[delphi-users:4347] VirusTotalでウィルス判定
174 views
Skip to first unread message
OE
Jan 5, 2016, 6:00:44 AM1/5/16
to delphi...@freeml.com
[開発環境 Delphi10 Windows7(64)]
[Win32 VCLフォームアプリケーション]
こんばんは、OEです。
exe単体で動くDelphiがどうしても好きで、
とうとう昨年末にDelphi10を買ってしましました。
未熟者ですが本年もどうぞよろしくお願いいたします。
さて、文頭の環境にて、
「新規フォームアプリを何も配置せずにコンパイルしたもの」を
VirusTotalでチェックしたところ、
3つのソフトから下記のトロイ/マルウェア判定を受けました。
・[Malwarebytes] Trojan.Agent.VND
・[Qihoo-360] HEUR/QVM05.1.Malware.Gen
・[Rising] PE:Malware.Generic(Thunder)!1.A1C4 [F]
詳細な結果はこちらです → https://goo.gl/UNoCvj
これは皆さんの環境でも起こりますでしょうか。
なお、手元の旧環境XE7・Delphi10でも判定を受けることが
わかりました。
今、開発環境のローカルドライブにてウィルスチェックを実施
していますが明日まで掛かりそうなので、質問させて頂きました。
何も配置してないフォームアプリに本当にウィルスが混入している
となると、かなり厄介です。
誤検知でもそれはそれで他の方に渡すときに厄介ですが…。
何か情報頂けると助かります。
よろしくお願いいたします。
MLホームページ: http://www.freeml.com/delphi-users
----------------------------------------------------------------------
Powered by freeml -- http://www.freeml.com/ --
------------------------------------------------------[freeml byGMO]--
[Win32 VCLフォームアプリケーション]
こんばんは、OEです。
exe単体で動くDelphiがどうしても好きで、
とうとう昨年末にDelphi10を買ってしましました。
未熟者ですが本年もどうぞよろしくお願いいたします。
さて、文頭の環境にて、
「新規フォームアプリを何も配置せずにコンパイルしたもの」を
VirusTotalでチェックしたところ、
3つのソフトから下記のトロイ/マルウェア判定を受けました。
・[Malwarebytes] Trojan.Agent.VND
・[Qihoo-360] HEUR/QVM05.1.Malware.Gen
・[Rising] PE:Malware.Generic(Thunder)!1.A1C4 [F]
詳細な結果はこちらです → https://goo.gl/UNoCvj
これは皆さんの環境でも起こりますでしょうか。
なお、手元の旧環境XE7・Delphi10でも判定を受けることが
わかりました。
今、開発環境のローカルドライブにてウィルスチェックを実施
していますが明日まで掛かりそうなので、質問させて頂きました。
何も配置してないフォームアプリに本当にウィルスが混入している
となると、かなり厄介です。
誤検知でもそれはそれで他の方に渡すときに厄介ですが…。
何か情報頂けると助かります。
よろしくお願いいたします。
MLホームページ: http://www.freeml.com/delphi-users
----------------------------------------------------------------------
Powered by freeml -- http://www.freeml.com/ --
------------------------------------------------------[freeml byGMO]--
じゃぺ
Jan 5, 2016, 6:14:05 AM1/5/16
to delphi...@freeml.com
こんにちは
川上です
以前、dcc32でコンパイルした直後のファイルがMcAfeeによって
駆除されてアプリケーションが正常に動作しないということがあり
ました。(Delphi2007)
半日かけて検証しましたが約1MB未満のexeが検疫対象となり、
一定サイズ以上だと駆除されませんでした。
おそらくファイルサイズが小さく、メールやシェル関連のコードを
持っている実行ファイルを検疫対象としていたのかと思います。
