パスワードを忘れた? アカウント作成
21594 story
Ruby

トロイの木馬と誤認され続けるexerb 89

ストーリー by nabeshin
何か露出するきっかけを 部門より

Cat Scan 曰く、

とてもいまさら感あふれる話題ですが、RubyスクリプトをWindows実行形式に変換するexerbが、各種のセキュリティソフトウェアでトロイの木馬だと見なされ、驚くべきことにその状態が“2年以上”続いています。どうやらexerbを使用して作成されたトロイの木馬があるために、exerbもトロイの木馬だと誤認されているようです。ちなみに、Googleで「exerb トロイの木馬」を検索しても、ニュースサイト等での記事は見つかりませんでした。

いったいどうしてこのような事態が継続しているのでしょうか? みなさまのご意見をお聞かせください。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2008年03月21日 19時21分 (#1317236)
    そのまま採用されてるorz。

    とりあえず、この部分のソース(りんく)を出して欲しかった。
    1. 「RubyスクリプトをWindows実行形式に変換するexerb」:ソフト配布場所のリンクくらい貼れたはず。
    2. 「(同上)」:その変換機能“だけ”だという証拠を示すもの。トロイの木馬の機能を持っていないと証明できるもの。
    3. 「セキュリティソフトウェアでトロイの木馬だと見なされ」:俺らどうやってそれ確認するの?「セキュリティソフトウェアで『トロイの木馬』とみなされる」ことを確認するには、そのソフトをインストール・セキュリティソフトでスキャンするという、(インストール→スキャンまでにトロイ完了wなどの)危険(かもしれない)を犯さないと確認できないのに。各セキュリティソフトのウィルス情報のページがあればそこにリンクすればいいのに。
    4. 「驚くべきことにその状態が“2年以上”続いています。」:確認不可能。「2年前から」ってどうやって確認する?タイムマシンでも乗るか?archive.org上とかの“誤認”ウィルス情報があれば納得する。
    5. 「exerbを使用して作成されたトロイの木馬があるために」:そのトロイの木馬を明示すべき。


    スラドにタレこむとき、ニュースサイト漁って1次情報、2次情報見つけたいけど、
    ないときはスラドタレコミが1次情報にならざるを得ない状況はわかるけど、
    それを確認する手段をもたないタレコミはどう信頼すれば?
    • 面白そうだけれども、ソースが足らなくて味のしないタレコミを見つけた時には、勝手にソースをかけてあげるとみんなに喜ばれて、なんとなく嬉しい気持ちになれる

      たとえば、今回のこれ…

      exerbってのは、Exerb [osdn.jp] が正式名称じゃないかな?
      現在はメンテナンスされてるのかわからない(作者のページがドメイン切れ?)けど

      タレコミの検索先から、メーリングリストのログ [nagaokaut.ac.jp]を発見。
      最初の出来事は、2005年の12月っぽい。

      上記のログだと、ノートンの検出名は「TR/Kakkey.A」とのこと。
      と言うことは、Trojan.Kakkeys [symantec.com](注:Kakkey はいくつか亜種有り)これかな?
      情報を読むと…これっていわゆる「山田ウイルス」かその亜種かな?

      >Daily Certified 初回バージョン 2005 年 6 月 11 日
      って書いてあるから、上記のログ以前から引っ掛かっていたのか、そこいらはわからない。

      ちょっとぐぐって書き殴ってみた
      親コメント
      • by Anonymous Coward on 2008年03月22日 9時20分 (#1317446)
        ソースが無いから信頼できない。はい終了っていうのではなくて、
        それを後からでもフォローできるって、幸せなことだね。

        タレコミ人や編集者がいつでもどこでもタフにやれるっていう訳でもないし、記事のクオリティ云々は/.Jに限った話じゃないし。
        親コメント
    • 元タレコミ人です。
      まったくもって言い訳のしようもなく、仰るとおり情報不足なタレコミでした。
      本当に申し訳ありません。次からは気をつけます。

