2019年9月4日水曜日

ThinApp アプリが Windows Defender でマルウェアとして判定(誤検知)されてしまった場合の対処方法

ThinApp したアプリが Windows Defender でマルウェアとして判定(誤検知)されてしまった場合の対処方法

はじめに

私の環境で起こった事とその時の対処方法を備忘録として
ここに残しておきたいと思います。
※免責事項
 本当にマルウェアの場合もあると思いますので、このブログに書かれていることを
 鵜呑みにしないでください。
 このブログを読まれた方 ご自身の冷静な判断で対処するようにしてください。
 私は一切責任を取ることができませんので。

サマリー

  1. 突然Windows Defenderによりマルウェアとして検知される。
    昨日までは問題なかったThinAppアプリがWindows Defenderで
    マルウェアとして検知される。
  2. マルウェアが混入していないかドキドキが止まらない。
    PC全体や仮想アプリ作成環境、アプリの開発環境、ThinAppプロジェクトをスキャンしても問題なし。少し安心。
  3.  Windows Defender の誤検知の可能性を疑う
    Microsoft Windows Defenderの報告窓口Webから検体を提出https://www.microsoft.com/en-us/wdsi/filesubmission

  4. 数時間後に問題なしとの分析結果
  5. パターンファイルを更新すると問題は解決。
  発生から終了まで、5時間位の出来事です。

 

事件発生

ThinApp化した仮想アプリが、ある日突然 Windows Defenderでマルウェアとして判定されてしまい、隔離されてしまいました。

ThinApp化したEXE自体は、私が作ったアプリケーションでソースコード含め
私がコーディング、コンパイルしている物です。
マルウェアが混入する余地は、殆ど無いと思ってはいますが、
依存しているライブラリに脆弱性が含まれる事も考えられるため
・PC全体
・ThinApp化する前のEXE
・コンパイル環境
・ThinAppプロジェクトフォルダー全体
・ThinAppSetupCapture全体
Windows Defenderでスキャンを行いました。
結果、マルウェアは検出されませんでした。


検知内容

Behavior:Win32/DefenseEvasion.LR!ml

Windows Defender のバージョン

Windows Defenderの誤検知の可能性が高いと判断し
Microsoftに連絡をすることにしました。

Microsoft への検体提供と連絡

Microsoft Defenderは、誤検知と疑われる場合や、マルウェアと疑われるファイル(EXE等)を報告するサイトがあります。
https://www.microsoft.com/en-us/wdsi/filesubmission
※要 Microsoftアカウント


「Software developer」を選択しました。
自分でコーディング、コンパイルしたEXEをさらにThinAppで仮想アプリ化しているので。

必要事項を入力してContinue
・Company Name (会社名を英語で入力)
・Select the file (検知されたファイルをアップロード)
・Do you believe this file contains malware?
   貴方は、このファイルにマルウェアが含まれていると信じますか?
 No
・Select the Microsoft security product used to scan the file
Windows Defenderの環境を選択
・Detection name
検知された名称を入力
・Definition version
Windows Defenderのバージョンを入力
・Additional information
追加の情報を英語で入力



受付が終わると、詳細ページが表示される。
数時間待つと、結果が更新される。

Microsoftからの分析結果の連絡 

今回は、約4時間後にメールにて通知がきました。
何日も掛かると思っていたので、思ったより速い対応で驚きました。


リンク先を表示すると
Statusが完了(Completed)になっていて、
Analyst Comments(分析者のコメント)が書いてあります。
We have removed the detection. 
私達は判定を削除しました。→検知しないように判定を消した。ということは、
誤判定ということで、疑いが晴れました。
その後、パターンファイルを最新に
更新する方法が載っています。
 

最後に。

マルウェアは多種多様なものや亜種が大量に発生しています。
その中で、アンチウィルスソフト側も頑張っていると思いますが
どうしても、疑わしきもの(誤判定)は発生してしまうのも致し方ないと思います。

大切なポイントは、誤判定が起こったと思わしき時に、ユーザーが連絡する手段と解決までの時間が最も重要だと思いました。

その点で、Microsoft Windows Defenderは、窓口もわかりやすいですし
対応速度もかなり速く大満足です。

最後に、私のWindowsを守ってくれてありがとう!!



ラベル: , ,