トロイの木馬と誤認され続けるexerb 89
ストーリー by nabeshin
何か露出するきっかけを 部門より
何か露出するきっかけを 部門より
Cat Scan 曰く、
とてもいまさら感あふれる話題ですが、RubyスクリプトをWindows実行形式に変換するexerbが、各種のセキュリティソフトウェアでトロイの木馬だと見なされ、驚くべきことにその状態が“2年以上”続いています。どうやらexerbを使用して作成されたトロイの木馬があるために、exerbもトロイの木馬だと誤認されているようです。ちなみに、Googleで「exerb トロイの木馬」を検索しても、ニュースサイト等での記事は見つかりませんでした。
いったいどうしてこのような事態が継続しているのでしょうか? みなさまのご意見をお聞かせください。
このタレコミソースなしなんだけど、ってタグつけたのだが。 (スコア:5, すばらしい洞察)
とりあえず、この部分のソース(りんく)を出して欲しかった。
スラドにタレこむとき、ニュースサイト漁って1次情報、2次情報見つけたいけど、
ないときはスラドタレコミが1次情報にならざるを得ない状況はわかるけど、
それを確認する手段をもたないタレコミはどう信頼すれば?
ソースの足らないタレコミの美味しいいただき方 (スコア:5, 参考になる)
たとえば、今回のこれ…
exerbってのは、Exerb [osdn.jp] が正式名称じゃないかな?
現在はメンテナンスされてるのかわからない(作者のページがドメイン切れ?)けど
タレコミの検索先から、メーリングリストのログ [nagaokaut.ac.jp]を発見。
最初の出来事は、2005年の12月っぽい。
上記のログだと、ノートンの検出名は「TR/Kakkey.A」とのこと。
と言うことは、Trojan.Kakkeys [symantec.com](注:Kakkey はいくつか亜種有り)これかな?
情報を読むと…これっていわゆる「山田ウイルス」かその亜種かな?
>Daily Certified 初回バージョン 2005 年 6 月 11 日
って書いてあるから、上記のログ以前から引っ掛かっていたのか、そこいらはわからない。
ちょっとぐぐって書き殴ってみた
Re:ソースの足らないタレコミの美味しいいただき方 (スコア:1, すばらしい洞察)
それを後からでもフォローできるって、幸せなことだね。
タレコミ人や編集者がいつでもどこでもタフにやれるっていう訳でもないし、記事のクオリティ云々は/.Jに限った話じゃないし。
Re:このタレコミソースなしなんだけど、ってタグつけたのだが。 (スコア:1)
まったくもって言い訳のしようもなく、仰るとおり情報不足なタレコミでした。
本当に申し訳ありません。次からは気をつけます。
自分が把握していた事はみなさんが全部書いてくださいました。ありがとうございます。
Googleで検索したらこのスレッドがひっかかるようになって、自分と同じパターンで悩む人の道しるべにはなったみたいです。ありがとうございます。
Re: (スコア:0)
ググればすぐにわかる [google.co.jp]ことだけど。
Re: (スコア:0)
Re: (スコア:0)
ここ最近のnabeshin人気に嫉妬(笑)
Re:このタレコミソースなしなんだけど、ってタグつけたのだが。 (スコア:1)
# アレゲ(笑)
1を聞いて0を知れ!
