ウィルス検出

自動インストーラーからDLして、回答しようとしたら見事にavastに反応して、トロイの木馬が数個検出されました。

avastの不調でしょうか。はたまた、ウィルスが仕込んであったのでしょうか。

楽しそうだと思ったのでDLしようとしたのに、残念でなりません。

投稿者: H2O 日付: 2007年10月07日(日) 13:37
H2Oさんの写真

http://www.truecombat.jp/forum/viewtopic.php?t=3263&postdays=0&postorder=asc&highlight=%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9&start=20
からU-taro様のコメントからの引用です。
Quote:

>ウィルスとして検知されてしまう方へ
TC:E Full Auto Installer(以下FAI)がウィルス扱いされてしまうとのことですが、それは誤検知である可能性が高いです。

FAIはAutoHotKey(以下AHK)と言う特殊なソフトを使って実行ファイルにしています。
AHKとは、キーの割り当てを変更したり、Windowsのウィンドウを操作することができる大変便利なソフトウェアです。

このAHKはコンパイル(スクリプトファイルを実行ファイルに変換する)機能を持っていて、FAIはそれを利用しています。
しかし、元々はスクリプト言語のため、コンパイルした実行ファイル内にAHKのエンジンを埋め込まなければいけないので、他のAHKでコンパイルした実行ファイルと比べて、スクリプトの部分以外ほぼ同一の内容となります。

つまり、なぜウィルスとして検知されるかと言うと、悪意あるAHKユーザーが過去にウィルス、またはそれに準じる振る舞いをする物を作成し、ウィルス対策ソフトの技術者が容易な方法で、例えばAHKでコンパイルしたものであると言うだけで検知するようにしてしまったのが今回の原因だと私は推測します。

投稿者: U-Taro 日付: 2007年10月07日(日) 14:00
U-Taroさんの写真

オーバーフローの脆弱性がある7-Zip Ver.4.22がウィルスと誤って検知されてしまうことが多々あるので、Ver.4.55beta に入れ替えたTC:E Full Auto Installer Ver.0.49b.5をリリースしました。

http://www.truecombat.jp/files/tce/autoinst/TCE049bAutoInst5.zip

手元にavastが無いので動作の保証はできませんが、7-Zipの脆弱性は修正されているので理論上問題は無いはずです。

この新バージョンでavastに検知されてしまうかご報告頂けると幸いです。

投稿者: TCEPlayer 日付: 2007年10月07日(日) 19:22
TCEPlayerさんの写真

この投稿は旧フォーラムの"orz.cfg"の投稿です

avastで「Win32:AutoIt-S [Trj]」というトロイの木馬が検出されました。

投稿者: U-Taro 日付: 2007年10月08日(月) 03:43
U-Taroさんの写真

うーん…困りますね。

具体的にどのファイルがその様に検出されるか解りますか?

投稿者: TCEPlayer 日付: 2007年10月08日(月) 09:12
TCEPlayerさんの写真

この投稿は旧フォーラムの"IG-rigu"の投稿です

横から失礼します
うちのavastでは

DL時
http://www.truecombat.jp/files/tce/autoinst/TCE49bAutoInst5.zip\TCE049b Full Auto Installer\Install.exe には 'Win32:AutoIt-S [Trj]'が含まれています!

解凍時
デスクトップ\TCE049b Full Auto Installer\Install.exe には 'Win32:AutoIt-S [Trj]'が含まれています!
デスクトップ\TCE049b Full Auto Installer\Uninstall\Uninstall.exe には 'Win32:AutoIt-S [Trj]'が含まれています!

と出ますね

投稿者: U-Taro 日付: 2007年10月08日(月) 14:36
U-Taroさんの写真

皆様、情報提供ありがとうございます。
検証するために私のPCにもavastを入れてテストしてみましたが、確かに検知されました。

しかしこれは以前にも説明しましたが、誤検知です。avastなどが対応しないか、AutoHotKeyを使ってる限り誤検知されてしまうのは仕方がない状況です。

私の方で対策するとしたら、コンパイラを変えて新しく作り直すことしか思い浮かびませんが、他のコンパイラを使って新しく作り直すとなると、相当な労力が必要になるので、当分はこのままAHKを使っていきたいと思います。

ダウンロードページに誤検知されてしまう旨の説明を追加しますが、これ以上手の施しようが無いことにご理解ください。 :cry:

投稿者: TGC-NAB 日付: 2007年10月09日(火) 01:28
TGC-NABさんの写真

以下はあくまで情報として書きますが…
avastの場合は検体を提供すれば誤検知への対応もしてくれますよ。
以前ALWIL Softwareと英文でやり取りした際は誤検知ならば該当ファイルを
送ってくれ、という返答でしたが、現在も同様かどうかは分かりません。

ただ今回の場合は手法そのものが難しいラインなので…どうだろう。