HSPTV!掲示板

hsp3.22の実行用ランタイムファイル（hsp3.exe）が、アバスト！（定義ファイル101112-1）でマルウェア「Win32:Malware-gen」 として、チェストに移動されてしまうようです。

昨日まではマルウェア扱いされなかったので誤検出だと思われますが、他の方はどうでしょうか？
もし私のhsp3.exeにだけマルウェアが埋め込まれている　…なんてこともあるかもしれないですので。




ないかｗ

VirusTotalでの検査結果
http://www.virustotal.com/

File name: hsp3.exe
Submission date: 2010-11-13 08:48:22 (UTC)
Current status: finished
Result: 7 /43 (16.3%)
MD5 : a358f69ac4b235e26b667bcca550c299
SHA1 : 08bdd76c98ccdaed1d7202786249c01f404efa13
SHA256: f43577f5f00659f54170c503258cd2e976672165787af3e473a04f17b32ecc8b

AhnLab-V3	2010.11.13.00	2010.11.12	Trojan/Win32.Agent
Antiy-AVL	2.0.3.7		2010.11.13	Trojan/Win32.Agent.gen
Avast		4.8.1351.0	2010.11.12	Win32:Malware-gen
Avast5		5.0.594.0	2010.11.12	Win32:Malware-gen
AVG		9.0.0.851	2010.11.12	Agent2.BTVO
GData		21		2010.11.13	Win32:Malware-gen
Kaspersky	7.0.0.125	2010.11.13	Trojan.Win32.Agent.fqzz

バイラストータルに、マルウェア扱いされるhsp3.exeと、新しくDLしたhsp3.exeをスキャンさせたところ、両方とも同じ結果だったので安心しました。

>>35777
ありがとうございます。

誤検出のため、Kasperskyがインストールされている環境だと
Ver 3.22 のアップデータもダウンロードできないですね。
Ver 3.21a2 も同様です。

http://tkooler.moe.hm/hsp/img/kaspersky2010.png

昨日まで何も異常はなかったのですがね　（汗

チェックしようと思ってDLしたら、hsp3.exe以外のものをAviraが警告
hsp3.exe
hsp3hg.exe
hsp3mt.exe
hsprt

ランタイム系ファイルがだめな状態になってますね
www.virustotal.com/file-scan/report.html?id=f43577f5f00659f54170c503258cd2e976672165787af3e473a04f17b32ecc8b-1289638102
www.virustotal.com/file-scan/report.html?id=a1c30e95b81479cb6956b483c471192f7333b92cced3a37cf9ff9873d1edacef-1289685173
www.virustotal.com/file-scan/report.html?id=04be1b8449f7fdc9235d5edfcb07f2b6ff688bb1e157b6eef609f98bd050d86d-1289685020
www.virustotal.com/file-scan/report.html?id=0512a6409d289186bd36a57c9acd3df5720e1837bdc6c205fb6a698ec8a1f71b-1289684856

Kaspersky 2010もダメダメでした。
hsp3.exe 以外も トロイの木馬と誤検出しました。

D:\Program Files\hsp322\hsp3.exe
D:\Program Files\hsp322\hsp3c.exe
D:\Program Files\hsp322\hsp3hg.exe
D:\Program Files\hsp322\hsp3mt.exe
D:\Program Files\hsp322\hsprt
D:\Program Files\hsp322\runtime\hsp3c.hrt
D:\Program Files\hsp322\runtime\hsp3hg.hrt
D:\Program Files\hsp322\runtime\hsp3mt.hrt

セキュリティソフトなんて他社でもあるんだぞ！
とちょっと脅し気味（笑）に Kaspersky に 報告してきました。

本日は日曜ですが、ジャストシステムから連絡がありました。

Kaspersky社に誤検知かどうか調査を依頼し、数日〜2週間かかるそうです。

という訳で、しばらく様子見です。

AVG の８．５でも、１１月１４日のデータベース
(271.1.1/3255)で、HSP3.EXEがトロイに感染して
ると出ました・・・。

誤検出とは思いますが、どこの対策ソフトでも、
トロイと判定する可能性が高いです。

今日のアバスト！の定義ファイルでは、HSP 3.22製実行ファイルまでをマルウェアとするようです！

Kaspersky では 誤検出がなくなったようですが、ほかはビンビンに反応するようになりました。
チェックしたファイルは HSP3.22 アップデータです。
(中にはランタイムなどが入っています)

