2019年04月18日
セキュリティパッチを当てた IEXPRESS を使うとウイルスと誤検出される件について
IExpress のKB2533623 対応版 作ったよ ・ω・ v2
なんか少し前から IEXPRESS の 脆弱性対策をしたバイナリでインストーラーを作るとウイルスと誤検出されるようになったようです。
脆弱性ってのはこれ
JVN#72748502: IExpress で作成された自己解凍書庫における DLL 読み込みに関する脆弱性
パッチの内容は、特定のDLLを読まないように小細工をするように
次のような処理を行っている
なんか少し前から IEXPRESS の 脆弱性対策をしたバイナリでインストーラーを作るとウイルスと誤検出されるようになったようです。
脆弱性ってのはこれ
JVN#72748502: IExpress で作成された自己解凍書庫における DLL 読み込みに関する脆弱性
Avast/AVG
FileRepMalware Cybereason malicious.ddf147 Cylance Unsafe DrWeb Trojan.Packed.1726 Endgame malicious (high confidence) Palo Alto Networks generic.ml Qihoo-360 HEUR/QVM20.1.0A7B.Malware.Gen Trapmine malicious.high.ml.score |
次のような処理を行っている
・SetDefaultDllDirectories 関数をロードして、存在すれば実行
・VERSION.dll をsystem32 から先読み して、同じフォルダにある悪意がある 同名のファイルを読み込めないようにブロックする
ウイルスに感染しないようにパッチを当てたら、ウイルスとして誤検出されるのは、最高にロックなのだがなんとかならないのかこれは(((・ω・))))
特に、Trapmine とEndgame が「高い信頼性で悪意のあるソフトだー」とか言ってるのがおかしい
virustotal - wextract.exe
解凍モジュールだけで検出させるとこんな感じ
一応、 F-Secure と Avast と Qihoo-360 には誤検出レポート出しておいた・ω・
実行ファイルやDLLをインストールしない 令和 NLS更新 や夏時間のパッチですら検出されるので 草
・VERSION.dll をsystem32 から先読み して、同じフォルダにある悪意がある 同名のファイルを読み込めないようにブロックする
ウイルスに感染しないようにパッチを当てたら、ウイルスとして誤検出されるのは、最高にロックなのだがなんとかならないのかこれは(((・ω・))))
特に、Trapmine とEndgame が「高い信頼性で悪意のあるソフトだー」とか言ってるのがおかしい
virustotal - wextract.exe
解凍モジュールだけで検出させるとこんな感じ
一応、 F-Secure と Avast と Qihoo-360 には誤検出レポート出しておいた・ω・
実行ファイルやDLLをインストールしない 令和 NLS更新 や夏時間のパッチですら検出されるので 草
Twitter Feedback
この記事へのコメント
1. Posted by まふ 2020年04月06日 03:46
興味があったので落としてみたTLS1.2の更新ファイルでも出てますね。
所持しているカスペとアバストで警告出ました。
ウィルス対策ソフト自体もウィルスの可能s…てのは冗談にしときましょうか。
所持しているカスペとアバストで警告出ました。
ウィルス対策ソフト自体もウィルスの可能s…てのは冗談にしときましょうか。