web-dev-qa-db-ja.com

自分のバックアッププログラムが「Win32 / Bearfoos.A!ml」ウイルスとして検出されました

このバックアッププログラムは1年以上前に作成しました。これまで脅威として検出されたことはありませんでした。 Windows Defenderは、今朝、いつものことを行おうとしたときにそれを隔離し、「Trojan:Win32/Bearfoos.A!ml」という深刻な脅威と呼んでいます。

自分で作成した2つのDLLを使用します。1つは再帰検索を行い、もう1つはファイルの読み取り/書き込みを行います。基本的に、私の.exeは構成ファイルを読み取り、問題が発生した場合は上書きし、読み込まれた情報を使用して再帰的な検索を開始し、それらのファイルを複数のドライブにコピー/圧縮(7za.exeを使用)します。

また、コンソールアプリであるため、kernel32(GetConsoleWindow)とuser32.dll(ShowWindow)をPinvokingしています。

私はそれを例外に追加できると確信しています。それを示唆する非常に類似したことについてアバストに関する別のスレッドがあります。なぜだろう?なぜ今なのか?なぜBearfoosなのか?そのプログラムを自分で作成したことをWindows Defenderが検出できないのはなぜですか? Windows Defenderが、自分のローカルドライブの周りにあるファイルをコピーしているだけだと認識できないのはなぜですか?私自身もWindowsタスクスケジューラに自分で追加しましたが、Windows Defenderにはどれだけの緑の旗が必要ですか!?

これは、ほとんどのプログラムがファイルのコピーと読み取りを行うことだと想像します。

4
JMC17

私は答えとしてラムハウンドのコメントを選びます。「誤検知をマイクロソフトに報告する必要があります。誤検知を報告しない限り、Windows Defenderは引き続き悪意のあるものとして検出します」

私は昨日マイクロソフトにファイルを提出し、彼らは今日応答しました。彼らは検出を削除し、古い定義を削除して新しい定義に更新する手順を教えてくれました。

反対票を投じられたものも含めて、皆さんの入力に感謝します。ここに、私のプログラムが潜在的なマルウェアとして検出された理由を理解するのに役立つページがあります。 https://docs.Microsoft.com/en-us/windows/security/threat-protection/intelligence/criteria

6
JMC17

100%確信している場合は、Windows Defenderの除外として追加しても安全です。

0
BanjoDaHousecat

なぜ今これが起こり始めたのですか? Windows Defenderの最近の更新により、プログラムの動作が変更された可能性があります。悪意のあるソフトウェアの検出は難しく、プロセスは100%信頼できません。間違いがなされています。悪意のあるソフトウェアが検出されない場合や、正当なソフトウェアが悪意のあるものとして誤認される場合があります。

Windows Defenderは、ユーザーがプログラムを作成したかどうかを判断しようとしないため、特別な特権を付与します。それは本当に悪い考えです。プログラマは、十分な信頼性をもってこれを行う能力を信頼していません。そのような機能があれば、マルウェアに検出を回避する別の潜在的な方法を提供します。 Windows Defenderは、実行するプログラムを全体的に理解していません。既知のマルウェアのパターンについてファイルをチェックし、そのアクティビティを監視することしかできません。そしてそれは、物事が見た目と違うかもしれないという知識をもってこれをすべて行います。現代のマルウェアは非常に洗練されており、多くのトリックが存在するため、本来のものとは異なるものとして表示されます。マルウェアは検出を回避する方法を継続的に改良しており、セキュリティソフトウェアは検出方法を改良する必要があります。

ほとんどのセキュリティソフトウェアには、何らかの除外リストがあります。しかし、これは見た目ほど簡単ではありません。慎重に管理する必要があります。そうしないと、悪意のあるソフトウェアがリストに追加されてしまいます。マルウェアの作成者は、Windows Defenderやその他のセキュリティ製品を研究しており、悪用される可能性のある弱点を常に探しています。

0
LMiller7