File name: hsp322upd.zip
Submission date: 2010-11-15 06:41:02 (UTC)
Result: 21/ 43 (48.8%)

ttp://www.virustotal.com/file-scan/report.html?
id=5be006544f3ad36abb0fa10efec06f11f4fb38f0c49e8c03ba8927f6d0cbc44a-1289803262

AhnLab-V3  2010.11.15.00 2010.11.14 Trojan/Win32.Agent 
AntiVir   7.10.13.238  2010.11.14 TR/Agent.fqbn 
Antiy-AVL  2.0.3.7  2010.11.15 Trojan/Win32.Agent 
Avast    4.8.1351.0  2010.11.14 Win32:Malware-gen 
Avast5    5.0.594.0  2010.11.14 Win32:Malware-gen 
AVG    9.0.0.851  2010.11.15 Agent2.BTVO 
Emsisoft   5.0.0.50  2010.11.15 Trojan.Win32.Agent!IK 
eSafe    7.0.17.0  2010.11.14 Win32.TRAgent.Frcb 
Fortinet   4.2.249.0  2010.11.14 W32/Agent.FQBN!tr 
GData    21   2010.11.15 Win32:Malware-gen 
Ikarus    T3.1.1.90.0  2010.11.15 Trojan.Win32.Agent 
Jiangmin   13.0.900  2010.11.15 Trojan/Agent.endc 
McAfee    5.400.0.1158  2010.11.15 Artemis!A358F69AC4B2 
McAfee-GW-Edition  2010.1C  2010.11.15 Artemis!08E760732BD4 
Panda    10.0.2.7  2010.11.14 Suspicious file 
PCTools   7.0.3.5  2010.11.15 Trojan.Gen 
Rising    22.73.06.01  2010.11.15 Dropper.Win32.Undef.GEN 
Symantec   20101.2.0.161  2010.11.15 Trojan.Gen 
TheHacker   6.7.0.1.083  2010.11.15 Trojan/Agent.fqzz 
VBA32    3.12.14.2  2010.11.12 Trojan.Agent.fqbn 
ViRobot   2010.11.15.4147 2010.11.15 Trojan.Win32.S.Agent.1003520.A 

アンチウィルスソフトでの検出について、ご報告ありがとうございます。
HSP3.22などのアップデーターについては、誤認識であると考えていてベンダーの方にも問い合わせを行なっています。
これについては、実際に使用しているユーザーからの報告も有効だと考えています。報告をして頂いた方は、ありがとうございます。
色々とお手数おかけしてしまっていますが、事態の終息に向けて動いていますので今しばらくお待ち頂ければと思います。

Symantec にも誤検出の報告をしておきました。

それにしても 昨日は日曜日にも関わらず 、Kaspersky の対処が速いです。

そろそろライセンスが切れるから、今年もKasperskyかな。

誤検出じゃねぇな。パターンにマッチするから報告する　それはプログラミングされた動作どおりの正常な検出結果だ。

最初はアバストとカスペルとG Dataだけだったのが、ほかのアンチウイルスソフトまで反応するようになってますね（汗

>>35866
それを誤検出というのではなくて

Symantec での 検出名が Trojan.Gen から WS.Reputation.1 に変化したようです。

WS.Reputation.1
ttp://www.symantec.com/ja/jp/security_response/writeup.jsp?
docid=2010-051308-1854-99

Virus Total
ttp://www.virustotal.com/file-scan/report.html?
id=5be006544f3ad36abb0fa10efec06f11f4fb38f0c49e8c03ba8927f6d0cbc44a-1289987197

File name: hsp322upd.zip
Submission date: 2010-11-17 09:46:37 (UTC)
Current status: finished
Result: 11 /42 (26.2%)

Antiy-AVL 2.0.3.7         2010.11.17 Trojan/Win32.Agent
AVG       9.0.0.851       2010.11.16 Agent2.BTVO
eSafe     7.0.17.0        2010.11.16 Win32.TRAgent.Frcb
Fortinet  4.2.249.0       2010.11.15 W32/Agent.FQBN!tr
Panda     10.0.2.7        2010.11.16 Suspicious file
Rising    22.74.02.03     2010.11.17 Dropper.Win32.Undef.GEN
Symantec  20101.2.0.161   2010.11.17 WS.Reputation.1
TheHacker 6.7.0.1.086     2010.11.17 Trojan/Agent.fqzz
VBA32     3.12.14.2       2010.11.16 Trojan.Agent.fqbn
ViRobot   2010.11.17.4152 2010.11.17 Trojan.Win32.S.Agent.1003520.A

