データバックアップメモ - extended -

今日、スパイウエア対策ソフトでの誤検出なのでは？と思う出来事があった。

いつものようにAd-Aware SEで定義ファイルを更新してチェックをかけたところ、WIN32.TROJAN.DOWNLOADERが検出された。検出されたファイルの詳細を見ると、どうやらtempフォルダのNSISdl.dllというファイルがそれらしい。「えー、トロイの木馬感染かよ！」と驚くものの、フォルダの作成日時を確認すると一年以上以前に作成されているもののようで、対応日時から判断しても検出されるのであればずっと前に検出されていなければおかしい。もしかすると誤検出かもしれないので、詳しく調べる必要がある。

というわけで、まずはじめは「WIN32.TROJAN.DOWNLOADER」でGoogle検索して調べてみた。で出てきたのがマカフィー株式会社--セキュリティ情報--Painter。これかと思ったのだが、記事をよく見るとNSISdl.dllは関係ないようだ。同じフォルダ内にある他のファイルも確認したが、サイズも違うし、ファイル名も違う。どうやらこれではないようだ。

で、今度はNSISdl.dllで検索して調べると以下の記事が出てきた。

マカフィー株式会社--セキュリティ情報--Downloader-OG

この記事によると、NSISdl.dllはNullsoft Scriptable Install Systemのファイルで、マカフィでは誤検出される事があるとの事。記事中ではNSISdl.dllのファイルサイズが12,800バイトとなっていたので、手元のファイルサイズを確認すると同一である事が判明。そこで今度は「Nullsoft Scriptable Install System」で検索した。NSISはNullsoft 社によるフリーのインストーラ作成ツールであるらしい。とすると、手元のファイルがあるtempフォルダは何かのソフトをインストールした時の残骸かもしれない。

NSISdl.dllのあるフォルダを再度確認すると「popfile.cfg」の文字が。どうやらPOPFileのインストールファイルの残骸のようだ。POPFile公式にも以下の記事があったので、おそらく間違いない。同じフォルダ内の他のファイルを確認してもPOPFile絡みのもののようだ。で、「Nullsoft Scriptable Install System」とPOPFileをキーワードに検索すると以下の記事が出てきた。

POPFile: JP FrequentlyAskedQuestions/IsPOPFileInfected "POPFile はウィルス／トロイの木馬／アドウェアを含んでいますか？"

というわけで、おそらくはAd-Aware SEの誤検出なのでであろう、というところまで到達したわけだが、あくまで推測に過ぎない。念のためにNOD32やBitDefender 8 Free Edition、さらにはカスペルスキーやF-Secureのオンラインスキャンでもフォルダごと検査してみた。が、特に検出されず。とりあえずは一安心といったところか。

とはいえ、ステルス系マルウェアなどだと検出しきれない可能性も捨てきれない。念のために専用のrootkit検出用のツールを使ってみることにした。今回はF-Secure BlackLight によるステルス系マルウエアの駆除で紹介されているF-Secure Blacklightを利用する。ムーミンでおなじみのF-Secure社によるツールなので信頼性は高いだろう。……が、F-Secure Blacklightのダウンロードページで問題発生。「I ACCEPT」のボタンを押すとHTTPSのダウンロードページに進むのだが、「サーバの証明書が期限切れになっている」とFirefoxが教えてきた。どうも一週間ほど前に期限切れになったらしく、まだ更新できていないらしい。セキュリティを生業とする企業としては致命的なのではないだろうか。日本エフ・セキュア経由でもよいので、本社に知らせて直さないといけないのでは？と感じた。しかたがないので、rootkit検出のツール入手はとりあえず証明書が更新されるまで待つことにする。

追記：検出時の定義ファイルはSE1R131 09-11-2006、Ad-Aware SEのバージョンは1.06r1 Personalである。

追記：定義ファイルをSE1R132 14-11-2006に更新して再度ファイルをスキャンしたところ、検出されなくなった。見立ての通り、誤検出だったようだ。一安心といったところか。

追記：エフセキュアのサーバ証明書の件だが、11月14日に更新されたようだ。一安心。