекомендуем отключить антивирус для успешной загрузки.