digital 千里眼 @abp_jp

アナログな日常とデジタルの接点

NOD32がまたアンインストーラーを誤検出?

今回は翻訳ソフト Lingoes 2.5.3アンインストーラーに反応

  • きっかけはレジストリ・クリーナーで「(Lingoesの)アンインストーラー(unins000.exe)がない」と言ってきたところからだった
  • 実際に Lingoes のインストール先を見てみると、確かに unins000.exe がない。なら仕方がないか...と矛盾するレジストリを消してしまった
  • 後に unins000.exe を勝手に消した犯人はNOD32と判明...orz

ログファイルを見ると

日次 2009/01/02
検査 リアルタイムファイルシステム保護
ファイル名 (途中省略)\unins000.exe
脅威 Win32/TrojanDownloader.Agentの亜種である可能性 トロイの木馬
アクション 削除によって駆除されました - 隔離しました
情報 アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: (途中省略)\Robocopy.exe.

勝手に隔離されてしまったので、レジストリ・クリーナーが矛盾を見つけたということらしい。試しに再度上書きインストールを試みる

12/31 16:30 JST 時点では問題なかったインストーラーを再度ウィルスチェック


今度はインストール中のテンポラリーファイルをウィルス判定

  • インストールが途中で止まってしまった...
  • 12/31 のインストール時は問題なかったのだが...
日次 2009/01/02
検査 リアルタイムファイルシステム保護
ファイル名 (途中省略)\is-R3T3B.tmp
脅威 Win32/TrojanDownloader.Agentの亜種である可能性 トロイの木馬
アクション 削除によって駆除されました - 隔離しました
情報 アプリケーションによって新規作成されたファイルでイベントが発生しました: (途中省略)\Temp\is-LGIF8.tmp\lingoes_2.5.3.tmp.

インストール直後

  • アンチウィルスを切ってインストールを続行し、インストール後にアンチウィルスを有効にすると...やっぱりすぐ削除された...orz
日次 2009/01/02
検査 リアルタイムファイルシステム保護
ファイル名 (途中省略)\unins000.exe
脅威 Win32/TrojanDownloader.Agentの亜種である可能性 トロイの木馬
アクション 削除によって駆除されました - 隔離しました
情報 アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: (途中省略)\opera.exe.

問題の unins000.exe を調べてみる

ウィルス検査結果
http://www.virustotal.com/analisis/594fe77c4ca94e773e6c3dd589101815
NOD32 と Panda 以外は検出しない(Panda は何でも Suspicious と検出するので当てにはならない)
File size 696164 bytes
MD5 f6a54ccbf3311a99b0581d2c26f40097

ESET には unins000.exe を疑わしい検体として提供しましたが、以前同様に誤検出の可能性濃厚です

参考までに現在の NOD32 環境

ESET NOD32 Antivirus のバージョン 3.0.657.0
ウィルス定義ファイル 3731〜3745 で誤検出
検出設定 デフォルト設定ではなく、検出力最大にして使っています

今はアンチウィルスの更新時期

これから一年お世話になるアンチウィルスソフトを決めるこの時期、不具合は痛い

日本の発売元、キヤノンシステムソリューションズ さんからアクセスあり

解決は近いかもしれません 2009-01-07 17:30 JST 追加

解決

ウィルス定義 3746 で誤検出されなくなりました 2009-01-07 20:00 JST 追加
年末年始を挟んでいるためだろう。unins000.exe を ESET に任意提供し、ほぼ同時にここに書き込んだ後、3営業日目に解決
気がついてからの対応はなかなか速いようです