用語の部分になりますが・・・「中国のサイト」「別のサイト」は「中国(製)のソフト」「別のソフト」の意味でしょうか?
その前提で、以下は引き続きコメントです。負けず劣らず長文になってしまいましたので時間のあるときにどうぞ。
>あるいはそれをさらに解凍した中身のファイルではスキャンの深さが変わりますので、結果が異なることは十分あり得ることです。
最初のコメントが判り辛くなってしまったためにご迷惑お掛けしていますが、誤検知だろうと判断されるのは今回のファイルそのもので、また、一点書き損じがあって重ねてお詫びしたく、exeファイルの状態で検知を出してきたのが中国のサイトで、次、exeから出てきたexe(ソフトの実行ファイル)を同じクロスチェックサイトに掛けると、別のサイトが別の検知結果を出してきた形になります。
これらは検知の深度に関係していたのですね。
私が「深度」と書いたのは、
ウイルスを含んだZIPファイルをZIPのままスキャン -> 表面上(第1層目:ZIPファイル)しかスキャンしない -> 検知されない
ウイルスを含んだZIPファイルを解凍し、中身のファイル(第2層目:中身のウイルス)をスキャン -> 検知される
ということがあり得る、という意味合いで書いています。
誤検知であってもどこをどう検知した、という差なのかな、と思っているのですが。
これはその通りと思います。
こうした脆弱性について、例えばフリーソフトで既に更新が途絶えたソフトなどは、基本的に危険な物、と考えてしまうべきでしょうか?
(中略)
Media Player Classicなどはそれ自体が単体で機能する物なので、こうした物とはあまり関係なさそうですが……。
難しいところですが、更新が止まったソフトは、脆弱性の影響を受ける確率が高くなるのは事実です。
ただそれは、そのソフトそのものの脆弱性もありますが、むしろそのソフトに内蔵された共通プログラムが古いまま放置されることによるものが多いです。
どういうことかというと、例えば、一般に広く使われている共通プログラムA(一般に「ライブラリ」とか呼ばれます)があり、Aを内部に組み込んだソフトBがあるとします。
この場合、共通プログラムAに脆弱性が見つかれば、共通プログラムAを使っている全てのソフト(ソフトBを含む)に脆弱性が存在することとなります。
もしソフトBの更新が止まっているとすれば、ソフトBに内蔵されたAは古いまま(脆弱性を含んだまま)になり、ソフトBも脆弱性を持ったままとなります。
ここでソフトBが更新され、共通プログラムAが最新のものに更新されれば、ソフトBの脆弱性も解消します。
現在では、たいていのソフトは何らかの形でこういった共通プログラムを使っています。
Media Player Classicも、ffmpeg やLAV Filtersという動画・音声再生用の共通プログラムを使っており、もしこれらに脆弱性が見つかれば、その影響を受けることになります。
各ソフト個別の脆弱性というよりは、こういった共通プログラムの脆弱性の方が、影響範囲が広い分、問題にされることが多いように思います。
FlashとかWindowsとかの脆弱性は、そもそものソフトの普及率が高いので、ソフト個別の脆弱性でも大問題になる訳です。
まとめると、ご自身でも言及されていますが、
解凍という行為そのものに危険性があるわけでなく、そうしたソフトが現在でも使用できる事に問題があるのでもなく、それらのソフトに何らかの問題がある場合、そこを突いて攻撃するウイルスが存在すると、それの対象となってしまう
ということです。
さらに言えば、「更新が止まったソフトは、その問題が放置されることになる場合が多い。ゆえに危険性が増す」と付け加えておきましょうか。
また、セキュリティパッチの有無自体が開発者の対応に依存しているため、そもそも個人ではそれを用意するかといったような問題もあると思います。
ソフトの作りによっては、共通プログラムを個人が更新できるものがあるので、そういった場合にはソフトの更新が止まっていても、共通プログラムだけを更新し、脆弱性を回避することが可能になります。
もちろん、ソフト作者が保証する使い方ではないので、別な問題が起きる可能性も高いのですが・・・。
一応、それらを全て包括する要素としてアンチウイルスソフトがあり、何かあれば警告してくれる(実際、自分が使っているブラウザでもAvastは検知してくれますし、Kageを入れてみて、昔あったようなスレッドにコードが書き込みとして書かれたタイプのものなどですが、avastがウイルスとして反応してくれます)と思うのですが。
基本的にはその通りですが、100%は期待しない方が良いです。
いわゆるゼロデイの場合、アンチウイルスでは対応しきれない場合がままあります。
ここのニュアンスを巧く伝えられるか心配だったのですが、仰るようにexeが問題のファイルである場合、他のソフトでそれを解凍したらそれをexeとして実行してしまっているのではないか、と考えてしまっていたのですね。
また、これで最初の疑問であった圧縮ファイルから中身を取り出す時、その中身がexe形式のウイルスであっても、その過程そのもので感染することはない、というのが理解できました。
