A certain engineer "COMPLEX"

開発メモ その24 Norton Internet SecurityにDebugビルドの自作アプリがウイルス扱いされたので文句を言ってみた

デバッグできない


RedArmoryの開発中ですが、掲題の通り、Debug版をビルドした瞬間に、Norton Internet Security (以下NIS) の自動保護機能が作動してobj\Debug内のバイナリが削除されてしまい、デバッグができなくなりました。

仕事しましたよ(キリッ)

Release版だと無事なので良いのですが、何だか釈然としませんので、Nortonに文句を言ってみました。

誤検出の申請をしてみる


ググってみると、日本のコミュニティが見つかりますが、案内されたページは英語の模様。
何のための日本法人なのか...

まずReport a Suspected Erroneous Detection (False Positive)にアクセスします。

いつ発生?


最初のページです。
報告する現象がいつかを選択します。

上から、

      A1 - When downloading or uploading a file

          ファイルのダウンロードまたはアップロード中
      A2 - While using an application

          アプリケーションの使用中
      A3 - When installing an application

          アプリケーションのインストール中
      A4 - When browsing the web

          Webの閲覧中
      A5 - During a scheduled scan, or during a scan I requested

          スケジュールされたスキャンの間、または自分で要求したスキャンの間
      A6 - When sending or receiving email

          メールの送信中または受信中
      A7 - While writing or reading files to/from a storage device

          ストレージデバイスへ/からファイルを書き込み/読み込みしたとき
      A8 - Don't know, am unsure, or the options provided do not apply

          わからない、不確か、または選べる選択肢がない

今回は、Visual Studio がファイルを書き込んでいるときなので、A7を選択しました。
選択したらNextを押します。

どの製品で発生?


どのNorton製品を使っているかを選択します。
View screenshot があるので、それを見て自身の使用製品を判断することもできます。
私はNISでしたので、B5を選択しました。
選択したらNextを押します。

どういう仕組みで発生?


どういう方法で検出されたのかを選択します。

上から、

      C1 - Download/File Insight (Reputation Based Detection) e.g. WS.Reputation.1, Suspicious.Insight, WS.Malware.* – View screenshot

          ダウンロード/ファイルインサイト (レピュテーションベースの検出)。例えば、WS. Reputation.1、Suspicious.Insight、WS.Malware.*
      C2 - SONAR (Behavioral Heuristics Detection) e.g. SONAR.Heuristic, Bloodhound.SONAR.* – View screenshot

          SONAR (振る舞いヒューリスティック検出)。例えば、SONAR ヒューリスティック、Bloodhound.SONAR
      C3 - Auto-Protect (File Based Detection) e.g. Trojan.*, Trojan.ADH, Suspicious.Cloud.*, Downloader, Hacktool, Suspicious.* – View screenshot

          自動保護 (ファイルベースの検出)。例えば、Trojan.*、Trojan.ADH,、Suspicious.Cloud.*、ダウンローダー。ハックツール、Suspicious.*
      C5 - IPS (Network Intrusion Detection, Vantage) e.g. "Web Attack", "Malicious Site: Malicious Web site, Domain or URL" – View screenshot

          侵入防御システム (ネットワーク侵入検知)。例えば、Web Attack、Malicious Site: Malicious Web site, Domain or URL
      C7 - SafeWeb (Phishing URLs, Malicious Web Pages) – View screenshot

          セーフWeb (フィッシングURL、悪意のあるWebページ)
      C11 - Don't know, am unsure, or the options provided do not apply

          わからない、不確か、または選べる選択肢がない

Nortonの場合、File Insight、自動保護、SONAR等検出の方法は多岐にわたります。
View screenshot があるので、それを見て自身の判断することもできます。
私の場合は、自動保護だったので、C3を選択しました。

詳細な情報は?


最後のページです。

Step1で、検出したファイルを提出します。Submission Typeを Upload File を選択。
大抵、自動保護を一時的に無効にしているはずなので、先に記入を済ませてから、ファイルを選択すると良いでしょう。
でないと、記入中にファイルを消されます。

Step2では、検出した情報についての記述です。
下記の項目は、Nortonの活動記録の画面を見て入力してください。

      Name of the software being detected:

          検出されたソフトウェアの名前
      Name of detection given by Symantec product:

          Symantec製品によって検出された名前

しかし、次の項目が少しわかりにくいです。

      Important: File quarantine, product clipboard information or additional details:
      • If the information is more than 20000 characters, please create a log file and send that along with the file submission.

          重要: ファイル検疫、製品クリップボード情報または追加情報。もし、20000字以上の情報ならば、ログファイルと付随ファイルを提出してください。

説明の下に Instructions リンクがあるでのクリックすると、下記の内容が記されたポップアップが表示されます。

Symantec Endpoint Protection Users
Simply click on View Quarantine and provide the "Original Location" listed for the quarantined file(s).

Norton Internet Security/AntiVirus/360 Users
From Advanced view, select History and use "Quarantine" filter. Click on the activity, then "More Details" and "Copy to Clipboard". Now you can simply paste the content here.

これに従うと、製品クリップボード情報が入手できます。
まず、セキュリティ履歴から、状態が検疫済みになっている、項目を選択します。

次に、その他のオプションをクリックします。
右下にクリップボードにコピーとあるのでクリックします。

コピーされた内容を先ほどのテキスト入力エリアに貼り付けます。
内容は、検出されたウイルス名等ですが、ファイルのフルパスなどがあるのでご注意を。

Step3では、報告者である自分の情報を書きます。名前とメールアドレスになります。
3つめの項目の Are you the creator or distributor of the software in question? は、あなたは質問のソフトウェアの作者か配布者ですか? という意味です。私はファイルの作成者なので Yes を選択しました。

最後のStep4では、最終確認です。最近おなじみのCAPTCHAです。
CAPTCHAを入力する前に、チェックボックスにチェックをつける必要があります。
Please provide as much information as possible. Submissions with insufficient detail will be rejected. は、可能な限り詳しい情報を提供してください。不十分な情報と一緒に提出されたものは拒絶されます。とありますです。特に脅し文句ではないのでご安心を。

AnwserにCAPTCHAを入力してSubmitで報告です。お疲れ様です。

結果


は、まだです。どうも結果は返ってこないご様子。
何かありましたら、報告いたします。
とりあえずは、Nortonのスキャン対象からパスを除外する方法で対処します。

コメントを残す

メールアドレスが公開されることはありません。

%d人のブロガーが「いいね」をつけました。