exewrapのx86がウィルスと認識される
hirukawa_ryo 2015/05/26に以下の2つのウィルス対策ソフトで再検査をおこないましたが問題は検出されませんでした。
・McAfee VirusScan Enterprise + AntiSpyware 8.8 (定義ファイル 2015/05/26 バージョン 7813.0000)
・Microsoft Safety Scanner 1.0.3001.0
・カスペルスキー (←これはユーザーさんからの報告です)
また、他のユーザーさんからトレンドマイクロ ウィルスバスターでウィルスとして検出されたとの報告をいただいています。 Norton, Chromeダウンロードでの検出報告ははじめていただきました。ありがとうございます。
現時点ではウィルス対策ソフトウェアの誤検出であり、exewrap.exeがウィルスに感染しているということではないと判断しています。
ウィルスバスターではexewrap 1.0.2は検出されず、exewrap 1.0.3になって検出されるようになったとの報告がありますので、exewrap 1.0.3での変更内容が影響しているものと思います。 exewrap 1.0.3ではUACの権限昇格に対応させました。(もちろんユーザーには昇格確認のダイアログが表示されるのですが)このあたりの実装が誤検出の引き金になっているように思いますのでウィルス誤検出されない実装に変更できないか検討したいと思います。
2015/7/14時点では、exewrap1.0.3.zipがVirusTotalで24/55 検出されます。 https://www.virustotal.com/ja/file/b24cdd48af3674c3b507b319a55a2943a1520d393f63c774d8484a7dd2b0045f/analysis/1436871889/
hirukawa_ryo VirusTotal、このような便利なサイトがあるのですね。こちらの検出結果を確認したところ、generic や Trojan といった表示が多いことに気付きました。どうもヒューリスティック検査で「ウィルスに良くみられるパターン」に引っかかっているようでした。このような検査は、実行ファイル(EXE)を画像ファイル(PNGやJPG)に偽装している場合に効果があるということでした。実行ファイルにはPEヘッダーと呼ばれるものが含まれています。もしも画像ファイルの中にこのようなPEヘッダーが含まれていると、実行ファイルを偽装している可能性があるということでウィルス検知にひっかかるようです。exewrapの場合は画像ではないのですが、exewrap.exe自体が実行ファイルを出力するプログラムであることから、exewrap.exeの中に出力用のPEヘッダーを含んでいます。この「ファイル途中にPEヘッダーが出現する」ことがウィルス検知の原因となっていたようです。出力用のPEヘッダーを加工して保持し、出力時に復元するという対策を取ることで、ウィルスとしてほとんど検知されなくなりました。VirusTotalの検知数は 1/55 となりました。現在でも、VBA32 というウィルス対策ソフトが BScope.Trojan.Agent として検出してしまうのですが、これについては原因が分からず対処できていません。検出数 24 → 1と大きく減りましたので、ひとまずこれで対処完了としたいと思います。
exewrapに対して、Nortonのセキュリティチェックで以下のような結果となりファイルが削除されます。
Security risk detected: Trojan.Gen.2
File: C:\usr\exewrap1.0.3\x86\exewrap.exe
x64側に関しては今のところ何も検出されません。
同時に、最新のChromeでもexewrapをダウンロードしようとするとセキュリティを理由にブロックされます。 こちらに関しては「不正なファイルです。ブロックしました」と表示されるのみで詳細な理由は提示されません。
誤検知なのか、危険なファイルが含まれてしまっているのか、確認いただけますでしょうか。