おそらくまとめていらっしゃる方はたくさんいらっしゃると思いますが、DIY精神でメモメモ。
- Comodo (Comodo)
- Emsi Software GmbH (a-squared)
- Kaspersky Lab (AVP)
ドイツ語やらロシア語やら交じりのメイルが返ってきて、ファンタジーな感じです。
おそらくまとめていらっしゃる方はたくさんいらっしゃると思いますが、DIY精神でメモメモ。
ドイツ語やらロシア語やら交じりのメイルが返ってきて、ファンタジーな感じです。
2010/01/10日曜日のKasperskyさんの完全スキャンが実験機のC:\WINDOWS\System32\unbel32.dll(sha1:53ab09116a18b8387cf8574739ae8cf93fdd1d5a, md5:32ed3e6eb5df06067596c80a3f316eed, size:52224)をTrojan.Win32.Agent.dffbと判定したので、false alarmでしょうが念のためquarantineしておきました。Belonを扱うことがないので放置で良いといえば良いのですが…2日たっても隔離から復元できずにtrojan扱いなので、さすがに既に報告してくれた人もいらっしゃるでしょうが他人任せではいかんよと思い直してKaspersky Labに報告。夜に返事が来ていて確かに誤検出で次のアップデートで直るとのこと。遅くとも2010/1/13 8:36(+0900 JST)のリリースまででの修正を確認。すばやい対応ですね。以降最新のKasperskyの定義データベースでも検出された場合は本当にtrojanかもしれませんよ。これとは関係ないですがKasperskyさんのvulnerability検出はとても便利で役に立ってます。いやまじで。
注意: unbel32.dllの安全性を保証するものでは有りません。またファイル名だけで誤検知を判断するのはとても危険なので(当たり前ですが)ハッシュとサイズの両方での確認が必須です。
2010/1/13 17:48追記 念のためKasperskyさん以外にも一応連絡。Comodoさんは「false alarmでは『ない』」とのこと。
2010/1/14 9:31追記 Comodoさん、結局検知しなくなりましたね…ヒューリスティクスとしては検出して正解だ、という意味に受け取るべきなのかもしれませんが、うーむ。製品ユーザではないからでしょうか、返事の返事はいただけませんでした。
Kasperskyさんのお返事はこんな感じ。
1 2 3 4 5 6 7 8 |
Hello, Sorry, it was a false detection. It will be fixed in the next update. Thank you for your help. ------------------------------------------- Best wishes, ***** ******. Virus analyst , Kaspersky Lab. |
2010/1/15 7:00追記 2010/1/15 6:51(+0900 JST)現在、VirusTotalで検出されなくなりました。VBA32は遅くとも3.12.12.1/20100114までに対応してくれたようです。使っていないので詳細は知りませんが、3.12.12.1は定義ではなくてエンジンのバージョンでしょうか。
2010/1/14 9:31追記 VirusTotalさんに伺った2010/1/14 7:05(+0900 JST)現在での検出状況。ほぼ消えました。VirusBlockAdaさんからも調べてから近いうちにアップデートするね、とお返事来てるので3.12.12.1でなくなったら消えるでしょうか。
1 2 3 4 5 6 7 8 9 |
[ file data ] * name..: unbel32.dll * size..: 52224 * md5...: 32ed3e6eb5df06067596c80a3f316eed * sha1..: 53ab09116a18b8387cf8574739ae8cf93fdd1d5a * peid..: - [ scan result ] VBA32 3.12.12.1/20100113 found [Trojan.Win32.Agent.dffb] |
というわけでVirusTotalさんに伺った2010/1/13 10:55(+0900 JST)現在の検出状況。過去の誤検出を悪用してその名前をmalwareに使うような悪い人もいるでしょうから、ファイル名だけで誤検出を確認するのはとても危険です。あたりまえながら。ハッシュをサイズとともに有効活用してください。
1 2 3 4 5 6 7 8 9 10 11 12 |
[ file data ] * name..: unbel32.dll * size..: 52224 * md5...: 32ed3e6eb5df06067596c80a3f316eed * sha1..: 53ab09116a18b8387cf8574739ae8cf93fdd1d5a * peid..: - [ scan result ] a-squared 4.5.0.48/20100113 found [Trojan.Win32.Agent!IK] Comodo 3562/20100113 found [Heur.Packed.Unknown] Ikarus T3.1.1.80.0/20100112 found [Trojan.Win32.Agent] VBA32 3.12.12.1/20100112 found [Trojan.Win32.Agent.dffb] |
PivotXのマニュアルやヘルプによるとアンダースコアが使えるはずなのですが、Administration → Usersから登録しようとすると、入力時にアンダースコアが”-“(ハイフン)に自動的に置換されてしまいます。
pivotx/includes/js/pivotx.jsのsetSafename()を修正すれば良いのですが、サーバー側のコードのバリデーションが足りないことにも気付きました。JavaScriptの修正と合わせて、2009/5/19のpivotx-latest.tgzとsvnリリース2278用にパッチを作って報告してみました。