« 自動車評論家の国沢光宏先生が2ch車版の国スレに登場? | トップページ | コストコ記(nuvi1365,MacbookPro,Jabra EASYGO)[2011/05/28] »

2011/05/31

ClamAV/Clamwin/Clam Sentinelで検出されたファイルをVirusTotalで検査してClamAVに報告する方法

オープンソースのウィルス対策ソフトであるClamAV/Clamwin/Clam Sentinelは商用利用も可能だったりサーバーで使えたりと便利に使えるソフトなのですが,誤検出が多いのも事実のようです.
今回は,ClamAV/Clamwin/Clam Sentinelで検出されたファイルが誤検出か調べ,誤検出であればClamAVに報告するまでの方法をまとめてみました.

ウィルス対策ソフトがウィルスだよと言うとそのまま信じてしまいそうですが,かなり有名なフリーソフトのsetup.exeがウィルスだよというと「そりゃないだろう」と思ってしまいます.
とりあえず,そのファイルがウィルスであるかどうかはvirustotalというwebでチェックをしてみることにします.

今回Clamwinで検出されたファイルはログを見ると,
C:\PROGRAM FILES\*******\SETUP.EXE: Trojan.Downloader-35380 FOUND
となっていたので,このファイルをVirusTotalにアップロードしてチェックしてみました.すると,以前に同じファイルがアップロードされていたようで,前回の記録を見るとこんな感じになっていました.

Virustotal

これはsetup.exeではなく,もう一つ検出されたuninst.exeです.ClamAV以外はスルーしてますね.これでほぼ誤検出であることが判明しました.setup.exeもreanalyseすることで最チェックできます.最チェックの結果もやはり同じです.

ということで,今度はClamAV側にこのファイルが誤検出だと報告します.まずはClamAV内のSubmit a fileに接続します.

ここを読むと,あまりにも提出が多すぎるので検体の提出は1日2つ以上は受け付けないとか,大量の提出をするならLucaにコンタクトを取ってと書いてあります.

1日1個程度のファイルの提出であれば負担にならないようなので,一番下にあるsubmission formへ移動して報告します.

ここではPUAの場合は誤検出の提出をするなと書いてあります.Clam Sentinelの日本語化の際にPUAは出てきていたのですが,Possibly Unwanted Applicationsの略で望ましくない可能性のあるアプリケーションを意味するようです.ClamAVのwebにFAQとして載っていました.これらの種類のアプリケーションをPUAsとしているようです.

SophosではPUAに関して次のような定義になっています.

また,blog僕は見ていたではclamAVのPUA検出について詳しく書いてありました.

私が使っているClam SentinelではPUAを検出するかどうかを選択できるので,PUAを検出しない設定にして運用しています.

で,PUAでない誤検出のファイルを提出するには,次の項目を埋める必要があります.

赤の*印は絶対必要な項目で,Your nameは名前,Your name addressはメールアドレスを記入します.メールアドレスはStay anonymousにチェックを入れると匿名でいいのかな.
Attach raw message containingに後検出されたファイル名を選択して,Virus NameにはClamAV側が後検出した名前(今回だと「Trojan.Downloader-35380」)をコピーします.
次が重要で,「The file attached is:」には,
「A false positive: it is detected as a virus by ClamAV, but it is not malware (please do NOT encrypt the sample as it makes the review process slower)」
を選択します.これはClamAVでウィルスと判定されたけどマルウェアじゃないよという意味です.あくまで誤検出なのでファイルの暗号化はしないでいいと書いてあります.
その後,PlatformにOSを選択します.誤検出なので,残りの項目は「Where does this file come from?」を記入するくらいでしょうか.最後に「submit」ボタンを押してしばらく待つと送信完了となります.

ClamAV/Clamwinは誤検出が多くて使いものにならないと言っている人は是非誤検出ファイルを提出するようにお願いいたします.

追記[2011/06/01] 昨日submitしたファイルですが,翌日Virustotalでチェックしたところ,Clamwinでは反応しなくなっていました.これで1日1個ずつでもsubmitしていけば今より大分誤検出が減ってくれるのではないかと期待しています.

« 自動車評論家の国沢光宏先生が2ch車版の国スレに登場? | トップページ | コストコ記(nuvi1365,MacbookPro,Jabra EASYGO)[2011/05/28] »

パソコン・インターネット」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

コメント

この記事へのコメントは終了しました。

広告


  • Googe Adsense

Ad




  • ネットショップ

Googleで検索

2016年6月
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30    

SNS

アクセス解析