web-dev-qa-db-ja.com

VirusTotalレポートを理解する

VirusTotalでファイルをテストしたところ、フィードバックの10%が悪いと言っています。私の質問は、なぜ彼ら全員がそれが悪いファイルだと言わなかったのかということです。私が認識し信頼している企業が、なぜそれが悪いと言わなかったのですか?以下のようなレポートがどのように解釈されるかについて意見をいただけますか? 10%は単に間違っていますか?逆に、90%間違っていますか?

https://www.virustotal.com/#/file/c6bf8ec7f158734b5201e080bebcd37bc2553cc6588dda0d6f0bc2fbda07bf08/detection

2
Xabache

参照しているWebページのデータから始めます。 (列にはラベルが付いていないので、参照されているように見えることに基づいて意味を挿入しました。)

アンチウイルスベンダー:CAT-QuickHeal
Trojan.IGENERIC
ウイルス対策ソフトウェア:Cyren
W32/GenBl.DEAF24C0!オリンパス

アンチウイルスベンダー:GData
Win32.Trojan.Agent.2OV2PC
アンチウイルスソフトウェア:Ikarus
Trojan.Win32.Agent

アンチウイルスベンダー:台頭
Malware.Undefined!8.C(クラウド)
ウイルス対策ソフトウェア:TrendMicro-HouseCall
Suspicious_GEN.F47V0716

何かにフラグが立てられているのを見つけたら、次にチェックする価値があるのは、「なぜフラグが立てられたのか」です。だから、それぞれに尋ね始めます。

CAT-QuickHealの場合、softareをトロイの木馬(有名なトラップにちなんで名付けられた「TrojanHorse」の略で、コンピュータセキュリティ業界で1つのことを行うように動作するソフトウェアを指すために使用されますが、非常に不吉な目的)。そして、それはどのトロイの木馬のファミリーに属していますか? IGeneric。多分私はインターネットの略ですか?

W32/GenBl.DEAF24C0!Olympusはより具体的に見えるので、それを検索文字列として使用しました。

別の一般的なサイト(つまり、1つのベンダーだけに密接に関係しているわけではありません)、CVEDetails、 CAT-QuickHealのUltimate Security Vulnerability Datasource にアクセスした後、W32/GenBl.DEAF24C0!Olympusまたはその他のバリエーションを検索しましたが、何もわかりません。

「DEAF24C0」は完全に16進数で構成されています。最初は意味のある言葉かもしれないと思っていたのですが、しばらくすると16進数だと思い始めました(たまたま英語の「Deaf」で始まる)。 VirusTotalの[詳細]タブにdeaf24c0で始まるMD5が表示されていることに気付いたとき、私はもっと信じ始めました。したがって、deaf24c0はMD5ハッシュの最初の8桁です。

一方、 Google Search for GenBL Olympus はいくつかのバリエーションを示しているようで、誰もそれが何をしているのか正確には知らないようです。

次に進むと、GDataはこれをWin32(Microsoft Windows 32ビット互換プラットフォーム)トロイの木馬(偽の意図を持つプログラム)エージェント(バックグラウンドで実行されるソフトウェア)と見なしていることがわかります。それは多くの一般的な響きのフレーズです。最も具体的な2OV2PCは、検索結果を表示しませんでした。

トレンドマイクロの脅威百科事典には、F47V0716については何も表示されません。

VirtusTotalから他の詳細を確認することもできます。

このファイルの[動作]タブ は、一時ファイルを作成し、ファイル名が.tmpで終わるファイルでコードを実行(別名、プログラムを開始)することを示しています(「作成されたプロセス」セクションを参照)。バンドルされたinnocallback.dllを使用します

innocallback.dllは、インストーラーを作成するプログラムであるInnoSetupの使用法を提案しています。これは、 この検索の[詳細]タブ に移動し、「Inno Setupインストーラー」の76.6%の関与を確認することによっても強化されます。 dDetailsタブには、「このインストールはInnoSetupでビルドされました」というコメントが表示されます。

それで、上記のすべてに基づいて、私はこのソフトウェアが私の「安全」の基準からするとおそらく「安全」であるように思われるという最終的な結論に達しませんでした(それ以来私は考えを変えました)。一部のウイルス対策ソフトウェアは、これが「アドウェア」のように見えるかもしれませんが、広告が表示されることになっても特に心配はありません。インストーラーはファイルを残したり、DLLファイルや管理者権限を必要とするその他のアクションを登録したりする傾向があるため、インストーラーの実行時に懸念されるソフトウェアがいくつかある可能性があります。

しかし、私は探し続けた後、このプログラムを信頼しなくなった理由を説明するいくつかの詳細に気づきました。これらの詳細はすべて この検索の[詳細]タブ で見つかりました。私が最も興味深いと思った詳細を与えることから始めます:

  • ファイルサイズ3.92MB
  • 作成時間2012-10-0205:04:04
  • 野生で最初に見られた2010-11-2023:29:33
  • パッカー:F-PROT INNO、追加
  • Copyright FitGirl
  • 説明ウルフェンシュタインIIセットアップ
  • 含まれるリソース:9ニュートラル、5中国語簡体字、3米国英語

さて、これが私がこれに問題のある側面を見ている理由です。

  1. まず第一に、なぜプログラムは2010年に見られたのに、2012年の作成時間を報告したのですか?