      自分が把握していた事はみなさんが全部書いてくださいました。ありがとうございます。
      Googleで検索したらこのスレッドがひっかかるようになって、自分と同じパターンで悩む人の道しるべにはなったみたいです。ありがとうございます。
      親コメント
    • by Anonymous Coward
      谷口ウイルスっていうのがRubyで作られているウイルスだそうですね。
      ググればすぐにわかる [google.co.jp]ことだけど。
    • by Anonymous Coward

      そのまま採用されてるorz。
      それがnabeshinクオリティ!
  • とろいから。
  • by CupOfTea (32701) on 2008年03月21日 20時58分 (#1317271) 日記
    Symantecのウィルス対策ソフトが今日突然これをウィルス認定ですよ。

    で、会社でこのソフトを入れてた俺はまさに涙目。
    すぐにこれのことだとわかったものの、会社のセキュリティポリシーに基づいて上長に報告ですよ。

    で、一大事。
    ほんとに何とかならんもんだろうか……。
    一応誤検知だと思うとは言ってある物の、もしかしたら始末書を書くことになるかもしれない。
    • by Anonymous Coward on 2008年03月21日 22時39分 (#1317311)
      UPXで圧縮したソフトなんかもしょっちゅう誤検知しますね。たいてい翌日は正常に戻りますが。
      仕方ないのでオンラインソフトを使うときはまずアンパックしています。

      誤検知・マルウェア以外で検出するパターンもあります。
      BlueScreen Screen Saver [microsoft.com]を使っていて、3年前のある日を境に悪意のあるソフトとして検出されるようになりました。そしてアラートが飛んでおれ涙目。
      どうも悪用しやすいジョークソフトってことで検出対象になったようですが。

      ま、始末書頑張ってください。
      最新のパターンで検出されなければ、誤検知を強く主張できると思いますよ。
      親コメント
    • Ruby使いながら初めてこのツールを知ったわけですが、
      なるほど・・・。
      これは人ごとではないですね。

      これら以外でも自分が使っているツールがいつウィルス
      扱いにされるかわからないってことですもんね。
      でもうちの会社で使ったらどうなるか試してみたい
      気もします・・・。

      あー、でも私のせいでフリーウェアの使用禁止令
      など出たらイヤだからやっぱりやめておこう。
      親コメント
    • by Anonymous Coward
      「ちゃんと許可とって」入れてたんなら、誤認だって報告で終わりでしょ。
      「勝手に」入れてたんなら始末書でも仕方がないね。
      • by Anonymous Coward
        許可とってインストールしていたのに始末書は確かに腑に落ちないけど、「ちゃんと許可して入れた奴の中に害を成す機能が入っている」というのがトロイの木馬なので、セキュリティーポリシーに基づいて報告→大騒ぎは仕方がない気がする。

        # その責任が誤認したセキュリティソフト会社にあるのかどうかは、ソフトウェアの約款読まないと分からないけど
        # 誤認を恐れて警告を出しませんでした、も問題だと思うし。
        • by Anonymous Coward on 2008年03月22日 11時22分 (#1317480)

          昔々、職場で、『独習C』の最初のほうに出てくる、標準入出力ぐらいしか使っていないような20行ほどのサンプルコードを、そっくりそのまま入力してVC6でコンパイルしたら、Norton AntiVirusがウィルス扱いしてくれたことがあります。当時、ウィルススキャンソフトを入れるという規則がなく、自分で勝手に持ち込んでインストールしていたNorton AntiVirusだったので、どこかからおとがめを受けたりはしませんでしたが、もし、今のご時世だったらどうなってたんだろうかと。

          # ウィルスを自作したって容疑をかけられるのか?

          親コメント
    • by Anonymous Coward
      上司にあげる前にネットワーク担当者に連絡、
      Symantecに確認してもらい、OKだよねって事にする。
      ネットワーク担当と合意が取れていれば、あとで
      何とでもなる。
      • by Anonymous Coward on 2008年03月22日 20時52分 (#1317580)
        スパイウェア検出で、セキュリティ診断業務で使うセキュリティツールがことごとく検出されてしまう。
        アンチウイルスソフト(赤いやつ)が実行自体をブロックするので、始末書を免れたとしても依然として実行できない状況は続く。