認識の通りです。
知恵袋の方も見てきましたが、知恵袋でのやり取りでは、「感染する」(「インストールされている」)という用語の認識に相違があるような気がしました。
私は「感染する」という用語について、「ウイルスのコードが
実行され、その結果何らかの(目に見えないことであっても)
事象が発生する」ことをもって「感染する」と表現します。
これはおそらくechoconquer さんも同様かと思います。
知恵袋の回答を読む限り、回答されている方は私と異なり、「感染する」を「ウイルスのコードが
実行されたか否かに関係なく、ウイルスのファイルがコンピュータ上に
存在する」ことをもって「感染する」(「インストールされている」)と表現しているように思います。
この部分に認識の相違があると、今回の質問内容の場合、会話がかみ合わなくなるのも無理はないと思います。私も最初、知恵袋の回答を読んで「?」となりました。
業者さんはおそらく、同じ用語の使い方をする方だったのでしょう。
もっとも、正直に言わせて頂くと、echoconquer さんの文章の書き方(用語の使い方?)は相手にやや意図が伝わりにくいのは確かかと思います。
私からも、何度か認識の確認をさせて頂いている通りです。かくいう私もあまり人のことは言えないのですけれど。
>・この次に、現在使っていないPCで上記ファイルをLhazにて中身を閲覧しました。
>中身が複数のファイルであることを確認し、全部をドラッグして解凍対象として解凍しました。
>この場合、圧縮ファイルから出てきたファイルがexeだったのですが、もしもこれがウイルスであれば感染の可能性はあるのでしょうか?
ですが、このニュアンスがもしかしたらここでも巧く伝わってないか不安になってしまいまして、こちら、「exeファイル(自己解凍形式)をそのままLhazに入れた」という意味合いで書いていましたが、問題ありませんでしたでしょうか。
この通りの意図(自己解凍形式ファイルをLhaz で開き、Lhaz の解凍機能を使用)として回答しています。
それから、あれから全体の挙動を見るために複数のソフトをDLしてクロスチェックサイトで調べてみたのですが、海外のややマイナーなサイトにおいて、現在最新のLhaplusは中国圏のサイト他、4~5圏のウイルスチェックサイトに引っ掛かってしまうようです。
確かにそうですね。これは誤検知と思います。
Lhaplusの公式や、不具合情報があった時に定期的に情報を発信する窓の社でこうした提示がないということは、これはやはり単にそうしたサイトが持つ独自のアルゴリズムがファイルをウイルスとして認識するようにパターンを組んでいるから、と考えていいでしょうか。
誤検知というのは、つまりそういう状態のことを言います。
ウイルスだけを認識するはずのパターンが、ウイルスではないファイルにも当てはまってしまった、という状況です。
ちなみに。「窓の社」ではなく「窓の
杜」(もり)です。
4~5件のサイトが全く別の検知の内容を指摘していることもあり、誤検知だろうなと。
これはあまり当てになりません。
ウイルス名の付け方に統一規則は無いので、同じウイルスでも、各社ばらばらな名前が付くケースはざらにあります。
逆に5製品くらいが全く同じ名前で検知していても、実は製品名が違うだけで定義ファイルは同じものを使っている(一部のウイルス検索エンジンは複数社で共用されていて、同じ定義ファイルでも、各社で別な名前の製品として販売されています)ことがあるので、5製品と言っても実は1つの定義ファイルの誤検知、というケースがあり得ます。
元が信頼できるファイルであったり、検知数が数件だったりするならともかく、正体不明のファイルで50製品中10製品(うちメジャーどころ1件)とか検知された日にはお手上げです。
大手が検知しているかどうか、名前に(ある程度の)類似性があるか、そのファイルの信頼性(有名どころのソフトか、マイナーなソフトか)等を総合的に見て、どう判断するか、というところになります。
例:
https://www.virustotal.com/en/file/eafd269450281cb62a5986ba15c9cdb1636ea320157d28a99cf31d11518b147e/analysis/「Gen:Variant.Graftor.64412」が7件検知されていますが、これはすべて1つの定義(BitDefender 提供)に由来します。
同様に、「Trojan/W32.Yakes.5223936」が2件ありますがこれも1定義(メーカー不明)、「Trojan ( 004432801 ) 」も2件ありますが1定義(同じ会社が提供する2製品)です。
今回の場合、「Yakes」というキーワードが形を変えて複数(「Trojan.Yakes!HjuR5F5z9+g」「Trojan/Win32.Yakes」「Trojan.Yakes.g4」「W32/Yakes.CVXV!tr 」等々)出ていますので、本物のマルウェアの可能性が高いと判断できます。
すみません、削除の仕方が判らないので消しました。
前のコメントを修正しようとして、間違えて新しく投稿してしまったようです。
投稿の削除はできないので、この状態で大丈夫です。