« | »

2023.06.20

Microsoft Defenderの誤検知?

 

肩が痛くて眠れない夜。

 

Microsoft Defenderでフルスキャンをしていたら、突然
「trojan:script/wacatac.h!ml」を検出。

 

 

 

 

 

 

 

 

 

 

 

.

 

 

重大!検疫、削除、デバイスで許可のいずれかを実行しろと出る。

 

ところがこの影響を受けた項目というのが、
10年以上前のバックアップの中にあるMovable Typeのindex.php。

 

そしてふと疑問が…
見つけたのなら、なぜ隔離か削除しない?
普通こういうアンチウイルスソフトって、自動でやってくれるんじゃないの?
無料だから手動でやれって?

 

とりあえず、ウイルスバスター30日間無料版を入れてみて、
同じくフルスキャンをしてみることにした。

 

すると、なにも検出されない。
個別に、検出されたファイルもスキャンしてみるが、何も出ない。

 

誤検出か?

 

まぁ、何も無いのならいいやってことで、ウイルスバスターさんお役目ご苦労様と、
アンインストールさせていただこうとしたら、途中ウイルス対策されてないよ?
とMicrosoft Defender君がひょっこり顔出して動いてくれたのか、
途中でアンインストが止まってしまい、ファイルの残骸が残されたまま終了。

 

再インストールしてやり直せばいいかもよ?と出たので、
仕方なくもう一度再インストールを実行。
しかし、その残った残骸が引っ掛かり、インストールが進まず、またまた終了。
アンインストールツールを使ってやり直してね?って言われたので、
ツールをDLしてもう一度やり直し。

 

しかし、やはりその最初に残った残骸なのか、どうにも進まない。

 

仕方ないので、インストールされたアーカイブフォルダを探して、手動でゴミ箱へポイ!
ツールなんていらねーじゃん!とぶつぶつ言いながら、やり直す。

 

やっと無事にインストール、アンインストール成功。

 

再びMicrosoft Defenderに戻るが、
「脅威が見つかりました、対処が必要」
「アクティブな脅威は軽減されておらず、お使いのデバイスで実行されています。」と出る。

 

検疫、削除を実行するまで消えないのね…

 

書かれてある通り、検疫をしてみる。
変化なし。

 

じゃー削除すればいいの?
なにも変化なし。

 

隔離されるであろうフォルダを覗いても何も入ってない。
削除しても、消えてない。

 

なんじゃこりゃああああ!!

 

そうだ!Microsoft Defenderのバージョンが古いのかも!
よし更新だ!

 

最新のセキュリティインテリジェンスに更新して、も一度フルスキャンしてみる。

 

はい!何も変わりません!!!!

 

どうしたらぁぁぁぁぁぁあああああ…

 

調べてみると、オフラインスキャンや、
スキャン履歴を消すといいとあったので、試してみることに。

 

まず、オフラインスキャンしても変わりませんでした。

 

次に、スキャン履歴を消すことに。
DetectionHistoryフォルダごと削除してみました。
(自己責任です。)

 

やっと、「脅威が見つかりました、対処が必要」が消えました。

 

セキュリティインテリジェンスは最新に更新してある。
よし!もう一度フルスキャンだ!

 

現在の脅威はありません。

 

長かった…

 

誤検知ってことでいいよね?

 

twitter で嘆いていたところ、禿童さんが、
Movable Type自体が、脆弱性チェックでひっかかるということを教えてくれました。
なるほど、たしかに騒がれてました!!
教えてくれてありがとうございました。

 

 

Trackback URL

Comment & Trackback

No comments.

Comment

   


   


   



XHTML: You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>