セキュリティパッチを当てた IEXPRESS を使うとウイルスと誤検出される件について

IExpress のKB2533623 対応版 作ったよ ・ω・ v2
なんか少し前から IEXPRESS の 脆弱性対策をしたバイナリでインストーラーを作るとウイルスと誤検出されるようになったようです。

脆弱性ってのはこれ

JVN#72748502: IExpress で作成された自己解凍書庫における DLL 読み込みに関する脆弱性

Avast/AVG
FileRepMalware

Cybereason
malicious.ddf147

Cylance
Unsafe

DrWeb
Trojan.Packed.1726

Endgame
malicious (high confidence)

Palo Alto Networks
generic.ml

Qihoo-360
HEUR/QVM20.1.0A7B.Malware.Gen

Trapmine
malicious.high.ml.score

パッチの内容は、特定のDLLを読まないように小細工をするように
次のような処理を行っている

・SetDefaultDllDirectories 関数をロードして、存在すれば実行
・VERSION.dll をsystem32 から先読み して、同じフォルダにある悪意がある 同名のファイルを読み込めないようにブロックする

ウイルスに感染しないようにパッチを当てたら、ウイルスとして誤検出されるのは、最高にロックなのだがなんとかならないのかこれは(((・ω・))))

特に、Trapmine とEndgame が「高い信頼性で悪意のあるソフトだー」とか言ってるのがおかしい

virustotal - wextract.exe
解凍モジュールだけで検出させるとこんな感じ

一応、 F-Secure と Avast と Qihoo-360 には誤検出レポート出しておいた・ω・

実行ファイルやDLLをインストールしない 令和 NLS更新 や夏時間のパッチですら検出されるので 草

おすすめ

1件の返信

  1. まふ より:
    2020年4月6日 3:46 AM

    興味があったので落としてみたTLS1.2の更新ファイルでも出てますね。
    所持しているカスペとアバストで警告出ました。
    ウィルス対策ソフト自体もウィルスの可能s…てのは冗談にしときましょうか。

    返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です