誤検知: cmdproxy.exe Trojan.Win32.Siscos.ipv

新しい機械をセットアップするといろいろ起きて楽しいです。WindowsでもGNU Emacsでちゃちゃちゃっと便利に済ませたいときがよくあるのでNTEmacs 23.3をぶち込んだところ、Vulnerability Scanが便利なKasperskyさんが表題の警告を表示。variant部分が3文字です。Trojan.Win32.Siscos.ipvは最近追加された亜種、詳細説明無し。Trojan.Win32.SiscosのNumber of resultsは6453だそうで。データを盗むということのようですがdetached署名でも確認してあり VirusTotalで2/43、しかも片方はsuspiciousなので誤検知ということで良さそうです。(最近出たemacs-23.4-bin-i386.zipの方は署名に使われているkey ID 0x597F9E69(0x587DE7C6597F9E69)な公開鍵がGNUの公開鍵一覧にもメジャーなキーサーバにも存在していないのでFSFに鍵無いと連絡だけしてとりあえず放置してありますが、こちらのcmdproxy.exeはどうだったんでしょうね)

シェルを呼び出してまでWindowsでEmacsを使うこともないのでさくっとquarantineしてくれちゃって良いのですが、一応困る人がいるかもしれないのでunbel32以来久々のfalse detectionの報告をしたところ、「ごめん、誤検知。次で直すね。ありがとー!(超訳)」とのお返事。

検体送付先/誤検知連絡先メモ

おそらくまとめていらっしゃる方はたくさんいらっしゃると思いますが、DIY精神でメモメモ。

ドイツ語やらロシア語やら交じりのメイルが返ってきて、ファンタジーな感じです。

unbel32とKaspersky

2010/01/10日曜日のKasperskyさんの完全スキャンが実験機のC:\WINDOWS\System32\unbel32.dll(sha1:53ab09116a18b8387cf8574739ae8cf93fdd1d5a, md5:32ed3e6eb5df06067596c80a3f316eed, size:52224)をTrojan.Win32.Agent.dffbと判定したので、false alarmでしょうが念のためquarantineしておきました。Belonを扱うことがないので放置で良いといえば良いのですが…2日たっても隔離から復元できずにtrojan扱いなので、さすがに既に報告してくれた人もいらっしゃるでしょうが他人任せではいかんよと思い直してKaspersky Labに報告。夜に返事が来ていて確かに誤検出で次のアップデートで直るとのこと。遅くとも2010/1/13 8:36(+0900 JST)のリリースまででの修正を確認。すばやい対応ですね。以降最新のKasperskyの定義データベースでも検出された場合は本当にtrojanかもしれませんよ。これとは関係ないですがKasperskyさんのvulnerability検出はとても便利で役に立ってます。いやまじで。

注意: unbel32.dllの安全性を保証するものでは有りません。またファイル名だけで誤検知を判断するのはとても危険なので(当たり前ですが)ハッシュとサイズの両方での確認が必須です。

2010/1/13 17:48追記 念のためKasperskyさん以外にも一応連絡。Comodoさんは「false alarmでは『ない』」とのこと。

2010/1/14 9:31追記 Comodoさん、結局検知しなくなりましたね…ヒューリスティクスとしては検出して正解だ、という意味に受け取るべきなのかもしれませんが、うーむ。製品ユーザではないからでしょうか、返事の返事はいただけませんでした。

Kasperskyさんのお返事はこんな感じ。

2010/1/15 7:00追記 2010/1/15 6:51(+0900 JST)現在、VirusTotalで検出されなくなりました。VBA32は遅くとも3.12.12.1/20100114までに対応してくれたようです。使っていないので詳細は知りませんが、3.12.12.1は定義ではなくてエンジンのバージョンでしょうか。

2010/1/14 9:31追記 VirusTotalさんに伺った2010/1/14 7:05(+0900 JST)現在での検出状況。ほぼ消えました。VirusBlockAdaさんからも調べてから近いうちにアップデートするね、とお返事来てるので3.12.12.1でなくなったら消えるでしょうか。

というわけでVirusTotalさんに伺った2010/1/13 10:55(+0900 JST)現在の検出状況。過去の誤検出を悪用してその名前をmalwareに使うような悪い人もいるでしょうから、ファイル名だけで誤検出を確認するのはとても危険です。あたりまえながら。ハッシュをサイズとともに有効活用してください。