NOD32がまたアンインストーラーを誤検出?
今回は翻訳ソフト Lingoes 2.5.3 のアンインストーラーに反応
- きっかけはレジストリ・クリーナーで「(Lingoesの)アンインストーラー(unins000.exe)がない」と言ってきたところからだった
- 実際に Lingoes のインストール先を見てみると、確かに unins000.exe がない。なら仕方がないか...と矛盾するレジストリを消してしまった
- 後に unins000.exe を勝手に消した犯人はNOD32と判明...orz
ログファイルを見ると
| 日次 | 2009/01/02 |
|---|---|
| 検査 | リアルタイムファイルシステム保護 |
| ファイル名 | (途中省略)\unins000.exe |
| 脅威 | Win32/TrojanDownloader.Agentの亜種である可能性 トロイの木馬 |
| アクション | 削除によって駆除されました - 隔離しました |
| 情報 | アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: (途中省略)\Robocopy.exe. |
勝手に隔離されてしまったので、レジストリ・クリーナーが矛盾を見つけたということらしい。試しに再度上書きインストールを試みる
今度はインストール中のテンポラリーファイルをウィルス判定
- インストールが途中で止まってしまった...
- 12/31 のインストール時は問題なかったのだが...
| 日次 | 2009/01/02 |
|---|---|
| 検査 | リアルタイムファイルシステム保護 |
| ファイル名 | (途中省略)\is-R3T3B.tmp |
| 脅威 | Win32/TrojanDownloader.Agentの亜種である可能性 トロイの木馬 |
| アクション | 削除によって駆除されました - 隔離しました |
| 情報 | アプリケーションによって新規作成されたファイルでイベントが発生しました: (途中省略)\Temp\is-LGIF8.tmp\lingoes_2.5.3.tmp. |
インストール直後
- アンチウィルスを切ってインストールを続行し、インストール後にアンチウィルスを有効にすると...やっぱりすぐ削除された...orz
| 日次 | 2009/01/02 |
|---|---|
| 検査 | リアルタイムファイルシステム保護 |
| ファイル名 | (途中省略)\unins000.exe |
| 脅威 | Win32/TrojanDownloader.Agentの亜種である可能性 トロイの木馬 |
| アクション | 削除によって駆除されました - 隔離しました |
| 情報 | アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: (途中省略)\opera.exe. |
問題の unins000.exe を調べてみる
| ウィルス検査結果 |  http://www.virustotal.com/analisis/594fe77c4ca94e773e6c3dd589101815 NOD32 と Panda 以外は検出しない(Panda は何でも Suspicious と検出するので当てにはならない) |
|---|---|
| File size | 696164 bytes |
| MD5 | f6a54ccbf3311a99b0581d2c26f40097 |
ESET には unins000.exe を疑わしい検体として提供しましたが、以前同様に誤検出の可能性濃厚です
参考までに現在の NOD32 環境
| ESET NOD32 Antivirus のバージョン | 3.0.657.0 |
|---|---|
| ウィルス定義ファイル | 3731〜3745 で誤検出 |
| 検出設定 | デフォルト設定ではなく、検出力最大にして使っています |
今はアンチウィルスの更新時期
これから一年お世話になるアンチウィルスソフトを決めるこの時期、不具合は痛い
日本の発売元、キヤノンシステムソリューションズ さんからアクセスあり
解決は近いかもしれません 2009-01-07 17:30 JST 追加
解決
ウィルス定義 3746 で誤検出されなくなりました 2009-01-07 20:00 JST 追加
年末年始を挟んでいるためだろう。unins000.exe を ESET に任意提供し、ほぼ同時にここに書き込んだ後、3営業日目に解決
気がついてからの対応はなかなか速いようです