拡張カーネルが一部のアンチウィルスに引っかかる件

まぁ、拡張カーネルは、コードの隙間に、拡張API埋め込んだりしてるので、誤検出されやすいってのはあるんですが。色々調査してみました ・ω・

１．shlwapi が BitDefender に検出される件

まず、これが検体のデータ

shlwtest.cab

中に、shlwapi0.dll と shlwapi1.dll が入っています。

shlwapi1.dll は検出されません。

バイナリエディタで、 Debug テーブルを無効にして、チェックサムを合わせて、合計3バイト書き換えたのが、
shlwapi0.dll です

何故か5つの対策ソフトから検出されました。

つまり、BitDefender は デバッグテーブルを無効にすると、なぜかウィルスとしてに検出されるレートが高くなる。

BitDefender
Emsisoft
F-Secure
GData
MicroWorld-eScan

の5つです。

eScan は BitDefender のエンジンがベース
おじいちゃんのメモ - 2012年3月 セキュリティ産業の世界市場分析 ( OPSWAT )

GData は BitDefender と Avast! のデュアルエンジン
セキュリティソフトのウイルス検出率の比較 2013年版 - THE比較

F-Secure は 自社の Hydra、Gemini、Blacklight 3つのエンジンと BitDefender のエンジン
F-Secure インターネットセキュリティ - Wikipedia

Emsisoft は Dual エンジンで片方 BitDefender
Emsisoft Anti Malware 7.xx Thread - Wilders Security Forums

要するにBitDefender のエンジンにつられて5つも出てきたらしい ・ω・
そういえば名前も全部 Gen.Variant.Boigy.4だね

次

２．拡張カーネルのv22/v23のインストールパッケージが 検出された件

Antivirus scan for cd201af23b944b9601b5311d2544c885 at 2013-02-26 08:08:55 UTC - VirusTotal

もう、Avira は、毎回のことなんでいいとして、 TrendMicro-HouseCall 
に検出されたので、ファイルを全部ばらして、検出されなかった、 v21と比較して、共通のファイルを削除して再圧縮したら、なぜか、検出されなかったという謎。

ちなみに、これが再圧縮ファイル
Antivirus scan for at UTC - VirusTotal

ちょっとファイルがでかいのでアップできないですが、気になる人は、一回解凍した後、cabarcで圧縮して virustotal にとおしてくれたらいいと思います。

ついでに、全部のファイルばらして、一つずつスキャン通してみたけど、引っかからなかったので中身はでっかい圧縮ファイルだから、たまたまバイナリの並びが一致したからなのか …
もう、ここまで来ると、トレンドマイクロのウィルス検出は信頼しない方がいいのかも ・ω・；

中身一緒なのに、圧縮方式で検出が変わってしまったのは

TrendMicro と  NANO-Antivirus と Comodo の３つ。

一方、ぶれなかったのは、 ikarus と Avira

要するに、後者 は同じ誤検出はしないけど、前者は、検出アルゴリズムがあいまいだから、仕様が変わるたびに何度も誤検出を繰り返すという困った製品という事になるよね ・ω・