拡張カーネルが良く誤検出される Win32-Evo-gen って何?

拡張カーネルの DLLは、チェックサムが既存のシステムファイル最終版とあわないからといってAviraやAvast に誤検出されることが多いのですが、 Avast で引っかかる Win32-Evo-gen について調べてみました

怪しいファイル(smax4pnp.exe)をブロック - 誤検知?

Win32:Evo-gen [Susp]* は最近拡張された新型ジェネリック定義で、新種のマルウェアに対して好成績を上げている半面、誤検知も少々出ています。
また、この定義は実行時にのみ検知されるという特異な仕様になっているため、ブートタイムスキャン等では検知されないようです。チェスト内で検知されないのも、この仕様による可能性があります。

*Susp は Suspect(恐れがある) の略と思われ

|ω・)チラリ と見たら、やたら誤検出の多い検出アルゴリズムみたいですね。

Google: Win32 Evo gen 誤検出

ネタですが、ドイツの第三者機関からウィルスの配布をしてるからファイル削除するように言われて、書いてあったウィルス名が、ウィルスの誤検出情報が最後に付加されてる HAL関連のシステムファイルだったということがありました・ω・ (一連の中国系セキュリティソフトがやらかしたやつですね)

おすすめ

4件のフィードバック

  1. susp より:
    2013年11月6日 3:14 PM

    suspiciousですね

    返信
  2. susp より:
    2013年11月6日 3:14 PM

    suspiciousですね

    返信
  3. NON より:
    2013年11月7日 10:45 PM

    ちなみに、Evo-genはGPGPU技術を使って定義が作られてます。
    http://blog.avast.com/2012/12/03/new-toy-research-lab/

    返信
  4. NON より:
    2013年11月7日 10:45 PM

    ちなみに、Evo-genはGPGPU技術を使って定義が作られてます。
    http://blog.avast.com/2012/12/03/new-toy-research-lab/

    返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です