オンラインスキャンの結果についてお聞きします。常 …
F-Secureについて寄せられた質問・クチコミ情報などを掲載しています。
オンラインスキャンの結果についてお聞きします。常駐セキュリティソフトはNIS2009使用です。経緯の説明からここ数日少し気になる事があり、NIS2009でシステムの完全スキャンをし(何も出ず)・念の為、F-Secureオンラインスキャンでも検査をしてみたところ結果1件のマルウェアを検出Trojan.Generic.1496899C:\APSETUP\NOURYOKU\脳力トレーナー\UNINSTALL.EXE(名前の変更済み&送信済み)・「コンピュータ」→C:\APSETUP\NOURYOKU\脳力トレーナーを見たら\UNINSTALL.EXEが\UNINSTALL.0XEに変更されているのを確認・Virus Totalで↑のファイルをアップロードし検査→結果は13/41(なぜかF-Secureは赤判定ではない)a-squared 4.5.0.24 2009.09.21 Virus.Win32.Trojan!IKAntiVir 7.9.1.19 2009.09.21 TR/Spy.114688.EAVG 8.5.0.412 2009.09.21 Generic10.BHTSBitDefender 7.2 2009.09.21 Trojan.Generic.1496899CAT-QuickHeal 10.00 2009.09.21 Trojan.Agent.ATVComodo 2391 2009.09.21 UnclassifiedMalwareGData 19 2009.09.21 Trojan.Generic.1496899Ikarus T3.1.1.72.0 2009.09.21 Virus.Win32.TrojanMcAfee+Artemis 5747 2009.09.20 Suspect-29!3317375E79A0McAfee-GW-Edition 6.8.5 2009.09.21 Trojan.Spy.114688.ENorman 6.01.09 2009.09.21 W32/Malware.DHZCPanda 10.0.2.2 2009.09.21 Generic TrojanVirusBuster 4.6.5.0 2009.09.20 TrojanSpy.114688.A・NIS2009でもこのファイルだけスキャン→リスクなしーーーーーーーーーーーーーーーこのファイルは元々PCにプリインストールされていたもの(脳力トレーナー)のファイルで、以前NIS2009でも同じ場所からウイルス名は違いますが、「Downloder」と検出された事がありましたが(その時はちゃんと調べず駆除しただけ)、その後PCを再セットアップした後はNIS2009では検知されないものでした。脳力トレーナーは使わないものなので、誤検出かどうか確認後削除するつもりです。F-Secureには「誤検出では?」と検体を送ってみました。そこで質問:F-Secureオンラインスキャンでの「名前の変更済み」と表示されているのは、処理方法がファイル名の変更という事で合っていますか?私は誤検出だと思うのですが、どうでしょう?他のベンダーにも検体の調査をしてもらった方が良いのでしょうか?その場合赤判定のベンダーに送るのでしょうか?余談:F-Secureオンラインスキャンがリニューアルしてから初めて利用しましたが、スキャン時間が今までより倍i以上時間がかかりました。よろしくお願いします。OS:Windows Vista SP2
回答・クチコミ情報
あ~!、またまた、誤検出ではないでしょうか?閲覧されたかも知れませんけど、このカテでも、同様の方がいらっしゃいますね!http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1331103363>名前の変更済み→拡張子をリネームして起動させなくするF-Secureの手法ですC:\APSETUP\NOURYOKU\脳力トレーナー\UNINSTALL.EXE脳力トレーナは、有名なソフトですねパス、名称からして、誤検出でしょうねNEC PCのバンドルソフトは、よく引っかかりますね~^^それに、検知した13ベンダーも、検知力はいいけど誤検出やらかしそうなメンバーが多いですね~今まで検知されなかったけど、最新シグネイチャが出回っているマルウェアと似たようなコードを検知したって事と思いますUNINSTALL.EXE、unins**.exe(アンインストーラー)というのは、よく誤検知される傾向にありますね実際、ダミーのアンインストーラーで、ダブルクリック(実行)すると実は他の悪玉のインストーラーだった(T_T)という「ワル」もいますけど、今回は まず違うでしょうね色んなベンダーに検体調査依頼して判断されるのも、いいと思いますよF-Secureは解析結果出るまでに、3日位要するかな?