        情報システム部の見解としては、この種のツールを使う部門はイントラネット以外に回線を引いてそっちのPCで使え、ということらしい。
        親コメント
  • wget.exe (スコア:3, 興味深い)

    by Anonymous Coward on 2008年03月22日 1時42分 (#1317378)
    を危険なプログラム認定するセキュリティソフトも勘弁してほしい。
    • by Elbereth (17793) on 2008年03月22日 9時17分 (#1317445)
      具体例プリーズ
      親コメント
      • Re:wget.exe (スコア:2, 参考になる)

        by Anonymous Coward on 2008年03月22日 13時08分 (#1317500)
        具体的なソフト名は失念しましたが、確かSOURCENEXTが販売しているソフト。
        タスクトレイに傘のアイコンが表示されていましたね。

        調べてみたら「ウィルスセキュリティ(ゼロ)」っぽいので
        ウィルスセキュリティゼロとwget.exeで検索してみたら
        同様の事例が報告されていました。
        親コメント
  • by Metaphor (11341) on 2008年03月21日 20時22分 (#1317257) 日記
    最新版のexerb [osdn.jp]を入手して、binディレクトリ以下のファイルをVirusTotal [virustotal.com]にかけてみました。
    で、結果はこんな感じ。 どこもヒットしてないようだが、bin以下のファイル以外なのだろうか。
    • by Metaphor (11341) on 2008年03月21日 20時37分 (#1317262) 日記
      別のコメで指摘されてたメーリングリストのログから、ファイル名が判明したので追加。
      こっちは確かに数社が検知している模様。
      親コメント
      • by znz (2728) on 2008年03月21日 20時50分 (#1317268) 日記
        他の3つのコアもチェックしてみると「Prevx1」の「Heuristic: Suspicious Self Modifying File」という結果だけ同じようです。
        親コメント
      • Windows Live OneCare だと
        exerb-4.2.0.zip に入っているruby186g.exc を
        ウィルスだという判定はしなかったです。

        判定ロジックが他社は甘いのかな。

        --
        kazu2
        親コメント
        • by Ogo (25289) on 2008年03月22日 3時49分 (#1317410)
          Windows Live OneCare について、たとえば以下の文章を読んだことのある人ならば、

          >判定ロジックが他社は甘いのかな。

          上のような洞察はしないでしょうね。

          - - -

          http://www.itmedia.co.jp/enterprise/articles/0702/07/news028.html [itmedia.co.jp]

          >AV-Comparatives.orgでは検証結果を踏まえて各製品をSTANDARD、ADVANCED、ADVANCED+の3段階で
          >ランク付けしているが、OneCareはランク外となり、認定が付与されなかった。その理由について
          >報告書では「(OneCareは)テストの成績が非常に低く、参加のための最低要件に到達しなかった。
          >このため今後のテストに含めるかどうかを再検討する必要がある」と記している。
          親コメント
          • これはひどいFUDですね (スコア:2, すばらしい洞察)

            by Anonymous Coward on 2008年03月22日 6時38分 (#1317418)
            で、その後改善されたことには一切触れないわけですか。
            http://www.itmedia.co.jp/enterprise/articles/0706/02/news013.html [itmedia.co.jp]
            まあQuickTimeもRealPlayerも最初の悪い印象だけで永遠に文句言われ続けてますし、Mozillaも立ち直るためにFirefoxという外見と名前の異なる製品を立ち上げる必要があったりしましたから、とにかく第一印象が(少なくとも日本では)大事だとつくづく思いますね。
            親コメント
          • by kazu2 (6138) on 2008年03月22日 10時32分 (#1317465) 日記
            読んだこと無かったよ。どうもありがとう。

            >>判定ロジックが他社は甘いのかな。
            >
            >上のような洞察はしないでしょうね。

            言葉が少なくて申し訳ないです。

            なんでも検出できるものが良いという尺度なら、他社は甘くないという
            ことになるのでしょうが、今回の話題では
            検出率が高い=誤検出が多い では困るという尺度が話題になっていると
            理解しました。

            だから、そういう意味で、判定ロジックが甘いものがあるのだろうと。

            別コメントで触れられている
            http://www.virustotal.com/jp/analisis/da6c8f2eebebacdb39f5cdfd11900848 [virustotal.com]
            によると、ruby186g.exc を検出する/しないアンチウィルスソフトを
            挙げているわけですが

            もともとの
            「各種のセキュリティソフトウェアでトロイの木馬だと見なされ、驚くべきことにその状態が“2年以上”続いています。」のこれは事実なのかな?

