ウイルス検出名「TR/Crypt.XPACK.Gen」の対処 ~ Avira AntiVir

 無料ウイルス対策ソフト・セキュリティソフトとして有名なAvira AntiVirの検出名「TR/Crypt.XPACK.Gen」の説明です。同系統の検出名に「TR/Crypt.XPACK.Gen2」「TR/Crypt.XPACK.Gen3」というのもあります。

 頭文字の「TR/ ~」はトロイの木馬(Torojan Horse)のことです。要はウイルスです。それ以外の、「Crypt」は暗号化されている、「XPACK」は実行ファイル圧縮ソフトが施されている、「Gen」はジェネリック手法による検出、という意味になります。

 ウイルス製作者は、ウイルス対策ソフトの検出を回避するため、1つの実行ファイルに特殊な処理を施します。具体的に挙げると下のようなものです。

  • ”パッカー” ・・・ 実行ファイルを実行可能なまま圧縮してサイズを小さくできるプログラム
    → 実行ファイルが起動された直後に圧縮されていたデータがメモリ上に展開される
  • ”クリプター” ・・・ 実行ファイルを暗号化して中身を解析しにくくするプログラム
    → 実行ファイルが起動された直後に暗号化されていたデータがメモリ上で解除される

 このようなプログラムを使うと、まったく同じ処理を行う実行ファイルの内部データをぜんぜん別モノに変換できます。ウイルスの量産として悪用されてます。

■ 誤検出の可能性
 ただ、善意の場合もあります。たとえば、自分が製作した正規のプログラムの内部を解析されたくない場合に、このようなプログラムを使ってる場合があるんですな。

 VirusTotalのようなファイル単体のオンラインスキャンでチェックしてみてファイルは”隔離”に移動、あきらかに誤検出と思うならAvira社へ送信してみるとよろし。(→ 誤検知の報告

投稿日: 2009/12/04 | カテゴリー: 未分類 | パーマリンク コメントする.

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中