A5:SQL Mk-2

開発のこと、日々のこと

悪用される可能性のあるソフトの検知について

ホーム フォーラム A5:SQL Mk-2掲示板 悪用される可能性のあるソフトの検知について

5件の投稿を表示中 - 1 - 5件目 (全5件中)
  • 投稿者
    投稿
  • 2021/09/17 17:20 #9660 返信
    otoro
    ゲスト

    こんにちは。いつもお世話になっております。1日に何度もすみません。
    タイトルの通り、カスペルスキーのファイル保護にてユーザーに損害を与える目的で悪用される可能性のある正規のソフトウェアが検知された件で、念のため問題がないかご確認していただきたいです。
    使用したファイルは「a5m2_2.17.0_beta10_x64.zip」です。
    イベント: ユーザーに損害を与える目的で悪用される可能性のある正規のソフトウェアを検知しました
    ユーザー: <マシン名>\<ユーザー名>
    ユーザー種別: アクティブなユーザー
    アプリケーション名: A5M2.exe
    アプリケーションのパス: <A5M2のパス>\a5m2
    コンポーネント: ファイル保護
    結果の説明: 検知
    種別: 損害を与える可能性があるソフトウェア
    名前: VirTool.DOS.TPE
    精度: 完全一致
    危険性: 中
    オブジェクト種別: ファイル
    オブジェクト名: bkfile_0F15E2FC147C0D7E66
    オブジェクトのパス: C:\Users\\<ユーザー名>\AppData\Local\Temp\[\<ユーザー名>]\A5M2-Backup-6A5194174B444787297785A71DC45C6
    MD5: 53A2165D7BED4ABEE962A47315DC84D2
    理由: エキスパートによる分析
    定義データベースの公開日時: 昨日(2021/09/16 18:40:00)
    https://threats.kaspersky.com/en/threat/VirTool.DOS.TPE/?utm_source=kis_21.3.0&utm_medium=inp&utm_campaign=en

    2021/09/19 17:32 #9674 返信
    松原正和
    キーマスター

    otoro さんこんにちは。
     
    とりあえず、VirusTotal (https://www.virustotal.com/gui/file/1111e3c0289a27ad5628fa44cc8103c6ccb4f86c7ea8737512b4ff871544e62e) でのチェックでは Kaspersky も含めて、異常は検出されません。また、ベータ版も含めてすべての公開されているA5:SQL Mk-2のバイナリはその時点の最新版のアンチウィルスでチェックされています。(同梱のVirusCheck.txt)

    念のため、該当のA5M2.exe(バックアップフォルダに移されている?)のMD5, SHA256チェックサムを教えていただけますか?。公開されている a5m2_2.17.0_beta10_x64.zip に同梱のA5M2.exeは以下の値となります。

    md5: af2860daf2ed195f5ce5a84bbb5ccc3d
    sha256: 73ec099659a19355f0c79425dc76b8e81f3ea78ba4466633b560f934ef4dcb46

    「ユーザーに損害を与える目的で悪用される可能性のある正規のソフトウェア」というのもよく分からない表現ですが、SQLクライアントはDBを書き換えられるので、悪用可能という判断なのかも?、でも、SQLクライアントはすべて検出されてしまうとしたらちょっと乱暴ですよね。

    VirTool.DOS.TPE は、25年以上前のウイルスのようですが … MS-DOS あるいは、Windows 9x 向けのウイルスっぽいですね?完全一致となっていますが…よく分かりませんね。

    2021/09/21 13:01 #9686 返信
    otoro
    ゲスト

    こんにちは。いつもお世話になっております。
    ご確認ありがとうございます。A5M2.exe のチェックサムは一致しておりました。
    A5M2本体というよりは、何かの機能で起動時にTemp配下に生成されるファイルが引っ掛かったようです。Control.datを掴んだままにすると起動時に「前回異常終了したセッションのバックアップを復元しますか。」と出るのでその辺りの機能かと思います。
    検体も隔離されたあとA5M2終了時に削除されてしまったようで残っていません。
    たまたま古いウイルスに完全一致してしまったのでしょうか。
    もう少し様子を見て、再検知されるようでしたらまたご報告いたします。
    ありがとうございました。

    2022/05/06 14:35 #10372 返信
    nerine
    ゲスト

    お世話になっております。
    本日、カスペルスキーで同様の現象に遭遇しましたので
    念のためお知らせいたします。

    アプリケーション: A5:SQL Mk-2 (SQL Development Tool/ER Diagram tool)
    ユーザー: ________\_____ (アクティブなユーザー)
    コンポーネント: ファイル脅威対策
    結果: 検知: VirTool.DOS.TPE
    オブジェクト: C:\Users\_____\AppData\Local\Temp\[_____]\A5M2-Backup-2C6E5CABB507F5C19222ECEC45A60B\bkfile_0647D697D7CC80775
    理由: エキスパートによる分析
    定義データベースの公開日時: 2022/05/01 17:32:00
    ハッシュ: 751f7c8cd37f4a578fbd28e003e42d79788b27707d0742dcba1490ea9949f546

    やはり「exe本体」ではなく
    A5M2起動中にTempフォルダにできるバイナリファイルが
    引っかかったようでした。

    2022/05/08 17:48 #10378 返信
    松原正和
    キーマスター

    nerine さんこんにちは。
     
    ご報告ありがとうございます。

    temp フォルダ配下に作成されるファイルは、A5:SQL Mk-2のプロセスが異常終了したあと、次に起動したとき、ファイル編集内容を復元するために使用されます。
     
    内容としては、開いている各タブの内容を AES256 で暗号して保存したものになります。このため、実質内容は乱数のバイナリファイルと同じようなものであり、どんなバイト列でも生成され得る可能性はあります。(何バイトの一致をもってウイルスと一致したと判定するのか気にはなります。)
     
    もし気になるようでしたら、オプションダイアログから「次の感覚で、自動回復用データを保存する」のチェックを外すと生成されなくなります。
     

  • 投稿者
    投稿
5件の投稿を表示中 - 1 - 5件目 (全5件中)
返信先: 悪用される可能性のあるソフトの検知について
あなたの情報:




コメントは受け付けていません。