            上記の VIRUS TOTALのサイトでは、SymantecやMcAfee など主要な
            アンチウィルスソフトでは ruby186g.exc単体は、検出しないようです。

            別コメントで挙げられている exerbで作られた「谷口ウィルス」に対する検出結果を見たいですね。
            --
            kazu2
            親コメント
            • by Cat Scan (31113) on 2008年03月23日 19時32分 (#1317719) 日記
              試してみたところ、タレコミした時点ではNorton Internet Security 2007に警告されて消されていたファイル(ruby186g.exc)が、消されなくなりました!

              #1317256 [srad.jp]にあるメーリングリストのログ [nagaokaut.ac.jp]の日付が正しいとすれば、2年と3ヶ月後に対策された、ということになるのでしょうか。
              親コメント
    • そいつらで作ったファイルが、という話ではなくて?
      --
      旅に出ます.(バグを)探さないで下さい.
      親コメント
  • by Anonymous Coward on 2008年03月21日 21時17分 (#1317286)
    過去の例だとLhaplusの誤検出 [impress.co.jp]では作者自ら使用しているコンパイラのどの関数を使うと誤検出するかを調査した上で情報を流していたけど、exerb でこのレベルか最低でも「○○で誤検出する」というレベルの情報をウイルス対策ソフトのベンダーに誰か流しているの???
    • by Anonymous Coward
      僕も昔あるフリーソフトを公開していたのですが
      ウイルスと誤認識されてしまい
      そのセキュリティソフトの開発元にメールで連絡したら
      翌日には解除されたことがあったが・・・

      誰も報告しないから2年?としか思えませんよね
      • by Anonymous Coward on 2008年03月22日 12時18分 (#1317488)

        昔、 bsfilter のパッケージが avast! にトロイの木馬入りだと怒られたときに、 ALWIL Software には報告済みです。

        技術的な内容を説明できるだけの知識はないので、メーリングリストのログへのポインタを示した上で、つたない英文とともに検体提出をしました。 内容がきちんと伝わったかどうかは定かではありませんが、ひとまず、次にリリースされたウイルス定義ファイルで誤検出されなくなり、 bsfilter のパッケージに限って言えば、それ以降、誤検出されたことはありません。

        ただ、当時、わたしは exerb を持っていませんでしたので、 exerb そのものについて、誤検出されるかどうかについては確認しませんでしたし、報告もしませんでした。

        もしかすると、このケースのように、

        • 「exerb により生成された個々の実行ファイル」については、それなりの数の報告がある(その度に対応され、トロイの木馬判定が外れる)けれども、
        • 「exerb により生成された個々の実行ファイル」を使用するユーザからは、「exerb」そのものについての報告は上がってこない(対応されないままトロイの木馬判定が続いている)

        というケースが多いのかもしれません。

        親コメント
  • by pal_gene (31415) on 2008年03月21日 22時54分 (#1317319)
    一部のプロプライエタリソフトウェア産業にとって忌み嫌われる、
    (L)GPLライセンスというトロイの木馬を検出しました。

    # オープンソースなんだから、ソースコードを検査できる分こういうのには無縁じゃない?
    # かといって、バイナリ配布されているものはそのまま信用できませんが。
  • by Anonymous Coward on 2008年03月21日 21時07分 (#1317278)
    ファイルの先頭2バイトが "MZ" なら全部ウイルス、みたいなもん?
    あるいは拡張子 ".exe" は怪しいぞ、みたいな。
typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...