Tíquete #34932

Norton Internet SecurityにてWS.Reputation.1として誤検出され、opentween.exeが削除される件

: 2015-02-26 20:48 Última Atualização: 2015-02-27 01:06

Relator:
(Anônimo)
Dono:
(Nenhum)
Tipo:
Estado:
Fechado
Componente:
(Nenhum)
Marcos:
(Nenhum)
Prioridade:
5 - Medium
Gravidade:
5 - Medium
Resolução:
Invalid
Arquivo:
Nenhum

Details

OpenTweenのバージョンを1.2.5に更新し、約1~2週間ほど使っていたところ、本日20:30頃、突如としてopentween.exeがNorton Internet Securityにより「WS.Reputation.1」として誤検出され、opentween.exeが削除されました。 Symantecの説明によると、「WS.Reputation.1 は、シマンテックのユーザーコミュニティからのデータ分析に基づいたレピュテーション評価のスコアが低く、危険性が疑われるファイルに対する検出名」だそうです。 http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2010-051308-1854-99&vid=4294919973&lang=jp&product=Norton%20Internet%20Security&version=21.6.0.32&plang=sym:JP&layouttype=ESD&buildname=Retail&heartbeatID=B5EE2C3B-A414-11E0-96DB-1C6F65359D81&env=prod&vendorid=&plid=2&plgid=2&skup=21234709&skum=21296429&skuf=21228659&endpointid={B5EE2C3B-A414-11E0-96DB-1C6F65359D81}&partnerid=&lic_type=16&lic_attr=21255186&psn=WQGXKP73KD3G&osvers=6.1&oslocale=iso:JPN&oslang=iso:JPN&os=windows

なお、OpenTweenを再度実行するためには、Norton Internet Securityの検疫除外リストにopentween.exeを追加する必要があり、そうでないとopentween.exeをコピーしても削除されてしまいます。

アプリケーション開発者側で対応可能な案件かどうかはわかりませんが、対応できるのであれば対応をお願い致します。 Symantec社には誤検出として報告済みです。

↓以下Norton Internet Securityのログより引用↓

ファイル名: opentween.exe 脅威名: WS.Reputation.1 絶対パス: d:\documents\(ユーザー名)\dropbox\program\opentween\opentween.exe

詳細 少数のユーザー,  新規、リスク 中

提供元 ダウンロード元  不明

活動 実行した処理: 3

コンピュータの評価日  2015/02/13 6:37:54

最終使用日時  2015/02/26 20:26:15

起動項目  いいえ

起動済み  はい

少数のユーザー ノートン コミュニティの 数百人のユーザーがこのファイルを使いました。

新規 このファイルの更新日は 7 日以上 15 日 前です。

中 これは危険度が中程度のファイルです。

脅威の種類: インサイトネットワーク脅威。 このファイルは信頼に値しないので安全ではないということを示す多くの兆候があります

コピー元: 外部メディア

元ファイル: explorer.exe

作成されたファイル: opentween.exe

ファイル処理

イベント: プロセスの実行: d:\documents\(ユーザー名)\Dropbox\Program\opentween\ opentween.exe 終了 イベント: プロセスの実行: d:\documents\(ユーザー名)\Dropbox\Program\opentween\ opentween.exe 解決を試みませんでした 感染ファイル: d:\documents\(ユーザー名)\Dropbox\Program\opentween\ opentween.exe 削除しました

ファイルサムプリント - SHA: cf9fea598e1a733878eb769e0b0689095073887dd7a524f472ed41e266cd2cda ファイルサムプリント - MD5: 利用不能

↑以上Norton Internet Securityのログ↑

Ticket History (2/2 Histories)

2015-02-26 20:48 Updated by: None
  • New Ticket "Norton Internet SecurityにてWS.Reputation.1として誤検出され、opentween.exeが削除される件" created
2015-02-27 01:06 Updated by: upsilon
  • Ticket Close date is changed to 2015-02-27 01:06
  • Estado Update from Aberto to Fechado
  • Resolução Update from Nenhum to Invalid
Comentário

もう Norton と Avast! はこの類いの話題では常連ですね。

http://www.symantec.com/ja/jp/theme.jsp?themeid=insight

レピュテーションに基づく検知の仕組みについては上記のページに解説があります。Norton に限らずレピュテーション機能を備えるセキュリティソフトは大体似たような仕組みです。このような仕組みによる検知は、知名度が低いだとか Web 上に現れて日が浅いなどの状況に基づいて判定されるもので、要するにソフトウェアの開発者側から何か事前に対処できるようなものではないと考えています。

現状 OpenTween では、このような消極的な理由による検知について各セキュリティベンダーに対していちいち異議を申し立てていては切りがないため無視しています。もちろん OpenTween が名指しで不正なソフトウェアであると判定されるような状況であれば話は別ですが、今回のような場合ではそのような検知をするセキュリティソフトの利用者が各自でベンダーに問い合わせて下さい。


とはいえ、過去には Delphi のコンパイラ経由で感染するマルウェアが存在したり DNS キャッシュポイズニングによって偽のダウンロードサイトに誘導されたりする事も考えられるため、絶対に安全であるとは宣言できないのもまた実情です。あるいは id:upsilon を信用できないという理由も考えられます。そのような場合に、いくらかリスクを軽減する方法があります。

例えば、窓の杜さんの Web サイトで再配布されているソフトウェアは複数のセキュリティソフトを用いたウイルスチェックが事前に行われています。第三者によるチェックが行われているという点でこちらからダウンロードするというのも手です。

http://www.forest.impress.co.jp/library/software/opentween/

ただしダウンロードをするサイトは HTTPS ではないため DNS に対する攻撃によって偽の Web サイトに誘導されても気付かない可能性があるかもしれません。もし心配のある状況であれば、TLS で保護されている GitHub からも同じファイルをダウンロードして、それぞれでダウンロードしたファイルが SHA で同一であることを確かめるとなお良いと思います。そうすればもし DNS に関する攻撃を受けていたとしても、 github.com の証明書に関するエラーが出ることで異変に気付ける可能性があります。

https://github.com/opentween/OpenTween/releases/

こういった方法は決して完璧とは言えませんが、単にセキュリティソフトの機能を無効化するよりはいくらかマシにはなるかと思います。

これとは別の方法として、ソースコードを Git リポジトリから取得して自分でビルドするという方法もあります。ただしこれは msysgit がそのセキュリティソフトによって削除されないことが前提です。

Attachment File List

No attachments

Editar

You are not logged in. I you are not logged in, your comment will be treated as an anonymous post. » Login