いつもはe-setセキュリティ利用しているんですが、たまには別ソフトでセキュリティをチェックしておこうと思いまして。
E-SETを全部オフにしてNorton体験版を有効化、PCフルスキャンかけてみました。
そうするとですね、E-SETとの判定とは違うものを検出してきました。
ヒューリスティックウィルスを検出 1
(画像をクリックすると拡大します)
「ヒューリスティックウィルス」
あれ?ウィルス感染してたのかな???
どういうことでしょうという事で調べてみた。
Symantec 用語集 より 引用 (リンク切れのためURL削除 2018/08/30)
heuristic (ヒューリスティック)
ファイルが疑わしい動作をするか試験するときに、ウイルス定義ではなく経験に基づく知識を使って新しい脅威を識別する技術。
Symantec ウイルスと悪質な攻撃を検出する製品技術 より引用
より 現在リンク切れヒューリスティック技術
この製品は、Symantec Bloodhound ヒューリスティック技術を使ってウイルスと思われる動作を検出し、未知のウイルスを識別、修復します。ヒューリスティック設定を調整すれば、ウイルス識別機能の強度を増減できます。この技術によって、最大 90 パーセントの新種のマクロウイルスと最大 80 パーセントの新種および未知の実行可能ファイルウイルスが検出されます。
ヒューリスティック検出レベルは修正できます。
ヒューリスティックレベルの修正を参照してください。
セキュリティについてのノートン提供、Fujitsuサイトでの解説
↓
次々誕生するウイルスに対抗できるのか?日々進化するウイルス検出技術!
https://azby.fmworld.net/support/security/symantec/square/square_41.html
私なりに解釈すると
「公式でこれはウィルスです!って言ってるわけではない」
みたいで、
「今までの経験で、これ危ないかも知れない。
だから、削除しとくねー」
っていう「悪いものに見えるから取り除いておく」機能のようです。
ただ「よくないかもしれない」から隔離していても、実はPCで利用していたソフトの一部だったり、全く悪意のあるものではないのに削除されてしまっている「誤検知」の可能性もあるようです。
どれが「ヒューリスティックウィルス」と判断されてしまったのか
今回私が利用しているPC内部のどれが「ヒューリスティックウィルス」と判断されてしまったのか?
Nortonは脅威の情報をクリップボードにコピーできるので、メモがてら、一部ファイル名ぼかして記録しておきます。
今回は2件ありました。
____________________________
1件目・フリーゲームが検知されてました。
いわゆる「つくーる」系で作って無料で提供してくれてるものですね。
ただ、フリーゲーム系のものは誤検知も多く、「本当に悪いものか」の判断は難しいです。
今回は1回遊んだだけで全く利用していないゲームだったので、PC全体から削除しました。
____________________________
脅威名: Heur.AdvML.C絶対パス: c:\users\hogehoge\videos\フリーゲームのEXEファイル\フリーゲームのEXEファイル.exe
コンピュータの評価日時
2015/08/12 20:58:27
最終使用日時
2017/11/21 14:24:39
起動項目
いいえ
起動済み
いいえ
脅威の種類: ヒューリスティックウイルス検出。 マルウェアヒューリスティックに基づく脅威の検出。
____________________________
フリーゲームのEXEファイル.exe 脅威名: Heur.AdvML.C
検索する
少数のユーザー
このファイルを使った ノートン コミュニティのユーザー数は 数百人です。
定着
このファイルの更新日は 2 年 4 カ月 前です。
高
これは危険度が高いファイルです。
____________________________
コピー元: 外部メディア
____________________________
ファイル処理
感染ファイル: c:\users\hogehoge\videos\フリーゲームのEXEファイル\ フリーゲームのEXEファイル.exe 削除しました
____________________________
ファイルサムプリント – SHA:
利用不能
ファイルサムプリント – MD5:
利用不能
・
・
・
____________________________
2件目・インターネット見る時に保存された一次ファイル「temp」にくっついていたもの
ファイルの名前でググってもよくわからなかったので、これは削除したままでOKと判断しました。
____________________________
脅威名: Suspicious.Cloud.9絶対パス: c:\users\hogehoge\appdata\local\temp\36kcxoe5.exe.part
コンピュータの評価日時
2017/11/21 18:42:59
最終使用日時
2015/03/13 15:49:28
起動項目
いいえ
起動済み
いいえ
脅威の種類: ヒューリスティックウイルス検出。 マルウェアヒューリスティックに基づく脅威の検出。
____________________________
36kcxoe5.exe.part 脅威名: Suspicious.Cloud.9
検索する
ごく少数のユーザー
このファイルを使った ノートン コミュニティのユーザー数は 5 人未満です。
ごく新しい
このファイルの更新日はここ 1 週間以内 です。
高
これは危険度が高いファイルです。
____________________________
http://cdn.getappshouse.com/c?x=YUMS/eDF9RvrwZ4N90yKze
/nuFZrUG3srcSTDGudh5Y=&downloadAs=FileZilla_3.10.2_win32
-setup.exe&c=xq0ipH/fqyDmL+T4ltZdoDQDkkDF5npwnTmTdWik+sLL
RymkrVbSfk/ZKEkWNn5xai7Ik0JbOrj2YQ00kKcfOA==
ダウンロードしたファイル 開始 getappshouse.com
コピー元: 外部メディア
____________________________
ファイル処理
ファイル: c:\users\hogehoge\appdata\local\temp\ 36kcxoe5.exe.part 削除しました
____________________________
ファイルサムプリント – SHA:
利用不能
ファイルサムプリント – MD5:
利用不能
ヒューリスティックウィルスとして削除されてしまったものを元に戻したい場合
自己責任になりますが、正しい・悪意のあるツールではないと確認取れたものであれば、元に戻したいですよね。
以下の参考サイトさんを見ながら実行するといいかもしれません。
SEECK.JP サポート kb.seeck.jp (beta)
[Norton] ヒューリスティック・ウイルスが検出されました
https://kb.seeck.jp/archives/4085
