拡張カーネルが一部のアンチウィルスに引っかかる件
まぁ、拡張カーネルは、コードの隙間に、拡張API埋め込んだりしてるので、誤検出されやすいってのはあるんですが。色々調査してみました ・ω・
1.shlwapi が BitDefender に検出される件
まず、これが検体のデータ
中に、shlwapi0.dll と shlwapi1.dll が入っています。
shlwapi1.dll は検出されません。
バイナリエディタで、 Debug テーブルを無効にして、チェックサムを合わせて、合計3バイト書き換えたのが、
shlwapi0.dll です
何故か5つの対策ソフトから検出されました。
つまり、BitDefender は デバッグテーブルを無効にすると、なぜかウィルスとしてに検出されるレートが高くなる。
BitDefender
Emsisoft
F-Secure
GData
MicroWorld-eScan
の5つです。
eScan は BitDefender のエンジンがベース
おじいちゃんのメモ - 2012年3月 セキュリティ産業の世界市場分析 ( OPSWAT )
GData は BitDefender と Avast! のデュアルエンジン
セキュリティソフトのウイルス検出率の比較 2013年版 - THE比較
F-Secure は 自社の Hydra、Gemini、Blacklight 3つのエンジンと BitDefender のエンジン
F-Secure インターネットセキュリティ - Wikipedia
Emsisoft は Dual エンジンで片方 BitDefender
Emsisoft Anti Malware 7.xx Thread - Wilders Security Forums
要するにBitDefender のエンジンにつられて5つも出てきたらしい ・ω・
そういえば名前も全部 Gen.Variant.Boigy.4だね
次
2.拡張カーネルのv22/v23のインストールパッケージが 検出された件
Antivirus scan for cd201af23b944b9601b5311d2544c885 at 2013-02-26 08:08:55 UTC - VirusTotal
もう、Avira は、毎回のことなんでいいとして、 TrendMicro-HouseCall
に検出されたので、ファイルを全部ばらして、検出されなかった、 v21と比較して、共通のファイルを削除して再圧縮したら、なぜか、検出されなかったという謎。
ちなみに、これが再圧縮ファイル
Antivirus scan for at UTC - VirusTotal
ちょっとファイルがでかいのでアップできないですが、気になる人は、一回解凍した後、cabarcで圧縮して virustotal にとおしてくれたらいいと思います。
ついでに、全部のファイルばらして、一つずつスキャン通してみたけど、引っかからなかったので中身はでっかい圧縮ファイルだから、たまたまバイナリの並びが一致したからなのか …
もう、ここまで来ると、トレンドマイクロのウィルス検出は信頼しない方がいいのかも ・ω・;
中身一緒なのに、圧縮方式で検出が変わってしまったのは
TrendMicro と NANO-Antivirus と Comodo の3つ。
一方、ぶれなかったのは、 ikarus と Avira
要するに、後者 は同じ誤検出はしないけど、前者は、検出アルゴリズムがあいまいだから、仕様が変わるたびに何度も誤検出を繰り返すという困った製品という事になるよね ・ω・
Translate
おせわになります
なるほど。理解です..お手数でした。
因みにウチでは、ファイルサーバー管理は、Win7でGDATA,
Win2Kは、アバストです。
Win2K機は JIS90フォントのままで維持しています。