シマンテックは、同社のウイルス対策ソフト「Norton AntiVirus」シリーズで圧縮・展開ソフト「Lhaplus」を誤検出してしまうことを明らかにした。6月3日付のウイルス定義ファイル「2005/06/03 rev.35」を適用した場合に発生するという。同社では6日に修正した定義ファイル「2005/06/05 rev.37」を公開した。
Lhaplusは、外部DLLが不要で、LZH/ZIP/CAB/RARなど20種類以上のアーカイブ形式を扱えるフリーソフト。作者のSchezo氏によれば、Lhaplusの構成ファイルである「Setup.exe」と「Uninst.exe」が「Trojan.Dropper」に感染していると検出されてしまう問題を確認したという。
Schezo氏が検証したところ、Lhaplusのプログラム中で「System.ParamStr」というコマンドラインに指定されたパラメータを取得する関数を使用するとウイルスとして検出されることがわかった。例えば、System.ParamStr使用している場合、EXEファイル名をメッセージボックスに表示させるだけのプログラムでもウイルスとして検出されてしまうという。Schezo氏は、System.ParamStrを使用しないLhaplus(バージョン1.51a)を用意し、自身のWebサイトで公開している。
関連情報
■URL
Norton AntiVirusの誤検出について
http://park14.wakwak.com/~schezo/nav/
シマンテック
http://www.symantec.com/region/jp/
関連記事:Lhaplus[窓の杜]
http://www.forest.impress.co.jp/lib/arc/archive/archiver/lhaplus.html
関連記事:「Norton AntiVirus 2005」にて「Lhaplus」v1.51へウイルスが混入しているとのアラートが表示される件について[窓の杜]
http://www.forest.impress.co.jp/announce/20050606.html
( 鷹木 創 )
2005/06/06 18:17
- ページの先頭へ-
|