HSP3.22製ソフトウェアはPanda以外の誤検出はなくなったようです

皆さんのご協力もあり、HSP3.22についての誤検出は終息してきています。
実際にベンダーに報告を上げて頂いた方、色々と調査して頂いた方はありがとうございます。
一部のベンダーではまだ(特にhsp3hg.exe)検出されることがあるので、引き続き要請をしていきたいと考えています。

AVG Anti-Virus free 8.5.449　データベース271.1.1/3269で、
再び、3.21a2、3.22がトロイの木馬Agent2.BOWFに感染と判定さ
れました。

少し前の数日間は、ご認識として対応されていたらしく、スキャン
などで感染されているという判定は出なくなってたので、新しい
データベースで再び、感染と判定されたようです・・・。

念のため、ネットから３．２２アップデータをダウソしなおして、
チェックをかけたとところ、hsp3.exeが、やはりこちらでも感染と
判定。

ただ、こっちだと、なぜか、トロイの木馬Agent2.BTVOと、判定内容
が違います・・・。

国産プログラミング（スクリプト）言語はどうも誤検知されやすいのか？

-----------------------------------------
【ruby Ver 1.9.2 mswin32】
File name: ruby-1.9.2-p0-i386-mswin32.zip
Submission date: 2010-11-21 12:18:39 (UTC)
Current status: finished
Result: 1/ 25 (4.0%)

ttp://www.virustotal.com/file-scan/report.html?
id=5bda37a6837e0512b726f67ef8cd8e8a1148e0030f78896bf3e5f35a411bec26-1290341919
-----------------------------------------
【なでしこ Ver 1.5331】
File name: nadesiko_1_5331.zip
Submission date: 2010-11-21 12:10:18 (UTC)
Current status: finished
Result: 4/ 42 (9.5%)

ttp://www.virustotal.com/file-scan/report.html?
id=1460f0abd9237cf604665c36e03cc2bf36b73d352ddd8f092f259b2fcbe58768-1290341418
-----------------------------------------
【HSP Ver 2.61】
File name: hsp261.zip
Submission date: 2010-11-21 11:36:34 (UTC)
Current status: finished
Result: 11/ 41 (26.8%)

ttp://www.virustotal.com/file-scan/report.html?
id=e6a8329e2e3b64451cc3040b17c3f49fee555e58acfa3568154c994f33d39a49-1290339394
-----------------------------------------
【HSP Ver 3.1】
File name: hsp31.zip
Submission date: 2010-11-21 11:58:13 (UTC)
Current status: finished
Result: 2/ 35 (5.7%)

ttp://www.virustotal.com/file-scan/report.html?
id=e41db38c5a191f57886d963810941b058ad422e4c60bf272a6c3ad8a0730c4c9-1290340693
-----------------------------------------
【HSP Ver 3.21】
File name: hsp321.zip
Submission date: 2010-11-21 11:44:59 (UTC)
Current status: finished
Result: 1/ 33 (3.0%)

ttp://www.virustotal.com/file-scan/report.html?
id=df6940b9ea279198b18542578ba297d31d98e231419ffb6eab7ab3fda844a301-1290339899
-----------------------------------------
【HSP Ver 3.21a2】
File name: hsp321a2.zip
Submission date: 2010-11-21 11:43:37 (UTC)
Current status: finished
Result: 25/ 43 (58.1%)

ttp://www.virustotal.com/file-scan/report.html?
id=d2c956adad4bcd1efe0aca185aabe1fd1adeb16e7eae0f5da4bff6ffd7590a30-1290339817

HSP3.22 アップデータで Symantec での検出名が、
Trojan.Gen から WS.Reputation.1 に変わっただけで、
直っていないようなので再度報告しておきました。

HSP3.22アップデータについてAVGに報告(木曜日にメール送信)したところ、
誤検出ということで対処していただきました。
現在は大丈夫なようです。

他社と違い誤検出を詫びるメール(英語)がわざわざ来たのでちょっと驚きました。

それに対しシマンテックにも送りましたが、音沙汰がまったくありません。（2回目）
こんなサポート体制の企業がAmazonの売り上げ順で一位だなんて・・・

Amazon.co.jp ウイルス対策・セキュリティのベストセラー
http://www.amazon.co.jp/gp/bestsellers/software/1040116/ref=pd_ts_sw_nav

inovia さん、みなさんレポートお疲れさまです。

ここに集まっている情報はとても価値があるものだと思います。
また、副次的に各ソフト会社の対応を知ることができて面白く、
たしかに次のソフト購入判断の材料になる面があるという気がします。
（余談：AVG、ちょっと好印象。最近買った英語版ノートには最初からAVGが入ってました）