いったいどうしてこのような事態が継続しているのでしょうか? (スコア:4, おもしろおかしい)
Re: (スコア:0)
Re:いったいどうしてこのような事態が継続しているのでしょうか? (スコア:1)
Re: (スコア:0)
Re: (スコア:0, 興味深い)
これのせいで酷い目に (スコア:4, 参考になる)
で、会社でこのソフトを入れてた俺はまさに涙目。
すぐにこれのことだとわかったものの、会社のセキュリティポリシーに基づいて上長に報告ですよ。
で、一大事。
ほんとに何とかならんもんだろうか……。
一応誤検知だと思うとは言ってある物の、もしかしたら始末書を書くことになるかもしれない。
Re:これのせいで酷い目に (スコア:2, 参考になる)
仕方ないのでオンラインソフトを使うときはまずアンパックしています。
誤検知・マルウェア以外で検出するパターンもあります。
BlueScreen Screen Saver [microsoft.com]を使っていて、3年前のある日を境に悪意のあるソフトとして検出されるようになりました。そしてアラートが飛んでおれ涙目。
どうも悪用しやすいジョークソフトってことで検出対象になったようですが。
ま、始末書頑張ってください。
最新のパターンで検出されなければ、誤検知を強く主張できると思いますよ。
人ごとではない・・・ (スコア:1)
なるほど・・・。
これは人ごとではないですね。
これら以外でも自分が使っているツールがいつウィルス
扱いにされるかわからないってことですもんね。
でもうちの会社で使ったらどうなるか試してみたい
気もします・・・。
あー、でも私のせいでフリーウェアの使用禁止令
など出たらイヤだからやっぱりやめておこう。
Re: (スコア:0)
「勝手に」入れてたんなら始末書でも仕方がないね。
Re: (スコア:0)
# その責任が誤認したセキュリティソフト会社にあるのかどうかは、ソフトウェアの約款読まないと分からないけど
# 誤認を恐れて警告を出しませんでした、も問題だと思うし。
Re:これのせいで酷い目に (スコア:2, 興味深い)
昔々、職場で、『独習C』の最初のほうに出てくる、標準入出力ぐらいしか使っていないような20行ほどのサンプルコードを、そっくりそのまま入力してVC6でコンパイルしたら、Norton AntiVirusがウィルス扱いしてくれたことがあります。当時、ウィルススキャンソフトを入れるという規則がなく、自分で勝手に持ち込んでインストールしていたNorton AntiVirusだったので、どこかからおとがめを受けたりはしませんでしたが、もし、今のご時世だったらどうなってたんだろうかと。
# ウィルスを自作したって容疑をかけられるのか?
Re: (スコア:0)
Symantecに確認してもらい、OKだよねって事にする。
ネットワーク担当と合意が取れていれば、あとで
何とでもなる。
Re:これのせいで酷い目に (スコア:1, 興味深い)
アンチウイルスソフト(赤いやつ)が実行自体をブロックするので、始末書を免れたとしても依然として実行できない状況は続く。
情報システム部の見解としては、この種のツールを使う部門はイントラネット以外に回線を引いてそっちのPCで使え、ということらしい。
wget.exe (スコア:3, 興味深い)
Re:wget.exe (スコア:1)
Re:wget.exe (スコア:2, 参考になる)
タスクトレイに傘のアイコンが表示されていましたね。
調べてみたら「ウィルスセキュリティ(ゼロ)」っぽいので
ウィルスセキュリティゼロとwget.exeで検索してみたら
同様の事例が報告されていました。
Re:wget.exe (スコア:1)
「ウィルスセキュリティとwget.exeで検索してみたら」
でした。
Re:wget.exe (スコア:1, 参考になる)
$ wget --help | grep -i parent
-np, --no-parent don't ascend to the parent directory.
これで正確(?)に「そのディレクトリよりも下だけ」をとるようになるぞ。
#manや--helpはgrepで検索できるからいいよな。GUIのMenuは検索できないのが辛すぎる。
Re:wget.exe (スコア:1)
>wget………恐ろしい子!
wgetでなく「あなた」がトロイの木馬と認定されたりして。
#というか、この場合は木馬の中に隠れてた兵隊?
