Trojan:JS/CoinHive.A というウィルス（トロイの木馬）に関して

[REDACTED]

Windows10で　アバスト無料版を使用しています。
10月10日水曜日の夕方帰宅すると　アバスト　と　OS　のアップデートがあり　両方を実施しました。
すると　その後から　一部のアプリが起動できなくなり　起動を妨げるソフトが別に実施されているので　先にそちらを終了するようにメッセージが流れるようになりました。
アプリのセキュリティーとアバストが干渉しているのかと考え　アプリの会社に問合せを行うと　
対応策として　
アプリのログファイルの削除　
セキュリティソフトの更新　
ウィルスチェック
OSの再起動
を行うように指示され　数回にわたり繰り返し行いましたが　改善されませんでした。
さらに　アプリのセキュリティーログファイルを解析してもう　等　やり取りしたところ　
上記の作業にくわえ　アバストの
C:\Program Files\AVAST Software\Avast\aswhookx.dll 64400
このファイル内に問題があるのではないかと指摘されました。
セキュリティソフトのフォルダ内を除くのは怖いので　
ディフェンダーのスキャンを有効化し　
クイック　
フルスキャン　（途中でフリーズ）
オフラインスキャン
フルスキャン　（ここでウィルス発見するも削除できず）
オフラインスキャン　（これで隔離成功）
と行ったところ
題名の　トロイの木馬が　アバストのファイル内から発見されました。

それまでに　アバストのフルスキャンは6回は実施していたのですが　
まさか　アバストの中に潜り込まれていたとは盲点でした。

現状は　アバストの無料版と　ディフェンダーの定期スキャンが　併用されている形ですが
それはそれで　セキュリティーの被りで　動かないアプリがでそうで怖いです
それに　また　何かのタイミングで　アバスト内に　ウィルスが入り込む危険性もあるのではないかと考え　
ご意見を伺いたく　投稿した次第です。

詳しい方　または　同様の経験をされた方が　いらっしゃいましたら　アドバイスお願いいたします。

[NON]

こんばんは dandishaw907 さん


複数のセキュリティソフトを併用すると、お互いがお互いのファイルをマルウェアとして検知する場合があります。
これは、セキュリティ対策ソフトがマルウェアを検知するために使用しているデータベースを、別なセキュリティソフトがマルウェアとして誤認することによるものです。
おそらく今回も誤検知と推定されます。

一般的に、セキュリティソフトの併用はご法度とされています。
それは今回のようなケースのほか、最悪の場合、お互いの常駐保護が干渉してPCが動作しなくなることがあるからです。

アプリが起動しない要因は、Avast が原因だとすると複数想定されますが、ソフト名等も不明な現状では具体的な対策のアドバイスは難しいです。
一般論的には、以下ページの「1　特定のアプリが起動しない」や「2　オンラインゲームを遊ぼうとすると、ゲームガード系ソフトからエラーが表示される」で挙げられている部分を確認されることをお勧めします。

除外・例外設定のありか その2（症状編）
https://thaliana.mydns.jp/avast/2017/12/how-to-set-exclusions-2/

[REDACTED]

アドバイスありがとうございます。
セキュリティーソフト同士の誤認までは理解・推測できるのですが　アバスト内に存在すると「誤認？」したプログラムに　「トロイの木馬」と認識し　ウィルス名までつけてしまう物なのか　そこが　最大の謎でした。
素人考えですが　セキュリティーソフトの更新にウィルスを紛らわせ　セキュリティーソフトの中に存在すれば　自己スキャンされないで　隠れていることができるようなケースがあったら怖いと考えました。
過去にも除外設定せず使えていたアプリが　セキュリティーソフトのウィルス定義やソフト自体の更新で　その後　除外設定しなければ使えなくなったり　更にその翌週の更新でまた使えるようになったりは　幾度も経験しているので　アプリ側　マイクロソフト　セキュリティーソフトのそれぞれのヴァージョン相違でおきるご認識や変化は想像できます。
しかし今回は　アプリの開発元が　アプリ側のログファイルを解析して　調べるように指定してきたフォルダーと　マイクロソフトのディフェンダーがウィルスと認識したファイルが存在したフォルダーが一致したこと　さらに隔離や駆除に工夫が必要だったことアプリの会社　2社が同じ場所を懸念してきたことで　誤認なのか？　本当にウィルスなのか？　が最大の心配点でした。

