More from: トロイの木馬

ジョージアからかぁ、、、

最近ユーザーのPCに大量のトロイの木馬入りメールが来るようになった。
タイトルも本文も一見しただけでは取引のメールそのものだし、差出人名も実際にメールのやり取りをしたことのある会社の担当者になっているものもある。
おかしいのは添付ファイル名が文字化けしているくらいなもの。
これなら騙されてしまう人が出ても仕方が無いかと思われる。
送信経路を辿ろうとしてその中の一通を見せて貰い、From行を見ていると最初に発信したデバイスのIPアドレスは”188.129.255.141”となっていた。
ググってみるとホスト名は”host-188-129-255-141.customer.magticom.ge”となっていて、TLDからジョージア(旧呼称グルジア)に割り当てられたアドレスの様だ。
そこからいきなり日本のメールサーバーを経由して来ているらしいところまではすぐに判明した。
一応そのIPアドレスはブロックしたが、まだまだ沢山あるんだよなぁ(汗)。

←クリックしてくれると嬉しいです。

AVGにPhotoshopの”ImageReady.exe”をトロイと判定させない方法

昨日からAVG(2011と2012)がPhotoshop6.0の実行ファイルの一つである”ImageReady.exe”等をトロイの木馬として検出してしまうが、これを検出しなくする方法が一応ある。
単に常駐シールドの例外に設定するだけなのだが、そうした場合に実際にウィルスに感染しても検出されないのでリスクもある。
AVG2012での設定方法は下記の通り。
・AVGユーザーインタフェースを起動し、メニューの「ツール」から「高度な設定」を選択する。
・左ペインの「常駐シールド」左の”+”をクリックしツリーを展開する。
・そうすると「例外」の項目が出てくるのでそれをクリック。
・右ペインの右にある「パスを追加」のボタンを押し、Photoshop6.0がインストールされているフォルダ(標準では”C:\Program Files\adobe\Photoshop6.0″)を選択して「OK」をクリック。
・もしくは「ファイルを追加」ボタンを押して”ImageReady.exe”を選択(標準では上記のフォルダ内にインストールされている)して「OK」をクリック。
・例外に追加されたら右下の「OK」ボタンを押す。
と、これで完了だが、「ファイルを追加」の場合はさらにインストールフォルダの下の”\Samples\Droplets\ImageReady Droplets”フォルダ内の各ファイルを指定する必要がある。
ただし、AVGはこのフォルダ内のファイルも全てトロイの木馬として検出して隔離してしまうことがあるので、既にファイルが無くなっているかもしれない。
その場合はファイルの復元が必要になるので、下記の手順で復元させる。
・AVGユーザーインタフェースの「履歴」メニューから「ウィルス隔離」をクリック。
・左ペインの「ウィルス隔離」を選択。
・右ペインに隔離されたファイルが表示されるので、インストールフォルダの下の”\Samples\Droplets\ImageReady Droplets”内のファイルを選択し「復元」ボタンを押すと元の場所にファイルが復元される。
以上の手順でPhotoshop6.0は元のように使えるようになると思う(少なくとも私が試したところではきちんと動作するようになった)。
ただ、最初にも書いたがこの設定はAVGにウィルス検出をさせなくするので、設定対象としたフォルダまたはファイルが実際に感染した場合でも検出されないのでリスクはある。
そこら辺を考慮した上で実行するかしないかを判断していただきたい。

←クリックしてくれると嬉しいです。

誤検出か?

Photoshop6.0に含まれる実行ファイルの一つ”\Program Files\adobe\Photoshop6.0\ImageReady.exe”がトロイの木馬としてアンチウィルスソフト(AVG)に検出されるのは、誤検出の可能性が高いみたいだ。
調べたところ昨年はカスペルスキーでも同じファイルからの誤検出があったらしく、英語のサポートフォーラムに質問が投稿され、それに対してほぼ誤検出であろうとのやりとりがあった。
また、先の記事に対して誤検出の可能性が高いとのコメントも頂いた。
その方も今日(10/29)になって同様に検出されるようになったとのことで、情報を提供して下さった。
早速そのコメントにあったサイト「http://www.virustotal.com/index.html」でチェックしたところ、AVGのみがトロイ(Generic25.APTT)と判定し、他のソフト(42種類)は検出しなかった。
なので、100%確実と言うわけではないが、誤検出と言う可能性が高いと思われる。

ImageReady.exeをトロイと判定させないようにする手順に関しては「AVGにPhotoshopの”ImageReady.exe”をトロイと判定させない方法」をどうぞ。(2011/10/30追加)

←クリックしてくれると嬉しいです。

感染???

Photoshop 6.0を使っている人からPCがVirusに感染した!との連絡が来た。
PCを預かって起動しVirus対策ソフトでスキャンをかけてみると、\Program Files\Adobe\Photoshop6.0\ImageReady.exeというファイルがトロイの木馬に感染していると出た。
いろいろ調べてみたけど、どうも誤検出のような気がする・・・・・・・
不安なので調査は続行しているけど、誤検出ならパターンファイルの更新で直るかも?

←クリックしてくれると嬉しいです。