おにたまさんへ

この「公式HSP3掲示板」とまったく同じフォーマット（色だけ変えたもの。
不要な機能はぜんぶ削除したもの。また通常の掲示板より削除規定がきびしく
本題に関係ないものはどんどん削除）で、
新規トピ立てを不可能にした、ウイルス対策ソフトベンダー（メーカー）別で
さいしょからトピックがそろっている、「ウイルス対策ソフト用情報掲示板」を
設置するのはどうでしょうか。（各社の連絡先一覧も併記する？）

HSPユーザーサイドの情報を集約するだけでなく、
ウイルス対策ソフト各社の担当自身がそれをチェックして対処できるようになる
実質的に役に立ち、なおかつプレッシャーにもなるデータベース的報告掲示板です。

また、HSP製ソフト開発者は、自分の作ったソフトのreadme.txtや自分のホームページから
「誤検出に関しては、詳しくはこちらをご覧ください（リンク）」
で済ますことができるような公式ページURLの設置。

これまでの情報として、過去掲示板に書き込まれたものや、
「おぼえがき」で述べられた情報も集結。

コンテスト作業が完全終了して時間ができたときに、いかがでしょうか。


本当はこういうのは言い出した者がやるのがいいのですが、
内容が安全に関することなので、どうしても情報の信頼性ということで
オフィシャルなハンドルと設置が良いように思えます。
（wiki形式や通常掲示板にまざるよりも。）

（以下、ひとりごと）
当初は、こんなことはウイルス対策ソフトメーカー側が勝手に生み出してきた問題だから
それに おにたまさん が作業時間を費やされたり、善良なHSP開発者があらぬ疑いを
かけられたりすることに怒ってもいたのですが、
「ピンチはチャンス」と考えると、
こういった問題にきちんと対処していける実績や姿勢をみせることで、
HSPのステータスが一段うえにレベルアップする好機なのかもしれないと
思ったり思わなかったり。
新規のひとたちが小さな言語に関して
「せっかく苦労しておぼえてもいつなくなってしまうのか不安」
とか「大きな問題が起きたときオフィシャルな対処はあるのか」
という疑問を抱いたときに、安定感や安心感をあたえることは、
「じゃあHSPをおぼえよう」とか、友達に「HSPをすすめよう」
という根拠になっていくのかなと思いました。


流れて散逸してしまうログや各自のメールのようなものを
データベース的掲示板というカタチで残すのは将来のためにもいいかと思いました。

最初の掲示板設置だけ手間はかかりますが、
そのあとは、各ユーザーが報告や活動をし、
おにたまさん自身の手が煩わされないシステムができるといいと考えました。

HSP Ver.3.2 マイナーVer.7において
NISによる実行ファイルのスキャンは誤検知無しでした。

>>当初は、こんなことはウイルス対策ソフトメーカー側が勝手に生み出してきた問題だから

・・これは、ちょっと違うのでは？

対策メーカーからみれば、毎日毎日新しいソフト作成され、毎日毎日新種のウイルスが出て
います、そして毎日毎日誤検出では無いかと報告されているでしょう。

いちいち、そのソフトをダウンロードして検証している（のかな）わけですから、各社が連
携したとしても相当の労力がかかるでしょう。（多分世界規模で）

なので、（世界的にみて）マイナーなソフトは対応が遅れるのは仕方ないことです。
対策メーカーが”生み出した”問題でも何でもありません。

誤検出専用の掲示板は確かに意味は有りますが、対策ソフトの担当者がわざわざ見るでしょ
うか？　ＨＳＰがもう少し幅を利かせるようになれば見てくれるでしょう。

色々とご報告ありがとうございます。
virustotal.comを見た限りでは、現在のところ主要なアンチウイルスソフトでの誤検出はなくなっています。
各社に報告を上げて頂いた皆様、ありがとうございました。
Antiy-AVL、Jiangmin、Fortinet、Panda Security、Kingsoftにおいてはまだ検出されていて、こちらはベンダーに連絡済みですが何の返答もない状態です。
(The Hackerは連絡先が不明のためコンタクトの手段がありませんでした)

今後もまた同様のトラブルが頻発する場合には、連絡や情報を集めたページを用意することも検討していきたいと思います。