Author Topic: ウィルス誤検知かどうか調べる方法  (Read 38484 times)

0 Members and 1 Guest are viewing this topic.

REDACTED

  • Guest
ウィルス誤検知かどうか調べる方法
« on: July 04, 2014, 04:53:36 PM »
こんばんは。以前もお世話になったことがあります。
PC買い換えましたので環境は以下のように変更しております。

PC: 東芝dynabook、Windows8.1
ブラウザ: IE・Chrome(最新)

今回もどうぞよろしくお願い致します。

スタートアップスキャンで※ 「ウィルスを発見しました」と表示されてしまいました。
※PC買い換え後、プレインストール済の体験版「ウィルスバスタークラウド」を使用していました。期限が迫ってきたためアンインストールし、新しいPCでもavastをインストールしました。

検知されたウィルスの内容は以下の通りです。

ファイル名: c:\program files(x86)\mos模擬テスト\mos模擬テスト excel2013体験版\mosexcel2013traial.exe
危険度: 中
ステータス: 脅威:Win32:Evo-gen[Susp]

日経BP社のHPから公式にダウンロードした体験版※ なので、問題ないとは思うのですが「ウィルス」検知されてしまったので、気になってしまいます。
※http://ec.nikkeibp.co.jp/msp/TXT/download/data/973-5/trial.shtml

とりあえず「チェスト」に移動してありますが、問題なさそうなら元に戻したいです。誤検知なのかどうか、調べる方法はありますか?(あまりPC詳しくないので、できれば簡単な方法だと助かります)
また、こちらは優先度の低い質問でご負担にならなければお答え頂ければと思いますが、上記検知された内容は自分でキーボード入力したのですが、コピーすることはできるのでしょうか?(テキスト情報ではないのであれば、不可能なのでしょうか?)

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5520
  • Whatever will be, will be.
Re: ウィルス誤検知かどうか調べる方法
« Reply #1 on: July 05, 2014, 02:40:49 PM »
Win32:Evo-gen[Susp] ということですので、誤検知の可能性が高い気はしますが、確認ということであれば

Virustotal
https://www.virustotal.com/

が使えます。

一時的にavastを停止するか、特定のフォルダを除外設定したうえで、そこにファイルを抽出し、Virustotalに送ってみてください。
Desktop: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 32GB RAM / Avast 23 Premium Beta(Icarus) / Comodo Firewall
Notebook: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 12GB RAM / Avast 23 Free / Windows Firewall Control
Server: Win11 Pro 23H2 64bit / Core i3-4010U 1.7GHz / 12GB RAM / Avast One 23 Essential

Avast の設定について解説しています。よろしければご覧ください。

REDACTED

  • Guest
Re: ウィルス誤検知かどうか調べる方法
« Reply #2 on: July 05, 2014, 05:58:39 PM »
NON様、ご回答ありがとうございます!ご回答を参考に手探りでやってみました。

■実行手順
Avastのウィルスチェストから該当を右クリック「復元」を選択※
VirusTotalの「ファイルを開く」のファイル選択から
フォルダの場所に「c:\program files (x86)\mos模擬テスト\mos模擬テスト excel2013 体験版」を貼付
ファイル名に「mosexcel2013trial.exe」を貼付
VirusTotalの「スキャンする」をクリック実行

※「復元」ウィルスチェストから出して、元の場所に戻す、という認識で間違いないでしょうか。デスクトップに作っておいたショートカットが戻らなかったのですが、これはそういうものだと思ってよいですか。
※「ファイルを復元して除外リストに追加する」の方がよかったのかも?と思い、試しにクリックしてみたところ、「既存のファイルに上書きしますか?」とファイル名・保存場所が表示されたのでそれをコピーして次の貼付時に使いました。(コピー後、「キャンセル」しました)

■結果
SHA256: 519ce423453700f04565efb19cc256937c6aae656f66f165546a09eac9936238
ファイル名: mosexcel2013trial.exe
検出率: 0 / 53 
分析日時: 2014-07-05 14:49:06 UTC (1 分前) 
(ウィルス対策ソフト名横の結果:すべて緑のレ点(File not detected))