今回は、exeファイルの検知なので1つの手法として、ThreatExpertという調査サービスで私から「SandBox解析依頼」をしてみましょうかこれは、ThreatExpertの仮想化サーバ上でexeを実行して、挙動解析する方法です同時に、Kaspersky、McAfee、Trend Microのスキャンエンジンで結果が出ます☆アップしてもらった過程削除☆(追記3より)追記1)検体提供ありがとうございましたダウンロードして、送付依頼したので返信されて来たら、結果を追記しますしばらくお待ち下さい追記2) 調査依頼報告:*KasperskyHello,UNINSTALL.EXE_No malicious code was found in this file.悪性コードは、検知されない*ThreatExpertファイルハッシュ値:MD5: 0x3317375E79A0FB8A98104D5DC1649402 (0xは除外)www.threatexpert.com/report.aspx?md5=3317375e79a0fb8a98104d5dc1649402この結果から解るのは、ThreatExpertのシステム上のC:\Windows\System32で"UNINSTALL.EXE"を実行したところディレクトリ内の「ファイル」「フォルダ」を削除するアンインストーラのようですつまり、今回のケースでは、C:\APSETUP\NOURYOKU\脳力トレーナー(フォルダ)内の「ファイル」「フォルダ」を消去するプログラムと思います(他は不明)ちなみに、私のデスクトップに"UNINSTALL.EXE"を配置してダブルクリック(実行)したところ、デスクトップに保存しておいた「ファイル」「フォルダ」が全消滅(T_T)(T_T)(T_T)アンインストーラには、間違いない*上記リンクで、IKARUSが、Virus.Win32.Trojanと判定していたので、添付メールで調査依頼しましたがまだ、何も返信なし*Aviraにも送付して、Our Virus Research Team still works on your submission --解析中とだけ返信*ファイルのプロパティでみると、バージョン情報がなく著作権の記述が無いファイルなので検知されたかな?*C:\APSETUP\NOURYOKU\脳力トレーナー\UNINSTALL.EXEでググってみると、5件ヒットで、NEC PC使用の方のみですね以上から、Avira、Ikarusは未返信ですけど脳力トレーナーを使われていないなら"UNINSTALL.0XE"→"UNINSTALL.EXE"に戻して(戻さないとアンインストーラとして機能しない)プログラムと機能から、脳力トレーナーをアンインストールしても差し支えないと思います追記3) 回答字数制限で 一部推敲 Aviraから誤検出報告が、届きました----------We received the following archive files:File ID FilenameSize (Byte)Result25460694 UNINSTALL.zip34.76 KB OKA listing of files contained inside archives alongside their results can be found below:File ID FilenameSize (Byte)Result25460695 UNINSTALL.EXE 112 KB FALSE POSITIVEPlease find a detailed report concerning each individual sample below: FilenameResult UNINSTALL.EXE FALSE POSITIVEThe file 'UNINSTALL.EXE' has been determined to be 'FALSE POSITIVE'. In particular this means that this file is not malicious but a false alarm. Detection will be removed from our virus definition file (VDF) with one of the next updates.----------Aviraとしては"誤判定でした 次のアップデートでは、この悪意の無いファイルを ウイルスとして警告しないように定義ファイル(VDF)から除外します"---という事ですねやはり悪性ファイルではなく、誤検出とみて いいですね^^)
F-Secureのクチコミ比較とは
元々は企業ユーザーやLinux向けなどを専門にしていたエフ・セキュア社が、新たに個人ユーザー向けに開発したソフトがF-Secureシリーズです。自社開発のウイルス検出エンジンの他、4つの検出エンジンを保持することにより、様々な種類のマルウェアに対して高い検出率を誇っています。動作も重いというほどでなく、水準以上のセキュリティソフトといえるでしょう。 (F-Secureのクチコミ比較詳細ページ)
>>F-Secureのクチコミ比較の通販サイトはこちら