私は複数台PCを所有しており　PCの用途毎に必要なアプリと干渉しにくいセキュリティーソフトがインストールされているのですが　有料版一社に絞れないのもこのためです。（10にセキュリティーソフトは必要ないという方もおられますが　ディフェンダーではスケジュールスキャン機能がつかえないので）
アバストを使用しているのは　メインPCで　様々なアプリとの干渉がもっとも可能性が低いために　これまで一番重宝するソフトでした。
なので　できれば　安心してアバストに全てを任せたい所だったので　同名のウィルスが検出されていたり　定義が更新されれば　再発の可能性なしと　判断できるとおもい情報を求めた次第です。

しばらく様子を見て　安心するために有用な情報が無ければ　アバストをあきらめるしかないですかね

[NON]

セキュリティーソフト同士の誤認までは理解・推測できるのですが　アバスト内に存在すると「誤認？」したプログラムに　「トロイの木馬」と認識し　ウィルス名までつけてしまう物なのか　そこが　最大の謎でした。

マルウェアを検出する場合には、基本的には、ある名を持つマルウェアに見られる「パターン」を登録しておき、対象となるファイルにそれに合致するものがあれば、そのパターンに合致するファイルに対して、そのマルウェアの名前を付けて表示します。
それが本当にマルウェアであろうがなかろうが、パターンに合致すれば、それはマルウェアの名前で表示されます。

素人考えですが　セキュリティーソフトの更新にウィルスを紛らわせ　セキュリティーソフトの中に存在すれば　自己スキャンされないで　隠れていることができるようなケースがあったら怖いと考えました。

ソフトの仕様次第ですが、Avast に関して言えば、Avast のプログラムフォルダもスキャンの対象となっているので、スキャンされないということはありません。
(厳密には、高速化のため、有効なデジタル署名があるファイルに対してはスキャンを省略していますが、ファイルが改竄されればデジタル署名も破壊されるため、スキャンの対象となります)

しかし今回は　アプリの開発元が　アプリ側のログファイルを解析して　調べるように指定してきたフォルダーと　マイクロソフトのディフェンダーがウィルスと認識したファイルが存在したフォルダーが一致したこと　さらに隔離や駆除に工夫が必要だったことアプリの会社　2社が同じ場所を懸念してきたことで　誤認なのか？　本当にウィルスなのか？　が最大の心配点でした。

C:\Program Files\AVAST Software\Avast\ のことを言っているのであれば、ここにはAvast のプログラムの大半が格納されていますので、Avast の関連ファイルと言えばここになってしまいます。
また、Avast はマルウェアによる妨害を防ぐため、自身のプログラムやファイルに対する操作をブロックする機能がありますので、Windows Defender で駆除できなかったのも無理はありません。

マルウェア名を考えた場合、Trojan:JS/CoinHive.A は「JS」の名の通りJavaScript が本体であり、該当するaswhookx.dll のような実行ファイルとはそもそも形式が異なります。
また、CoinHive は仮想通貨採掘スクリプトを意味する名称であり、より深刻なマルウェアのように、駆除を妨害するような機能はまず無いでしょう。

参考までに、該当ファイルのVirustotal の結果を載せておきます。この結果だけで100%を保証することはできませんが、少なくともMicrosoft (Windows Defender) も3日前までは検知しておらず、また現在も検知していないことが分かります。
https://www.virustotal.com/ja/file/13ddda0b0af99b482ec23257c44321958a671508ab666ab03df3f92c34868cdb/analysis/1539241500/
https://www.virustotal.com/ja/file/13ddda0b0af99b482ec23257c44321958a671508ab666ab03df3f92c34868cdb/analysis/1539449246/

同名のウィルスが検出されていたり　定義が更新されれば　再発の可能性なしと　判断できるとおもい情報を求めた次第です。

残念ながら、可能性0%は誰にも保証できません。
ご自身で述べられているとおり、ウイルス定義やプログラムは日夜更新されていますので、それらの組み合わせ次第では同じことが起きる可能性は誰にも否定できません。
これは他のソフトでも同じことで、他のソフトに変えたからと言って起きない保証はありません。

そういうものと考えるしかないです。