よくは分からないのですが、検出率「0/53」とあるのでウィルス検知されなかった、ということでしょうか。
「File not detected」を(英語ができない私が)単純に解釈してしまうと「ファイルは検出されませんでした」で少し?なのですが、
強引に解釈すれば、ウィルスが含まれたファイルは検出されなかった、といった解釈で概ねよろしいでしょうか…?
また、(今回の検知用?)ウィルス対策ソフトの中には「Avast」もあり、「File not detected」と表示されていましたが、無料版・有料版、バージョン等が異なって結果に違いが出るのでしょうか。

実行手順、結果の解釈は大筋で問題ありませんでしょうか?いくつも疑問形で投げかけてしまいましたが、すべてにお答え頂くのは大変かと思いますので、間違っている解釈や問題のある手順だけ訂正して頂ければと思います。
毎回長文申し訳ありません(>_<)

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5520
  • Whatever will be, will be.
Re: ウィルス誤検知かどうか調べる方法
« Reply #3 on: July 06, 2014, 07:20:51 AM »
この結果であれば誤検知と見なして問題ないでしょう。

「File not detected」は「File (is) not detected (as virus)」と解釈して「ファイルは(ウイルスとして)検知されませんでした」と考えればよいと思います。

Win32:Evo-gen [Susp] は特殊な定義で、Virustotalを含め右クリックスキャン等のスキャンでは検知されず、実際に実行された場合のみ検知されます。
したがって、Virustotalで検知されないからと言って、avastが検知していないわけではない、という面倒な状況になっています。


手順に関しては、基本的にはそれで問題ありません。
ただし、今回はEvo-genだったので大丈夫ですが、他の検知だと、復元した途端にまた隔離されてしまう場合があります。
その場合は、avastの停止や、除外リストへの追加が必要になります。

ウイルスチェストからの復元方法には3種類あり、それぞれ
  • 復元:元の場所に戻す
  • 抽出:別な場所にコピーする
  • ファイルを復元して除外リストに追加:文字通り、復元と除外リストへの追加処理を同時に行うもの
となっています。
本物のマルウェアである場合を考慮すると「除外リストに追加」はあまり使いたくないのですが、誤検知の可能性が濃厚な場合はこれが便利でしょう。


ということで、誤検知と思われます。安心して使って大丈夫でしょう。
Desktop: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 32GB RAM / Avast 23 Premium Beta(Icarus) / Comodo Firewall
Notebook: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 12GB RAM / Avast 23 Free / Windows Firewall Control
Server: Win11 Pro 23H2 64bit / Core i3-4010U 1.7GHz / 12GB RAM / Avast One 23 Essential

Avast の設定について解説しています。よろしければご覧ください。

REDACTED

  • Guest
Re: ウィルス誤検知かどうか調べる方法
« Reply #4 on: July 07, 2014, 12:20:53 PM »
NON様、ありがとうございます。
何度も申し訳ありませんが、誤検知の調査を今後できるだけ自分でできるようになりたいので、もう少しご質問させて頂けますでしょうか。
(今回の誤検知については解決済みですので、ゆっくりご回答ください。)

「ファイルを復元して除外リストに追加」後、VirusTotal検査してやはりウィルスの可能性が高かったときは、
①「設定」→「アンチウィルス」→「スキャンからの除外」から該当を削除
②復元したファイルを右クリック再スキャン→ウィルス検知→削除(またはチェストへ移動)
上記手順でよろしいでしょうか。

”チェスト内に移動したexeファイルに対してAvastで復元すると、場所が復元されるだけでファイルそのものは無効化されたままでした。” ※
という書き込みを見つけ、少し混乱しています。「復元」は機能もすべて完全に隔離前の状態に戻すものではないのでしょうか?
他サイトも少し調べてみたのですが、同件についての書き込みを見つけられず、よく分かりませんでした。
※OKWawe「avastでトロイの木馬が検出されたが・・・」http://okwave.jp/qa/q5494543.html

上記2つのようなことを考えると、いっそウィルスを検知したらすぐにチェストに移動せず、即行で「VirusTotal」検査してからその後の対応を考えた方がスムーズかと思いますが、それも一つのやり方として考えてよろしいでしょうか。
または、avastの一時的な停止(アバスト!シールド制御→10分間無効にする)が有用でしょうか。