リリースするものについては後付けでデジタル署名をつけている
ので問題になりませんが、コンパイル直後にやられちゃうとどう
しようもなかったです。
その時はMcAfeeにファイルを送って除外してもらい、また、後日
Symantec等のホワイトリストへの登録申請をかけましたが、いつ
の間にか引っかからなくなりました。
今はもう少し頭を使って検疫していると思いますが…。
参考になれば。
川上です
以前、dcc32でコンパイルした直後のファイルがMcAfeeによって
駆除されてアプリケーションが正常に動作しないということがあり
ました。(Delphi2007)
半日かけて検証しましたが約1MB未満のexeが検疫対象となり、
一定サイズ以上だと駆除されませんでした。
おそらくファイルサイズが小さく、メールやシェル関連のコードを
持っている実行ファイルを検疫対象としていたのかと思います。
リリースするものについては後付けでデジタル署名をつけている
ので問題になりませんが、コンパイル直後にやられちゃうとどう
しようもなかったです。
その時はMcAfeeにファイルを送って除外してもらい、また、後日
Symantec等のホワイトリストへの登録申請をかけましたが、いつ
の間にか引っかからなくなりました。
今はもう少し頭を使って検疫していると思いますが…。
参考になれば。
umez
Jan 5, 2016, 7:10:38 AM1/5/16
to delphi...@freeml.com
こんにちは、梅澤@プロキャストです。
試してみました。
<環境>
・Delphi 10 Seatlle Pro版 + Update1
<手順>
・メニューから、[新規]-[VCLフォームアプリケーションの作成]を選択
して空のフォームを作成
・ターゲットプラットフォームを"Win32"として、リリース版としてビルド
・以下のサイト、virustotalに、作成されたexeをアップロードしてテスト。
https://www.virustotal.com/ja/
<結果>
・OEさんと同じ。以下の3つが表示された。
・先のexeに、MS Authenticode対応コードサイニング証明書を付加。
・証明書の付加されたexeを、もう1度、virustotalにアップロードして
テスト。
<結果>
・問題ありと表示したのは、Risingの1つだけとなった。
内容は同じ。
> ・[Rising] PE:Malware.Generic(Thunder)!1.A1C4 [F]
OE <delphi...@freeml.com> さんは書きました。<2016/01/05>
----------
Tomomi Umezawa um...@procast.co.jp
試してみました。
<環境>
・Delphi 10 Seatlle Pro版 + Update1
<手順>
・メニューから、[新規]-[VCLフォームアプリケーションの作成]を選択
して空のフォームを作成
・ターゲットプラットフォームを"Win32"として、リリース版としてビルド
・以下のサイト、virustotalに、作成されたexeをアップロードしてテスト。
https://www.virustotal.com/ja/
<結果>
・OEさんと同じ。以下の3つが表示された。
> ・[Malwarebytes] Trojan.Agent.VND
> ・[Qihoo-360] HEUR/QVM05.1.Malware.Gen
> ・[Rising] PE:Malware.Generic(Thunder)!1.A1C4 [F]
<追加手順>
> ・[Qihoo-360] HEUR/QVM05.1.Malware.Gen
> ・[Rising] PE:Malware.Generic(Thunder)!1.A1C4 [F]
・先のexeに、MS Authenticode対応コードサイニング証明書を付加。
・証明書の付加されたexeを、もう1度、virustotalにアップロードして
テスト。
<結果>
・問題ありと表示したのは、Risingの1つだけとなった。
内容は同じ。
> ・[Rising] PE:Malware.Generic(Thunder)!1.A1C4 [F]
OE <delphi...@freeml.com> さんは書きました。<2016/01/05>
Tomomi Umezawa um...@procast.co.jp
OE
Jan 5, 2016, 11:20:05 PM1/5/16
to delphi...@freeml.com
こんにちは。
川上さん、梅澤さん、返信ありがとうございました。
使わないコード群をusesから抜けば良いかな?と考えましたが、
それでも駄目でした。
そもそもusesから抜いただけでは、exeのファイルサイズに違いが
でなかったので、コンパイルの設定調整がいるのかもしれません。
