忍者ブログ

セキュリティ対策ソフトに検出される件について

開発環境自体については現時点ではセキュリティ問題は発生していないため、意図せずにウイルスが混入したという事はありません。また、こちらが意図的にウイルスを作成する事はありえないので、誤検出だと思います。

BlueskyFRC Version 2.5.3については、12日にカスペルスキーに検出されるとの報告をいただいたため(現時点ではWindows Defenderでも検出される状態です)、その時点でファイルを差し替えて様子をみていましたが、Windows Defenderについてはこの記事を書いている時点ではファイルをチェックしても問題ない様なので、再度ダウンロードしてみて下さい。(ただし、単に利用者が少ないだけで、ある程度数が増えた段階で再度検出される可能性もあります。)

01/15追記
BlueskyFRC Version 2.5.3の差し替え版もWindows Defenderで検出される様になりました。


一方、カスペルスキーについては、公開直後は問題なかったものの、現時点では差し替え前のファイルと同様に検出される様になっているので、今後につていもこの結果は変わらない可能性があります。

いずれにしても、検出される様になった場合は除外リストに登録して下さい。当然ながら、開発環境自体にセキュリティ問題があった場合は公式サイトおよび当ブログにて直ちにご報告します。


「誤検出」というのは作者による一方的な見解ですので、不安な場合はダウンロードしないで下さい。また、既にご利用中の場合は利用を中止してアンインストールして下さい。



以下、経緯など(内部的な話で利用する側からすればそんな事はどうでもいいという様な話なので読んでもあまり意味はないと思います)

実行ファイルを圧縮したものを起動時に動的にロードしている部分が大きく関わっており、もともとカスペルスキーには検出されていましたが、実行結果は変わらない(意味のない)コードを少し追加する事で、事前チェックでは検出されない様になっていた状態でした。

その後、Baiduに検出される様になり、今度はロード直前にMessageBoxをShowするコード(条件により実際には表示されない)を追加する事で検出されなくなるのでそうしていました。(本件とは関係ありませんが、Qihooはこのパターンで検出されなくなる事がある様です)

しかし、DXVA Checkerのバージョンアップに伴う事前チェックで再度カスペルスキーに検出される様になり、MessageBox.Showを追加するとカスペルスキーに、それを削除するとBaiduに、といった状態になり、とりあえずカスペルスキーのサイトから「誤検出の可能性」としてファイルを送って結果を待ってみましたが何の変化もなく(一応メールアドレスは登録したものの、そもそも結果について返信してくれるかどうかも不明)、数日後にそれとは無関係の公開済ソフト(ただし、動的ロード部分の処理はどれも共通)が軒並み検出される様になって今に至っています。

なお、BlueskyFRC Version 2.5.3の差し替え後のファイルはMessageBox.Showを削除したものになります。また、その後カスペルスキー対策で行っていた余計なコードの追加についてはそれを削除したうえでさらに変更を加えたところ、現時点では事前チェックでは検出されなくなったので、今後更新する際はこのパターンで行う予定です。

コメント

お名前
タイトル
文字色
メールアドレス
URL
コメント
パスワード Vodafone絵文字 i-mode絵文字 Ezweb絵文字

対応お疲れ様です

こればかりは予期せぬ反応が出ることは多々ありますから大変ですよね

Re:対応お疲れ様です

ですね。利用者側からすればvirustotalで赤文字で色々と表示されたら
不安になるのも当然の事で悩ましいところです。

  • Bluesky
  • 2017/01/15(Sun.)

対応ありがとうございます。

開発以外にも大変なことが多いことを改めて知りました。いつもありがとうございます。

Re:対応ありがとうございます。

普通とは違う事をやっているのが根本的な原因と思われるので、
自分で招いているみたいなものですが・・・

  • Bluesky
  • 2017/01/16(Mon.)

動的ロード部分の処理について

はじめまして。最近このツールのことを知って有難く利用させて頂こうと思った矢先に、Defenderで誤検出されるようになり、利用を保留している者です。^^;) ローカルにあったファイルはすべてDefenderに検疫されてしまったので、再ダウンロードしようとしたところ、今度はChromeにブロックされてしまいました。それで一つ質問があるのですが、

>実行ファイルを圧縮したものを起動時に動的にロードしている部分が大きく関わっており

この部分は、非圧縮ローダーにするとかできないのでしょうか?マルウェアはコードの解読を難しくするために、暗号化した本体を動的にロードすることがある様なので、そういうコードと類似しているとみなされ易くなるのかも知れません。
最終的には、誤検出は各セキュリティソフトベンダーの問題であり、それが原因で一般のプログラマーが、使用可能なプログラミング上のテクニックを制約されてはかなわないとは思いますが、上の説明を読んでいてちょっと気になったので質問させていただきました。

Re:動的ロード部分の処理について

> 今度はChromeにブロックされてしまいました。

BlueskyFRCの事ですか?
今確認してみましたが問題なくダウンロード出来ていますが、A's Video Converterのベータ版の方はAvastに警告される様になっていますね。

>この部分は、非圧縮ローダーにするとかできないのでしょうか?

圧縮か非圧縮かはあまり関係なく、動的ロード部分が問題だと思いますが、それをしない事ももちろん可能です。ただ、配布ファイルを自動で作成しているアプリ側の変更が必要になるのと、今確認したらA's Video Converter Betaでも警告が出たので、もしかしたらこれが原因かも?という箇所があったので、とりあえずはそれを変更して様子をみてみます。

  • Bluesky
  • 2017/01/16(Mon.)

無題

kasperskyですが、Bluesky Frame Rate Converter 2.5.5
で、キーロガーのウイルス判定されたので、誤検出のレポートの提出をしました。

2.5.3のときはkasperskyにスルーされたのですが、2.5.5で
誤検出を認めてくれました。

一応ご報告いたします。

Re:無題

お手数をお掛けして申し訳ありません。
私も17日にサンプルを提出していて同様の返事をいただいています。

  • Bluesky
  • 2017/01/19(Thu.)

Avriaでも検出するようになりました。

タイトル通りAvriaでも検出します。BlueskyFRC Version 2.5.4と2.5.5です。
除外指定して対応しました。

Re:Avriaでも検出するようになりました。

ご報告ありがとうございます。
恐らくWindows Defenderでも検出される様になる可能性が高いと思います。

  • Bluesky
  • 2017/01/19(Thu.)

無題

ノートン先生にトロイの木馬認定されてる…

Re:無題

ご報告ありがとうございます。

  • Bluesky
  • 2017/01/19(Thu.)

カレンダー

04 2017/05 06
S M T W T F S
1 2 3 4 5 6
7 8 9 10 11 12 13
15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31

ブログ内検索

忍者 P R

PR