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5520
  • Whatever will be, will be.
Re: ウィルス誤検知かどうか調べる方法
« Reply #5 on: July 08, 2014, 04:45:08 PM »
「ファイルを復元して除外リストに追加」後、VirusTotal検査してやはりウィルスの可能性が高かったときは、
①「設定」→「アンチウィルス」→「スキャンからの除外」から該当を削除
②復元したファイルを右クリック再スキャン→ウィルス検知→削除(またはチェストへ移動)
上記手順でよろしいでしょうか。
「ファイルを復元して除外リストに追加」を利用した後であれば、この手順で問題ありません。
ただ過去には、感染ファイルのあるフォルダを開いただけで発動するウイルス(※1)というものもいましたので、「復元と同時に除外に追加」というのは、誤検知の可能性が極めて高い場合にしかお勧めしません。
ファイルシステムシールドの除外設定を利用すれば、読み書き時スキャンだけを除外して実行時スキャンは除外しない、といった設定も可能ですので、展開専用のフォルダを作っておくというのも有効です。
もっとも、上記のタイプのウイルスの場合にはあまり意味がないのですが・・・。

※1
アイコン表示機能に存在した脆弱性を狙ったもので、WindowsUpdateにより修正されたため、現在は問題ありません。


Quote
”チェスト内に移動したexeファイルに対してAvastで復元すると、場所が復元されるだけでファイルそのものは無効化されたままでした。” ※
という書き込みを見つけ、少し混乱しています。「復元」は機能もすべて完全に隔離前の状態に戻すものではないのでしょうか?
他サイトも少し調べてみたのですが、同件についての書き込みを見つけられず、よく分かりませんでした。
※OKWawe「avastでトロイの木馬が検出されたが・・・」http://okwave.jp/qa/q5494543.html
ファイルを復元すれば、ファイルとしては全て元通りに復元されます。

リンク先の記事は、かつて大規模に発生した誤検知の際のもので、おそらく「再実行するとまた検知・隔離されてしまう」ということを言おうとしたのではないでしょうか。


Quote
上記2つのようなことを考えると、いっそウィルスを検知したらすぐにチェストに移動せず、即行で「VirusTotal」検査してからその後の対応を考えた方がスムーズかと思いますが、それも一つのやり方として考えてよろしいでしょうか。
または、avastの一時的な停止(アバスト!シールド制御→10分間無効にする)が有用でしょうか。
Virustotalも定義の更新にラグがあること、また近年は各社とも通常の定義以外の部分での検知に力を入れていること(avastでいうディープスクリーンといった振る舞い検知)から、Virustotalの結果だけを当てにするのは危険です。
出たばかりのウイルスの場合、Virustotalの定義に反映されていない場合もあり得ますので。

今回のように誤検知の可能性が高い場合はともかく、通常は「まずは隔離」しておくのが安全かと思います。
また、先述した「読み書きのみ除外」は、シールド停止中に誤って実行ファイルを起動してしまい、マルウェアが発動するのを防ぐのに有効です。
シールドを停止してしまうと、関係ないファイルのスキャンまで停止してしまいますので、シールドを停止するくらいであれば丸ごと除外の方が安全です。
Desktop: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 32GB RAM / Avast 23 Premium Beta(Icarus) / Comodo Firewall
Notebook: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 12GB RAM / Avast 23 Free / Windows Firewall Control
Server: Win11 Pro 23H2 64bit / Core i3-4010U 1.7GHz / 12GB RAM / Avast One 23 Essential

Avast の設定について解説しています。よろしければご覧ください。

REDACTED

  • Guest
Re: ウィルス誤検知かどうか調べる方法
« Reply #6 on: July 09, 2014, 02:56:13 AM »
詳しくご回答頂き、ありがとうございます。
疑問点が解決しました。
やはり安全に「まずは隔離」を選択することにします。

誤検知の可能性が高いのか、それとも危険なウィルスの可能性があるのか(またその場合の確認方法について)、
まだまだ一人では心もとない部分がありますので、またなにかありましたら、よろしくお願い致します。

今回はとても助かりました。いつもありがとうございます。

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5520
  • Whatever will be, will be.
Re: ウィルス誤検知かどうか調べる方法
« Reply #7 on: July 09, 2014, 03:21:54 PM »
また何かありましたらお越しください :)
Desktop: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 32GB RAM / Avast 23 Premium Beta(Icarus) / Comodo Firewall
Notebook: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 12GB RAM / Avast 23 Free / Windows Firewall Control
Server: Win11 Pro 23H2 64bit / Core i3-4010U 1.7GHz / 12GB RAM / Avast One 23 Essential

Avast の設定について解説しています。よろしければご覧ください。