残念ながら証明書を付けられるほども余裕はないので、
それは諦めようと思います。
とりあえずは、配布の際に検知される理由を説明することで、
安心してもらう(してくれるかな?)ことにします。
ありがとうございました。
川上さん、梅澤さん、返信ありがとうございました。
使わないコード群をusesから抜けば良いかな?と考えましたが、
それでも駄目でした。
そもそもusesから抜いただけでは、exeのファイルサイズに違いが
でなかったので、コンパイルの設定調整がいるのかもしれません。
残念ながら証明書を付けられるほども余裕はないので、
それは諦めようと思います。
とりあえずは、配布の際に検知される理由を説明することで、
安心してもらう(してくれるかな?)ことにします。
ありがとうございました。
じゃぺ
Jan 5, 2016, 11:41:38 PM1/5/16
to delphi...@freeml.com
川上です
10SeattleがないのXE7で試しました。
(全てReleaseでコンパイル)
1.新規VCLアプリケーションをそのままコンパイルしたもの
→2つで検出されました
・Qihoo-360 HEUR/QVM05.1.Malware.Gen
・Zillya Trojan.Diztakun.Win32.465
2.ボタンを1個貼り付け、コンパイルしたもの
→1つで検出されました
・Qihoo-360 HEUR/QVM05.1.Malware.Gen
3.ボタンを230個貼り付け、コンパイルしたもの
→検出されませんでした。
ファイルサイズは大して変わらないのに。
4.新規VCLアプリケーションのUnitに[2]でuses句に
自動追加された「Vcl.StdCtrls」を追記し、コンパイルしたもの
→1と同じ結果でした。
uses句は関係ないようですね。
ものによる、という感じでしょうか(苦笑
10SeattleがないのXE7で試しました。
(全てReleaseでコンパイル)
1.新規VCLアプリケーションをそのままコンパイルしたもの
→2つで検出されました
・Qihoo-360 HEUR/QVM05.1.Malware.Gen
・Zillya Trojan.Diztakun.Win32.465
2.ボタンを1個貼り付け、コンパイルしたもの
→1つで検出されました
・Qihoo-360 HEUR/QVM05.1.Malware.Gen
3.ボタンを230個貼り付け、コンパイルしたもの
→検出されませんでした。
ファイルサイズは大して変わらないのに。
4.新規VCLアプリケーションのUnitに[2]でuses句に
自動追加された「Vcl.StdCtrls」を追記し、コンパイルしたもの
→1と同じ結果でした。
uses句は関係ないようですね。
ものによる、という感じでしょうか(苦笑
OE
Jan 6, 2016, 12:17:05 AM1/6/16
to delphi...@freeml.com
川上さん。
ありがとうございます。
とても興味深い追試ですね。
一般的なアプリケーションに近い状態であれば、
引っかからずに通過しそうですね。
今回、ボタンが2つしか無い とてもシンプルなアプリ
なので、裏に余分なボタンを貼り付けることにします。
大変助かりました。
ありがとうございました。
ありがとうございます。
とても興味深い追試ですね。
一般的なアプリケーションに近い状態であれば、
引っかからずに通過しそうですね。
今回、ボタンが2つしか無い とてもシンプルなアプリ
なので、裏に余分なボタンを貼り付けることにします。
大変助かりました。
ありがとうございました。
7of9
Jan 6, 2016, 2:59:54 AM1/6/16
to delphi...@freeml.com
7of9です。
僕も以前ソフトがウイルス判定を受けたことがあります。
アンチウイルスソフトの会社名は出せないですが、トロイの木馬判定でした。
アプリのexeファイルサイズは7.8MB。XE4で作成しました。
UDP, FTPなどの通信関連の処理やレジストリ書き換えなどいくつかの処理を
実装してましたが、何がひっかかったのかわかりませんでした。
そのソフトをVirul Totalでチェックしても何も検出されなかったです。
僕も以前ソフトがウイルス判定を受けたことがあります。
アンチウイルスソフトの会社名は出せないですが、トロイの木馬判定でした。
アプリのexeファイルサイズは7.8MB。XE4で作成しました。
UDP, FTPなどの通信関連の処理やレジストリ書き換えなどいくつかの処理を
実装してましたが、何がひっかかったのかわかりませんでした。
そのソフトをVirul Totalでチェックしても何も検出されなかったです。
Reply all
Reply to author
Forward
0 new messages