とりあえずVirusTotalにかけてみた (スコア:2, 参考になる)
で、結果はこんな感じ。
- exerb [virustotal.com]
- mkexy [virustotal.com]
- post-setup.rb [virustotal.com]
どこもヒットしてないようだが、bin以下のファイル以外なのだろうか。Re:とりあえずVirusTotalにかけてみた (スコア:4, 参考になる)
- ruby186g.exc [virustotal.com]
こっちは確かに数社が検知している模様。Re:とりあえずVirusTotalにかけてみた (スコア:3, 参考になる)
Re:とりあえずVirusTotalにかけてみた (スコア:1)
exerb-4.2.0.zip に入っているruby186g.exc を
ウィルスだという判定はしなかったです。
判定ロジックが他社は甘いのかな。
kazu2
Windows Live OneCare (スコア:1)
>判定ロジックが他社は甘いのかな。
上のような洞察はしないでしょうね。
- - -
http://www.itmedia.co.jp/enterprise/articles/0702/07/news028.html [itmedia.co.jp]
>AV-Comparatives.orgでは検証結果を踏まえて各製品をSTANDARD、ADVANCED、ADVANCED+の3段階で
>ランク付けしているが、OneCareはランク外となり、認定が付与されなかった。その理由について
>報告書では「(OneCareは)テストの成績が非常に低く、参加のための最低要件に到達しなかった。
>このため今後のテストに含めるかどうかを再検討する必要がある」と記している。
これはひどいFUDですね (スコア:2, すばらしい洞察)
http://www.itmedia.co.jp/enterprise/articles/0706/02/news013.html [itmedia.co.jp]
まあQuickTimeもRealPlayerも最初の悪い印象だけで永遠に文句言われ続けてますし、Mozillaも立ち直るためにFirefoxという外見と名前の異なる製品を立ち上げる必要があったりしましたから、とにかく第一印象が(少なくとも日本では)大事だとつくづく思いますね。
Re:Windows Live OneCare (スコア:1)
>>判定ロジックが他社は甘いのかな。
>
>上のような洞察はしないでしょうね。
言葉が少なくて申し訳ないです。
なんでも検出できるものが良いという尺度なら、他社は甘くないという
ことになるのでしょうが、今回の話題では
検出率が高い=誤検出が多い では困るという尺度が話題になっていると
理解しました。
だから、そういう意味で、判定ロジックが甘いものがあるのだろうと。
別コメントで触れられている
http://www.virustotal.com/jp/analisis/da6c8f2eebebacdb39f5cdfd11900848 [virustotal.com]
によると、ruby186g.exc を検出する/しないアンチウィルスソフトを
挙げているわけですが
もともとの
「各種のセキュリティソフトウェアでトロイの木馬だと見なされ、驚くべきことにその状態が“2年以上”続いています。」のこれは事実なのかな?
上記の VIRUS TOTALのサイトでは、SymantecやMcAfee など主要な
アンチウィルスソフトでは ruby186g.exc単体は、検出しないようです。
別コメントで挙げられている exerbで作られた「谷口ウィルス」に対する検出結果を見たいですね。
kazu2
Re:Windows Live OneCare (スコア:1)
#1317256 [srad.jp]にあるメーリングリストのログ [nagaokaut.ac.jp]の日付が正しいとすれば、2年と3ヶ月後に対策された、ということになるのでしょうか。
Re:とりあえずVirusTotalにかけてみた (スコア:1)
旅に出ます.(バグを)探さないで下さい.
気がついた人は情報を流してるのか? (スコア:2, 参考になる)
Re: (スコア:0)
ウイルスと誤認識されてしまい
そのセキュリティソフトの開発元にメールで連絡したら
翌日には解除されたことがあったが・・・
誰も報告しないから2年?としか思えませんよね
Re:気がついた人は情報を流してるのか? (スコア:1, 参考になる)
昔、 bsfilter のパッケージが avast! にトロイの木馬入りだと怒られたときに、 ALWIL Software には報告済みです。
技術的な内容を説明できるだけの知識はないので、メーリングリストのログへのポインタを示した上で、つたない英文とともに検体提出をしました。 内容がきちんと伝わったかどうかは定かではありませんが、ひとまず、次にリリースされたウイルス定義ファイルで誤検出されなくなり、 bsfilter のパッケージに限って言えば、それ以降、誤検出されたことはありません。
ただ、当時、わたしは exerb を持っていませんでしたので、 exerb そのものについて、誤検出されるかどうかについては確認しませんでしたし、報告もしませんでした。
もしかすると、このケースのように、
というケースが多いのかもしれません。
誤認じゃなかった (スコア:1)
(L)GPLライセンスというトロイの木馬を検出しました。
# オープンソースなんだから、ソースコードを検査できる分こういうのには無縁じゃない?
# かといって、バイナリ配布されているものはそのまま信用できませんが。
Re:誤認じゃなかった (スコア:2, すばらしい洞察)
たとえていうなら (スコア:0)
あるいは拡張子 ".exe" は怪しいぞ、みたいな。
Re:たとえていうなら (スコア:2, おもしろおかしい)
マラソンで二位を抜いたら何位?
Re: (スコア:0)
Re:だからあれほど言ってるのに (スコア:1, すばらしい洞察)
Re:だからあれほど言ってるのに (スコア:1)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
# 昔は知らないというアピール、と
Re:だからあれほど言ってるのに (スコア:1)