  2. 説明がない限り、中国の要素がいくつかあるように見えるという事実は疑わしいようです。このソフトウェアが中国を含むある種の国際商取引に関連しているのであれば、それは理にかなっているかもしれません。これがインターネットからダウンロードしたばかりのプログラムだったとしたら、私はもっと慎重になるでしょう。私は世界中の人々に公平にチャンスを与えたいと思うほどオープンマインドであり、個人的には中国でのビジネスを好むので、彼らとの友好関係を維持するための説得力のある理由があります。私が使用するものはたくさん製造されたものです。中国で。しかし、それにもかかわらず、中国のインターネットへの関与を見ると、多くの場合、それはある種のサイバー攻撃、詐欺、またはその他の非常に望ましくないものに関連していることがわかりました。

  3. おそらく最も非難するのは、それ自体が「ウルフェンシュタインIIセットアップ」であることを示していることです。さて、ウルフェンシュタイン城が売却された当時、私はたまたまゲーマーでした。 1984年にリリースされた続編、Beyond Castle Wolfensteinは、約52 KB〜55KBでダウンロードできるようです。その場合、なぜこのファイルは4,000 KBに近いのですか?または、おそらくこれは、約36,000KBのWolfenstein城への帰還を意味していました。または、これは2017年にリリースされた新しいWolfenstein II:The New Colossusであり、27,000,000 KBの空き容量が必要です( NintendoLife:Wolfenstein 2 )。これらのいずれの場合も、エミュレーターまたはダウンローダーが含まれていない限り、3.92MBのファイルサイズはあまり意味がありません。そのような場合は、便利なファイルを直接ダウンロードするだけで、はるかに快適になります。

また、このインストーラーがMUSEソフトウェア、「id Software」、Bethesda、またはActivisionではなく「FitGirl」によって配布されるのはなぜですか?これは、元のWolfensteinソフトウェアに関与しているソフトウェアディストリビューターや、Wolfensteinの名前に関与している現在の主要なソフトウェア会社のようには聞こえません。

最良のシナリオでは、著作権を侵害しているファイルを見ている可能性が高いようです。特に、このファイルがビジネスでの使用を目的としている場合、それは深刻なノーノーと広く見なされています(エンターテインメントソフトウェアが多くのビジネスに不適切であると見なされる可能性があるという考えを無視しても)。これが最良のシナリオです。最良のシナリオを扱っていない場合は、誤解を招くようなことをしている誰かを扱っている可能性があります。いずれにせよ、これが良い/安全/推奨されているように思われる可能性は低いと思います。

さて、さまざまなことを報告するさまざまなウイルスソフトウェアについてのあなたの質問に答えるために、これは単に知られています。マルウェアの検出中に行われることの多くは、以前に特定された既知の問題、またはソフトウェアの動作に基づく最良の推測に基づいています。

ウイルス対策ソフトウェアは死んでいる、Symantecのセキュリティ専門家は言う ...「ノートン開発者の情報責任者は、ソフトウェアは一般に攻撃の55%を見逃していると言っている」

Wired.com:Mikko Hypponen(of F-Secure):私のようなアンチウイルス会社がFlameとStuxnetをキャッチできなかった理由 言及

「これが意味するのは、私たち全員がこのマルウェアの検出を2年以上見逃していたということです。これは、当社にとって、そして一般的なウイルス対策業界にとって、目覚ましい失敗です。」

「これが起こったのも初めてではありませんでした。 Stuxnetは、野生で解き放たれてから1年以上検出されず、ベラルーシのウイルス対策会社がイランのマシンを調べるために呼び出された後に初めて発見されました。」

「この話はFlameで終わらない。まだ検出されていない他の同様の攻撃がすでに進行中である可能性が高いです。簡単に言えば、これらのような攻撃は機能します。」

「炎はウイルス対策業界にとって失敗でした。私たちは本当にもっとうまくやれるはずでした。しかし、私たちはしませんでした。私たちは自分たちのゲームで、リーグから外れていました。」

したがって、これらのソフトウェア製品は安心を提供しようとしますが、現実には絶対確実ではないことを理解してください。

2
TOOGAM