経緯 
Windows 10 で Word 2016 で作業していたのだが、昔作った資料に貼りつけていたハイパーリンクを「CTRL+クリック」で開いていたところ、(開いた瞬間ではなく)しばらくしてから Windows Defender がウイルス検出したと通知してきた。
警告レベルが「重大」である Trojan: Win32/Mylrelo.C!plock を検出したので検疫したと言っているのだが、どうも要領を得ない。
検疫されたのは以下の項目らしい。
しかし、検疫したと言っているのに、上記のファイルはなぜか閲覧可能で、
内容は以下の通りであった。(*1)
で、この UUID っぽいファイル名は、直前に Word から「Ctrl+クリック」で開いていた以下のハイパーリンクに合致する。
02:44 に検出したのに、ファイルが 02:45 なのは、直後にもう一回開いた際に、ファイルが検疫されてなくなってたので、再度生成されたのだろうか???
ならば、再検出されないのはなぜ!?
上記の URL のレスポンスは以下のようになっている。
キャッシュのファイル名および検出されたタイミングから考えれば、上記のページに相違ないはず。
デフォルトのブラウザは Firefox にしているので、通常の web ブラウズでは、上記のキャッシュフォルダにはファイルは生成されることはない。従って上記のファイルは Word がハイパーリンクを開く際に Firefox に URL を引き渡すために作ったと思われる。
また、ファイルの内容は、HTTP レスポンスヘッダの Location の項目をキャッシュしているようにしか見えない上、アクセス先が https なので、不正な SSL 証明書を突っ込まれて、中間者攻撃を受けてる状況でない限り、正真正銘の Microsoft のサーバーに繋がってないとおかしい。
とすると、可能性としては以下の3択じゃないかと思うのだが?
検疫されたファイルを「復元」して調査すべきかどうか悩むところ。
こういう場合は、どうやって調べたら良いのか???
とりあえず VirusTotal にかけてみたけど、クリーンって言われる。
2ch の以下のスレ見ると、MSE で Trojan: Win32/Mylrelo.C!plock 検出されるって書き込みが散見される。 上記スレの 649 で報告されているパターンによる誤検出だろうか???
と思って、試してみたところ、
結局、*1 の内容をテキストファイルに書いてみると、Windows Defender が Trojan: Win32/Mylrelo.C!plock 扱いすることを確認出来たので、完全なる誤検出という方向で結論付けるに至った。
徹夜コースの途中だってのに、仕事の邪魔すんじゃねぇよ、MS (#-_-メ)
因みに、Windows Defender でマルウェアや脅威が検出された際には、以下のような表示が現れることが確認出来た。
また、今回の誤検出が発生した際の Windows Defender のバージョンは以下の通りだった。
現在時刻 05:18
地味に、2時間半融かした。
MS 許すまじ。
2016-05-11 追記:
2016-05-11 12:33 版のウイルスおよびスパイウェアの定義(バージョン 1.219.1436.0)では上記の誤検出は生じなくなった模様。
警告レベルが「重大」である Trojan: Win32/Mylrelo.C!plock を検出したので検疫したと言っているのだが、どうも要領を得ない。
検疫されたのは以下の項目らしい。
- C:\Users\kou\AppData\Local\Microsoft\Windows\INetCache\IE\YZHSPSYS\893e86ef-6623-457b-b551-788ea2ee93c8[1].htm
しかし、検疫したと言っているのに、上記のファイルはなぜか閲覧可能で、
内容は以下の通りであった。(*1)
<html><head><title>Object moved</title></head><body> <h2>Object moved to <a href="/ja-jp/article/Word-%e3%81%a7%e3%83%95%e3%82%a3%e3%83%bc%e3%83%ab%e3%83%89-%e3%82%b3%e3%83%bc%e3%83%89%e3%82%92%e6%8c%bf%e5%85%a5%e3%80%81%e6%9b%b8%e5%bc%8f%e3%82%92%e8%a8%ad%e5%ae%9a%e3%81%99%e3%82%8b-893e86ef-6623-457b-b551-788ea2ee93c8?ui=ja-JP&rs=ja-JP&ad=JP">here</a>.</h2> </body></html>stat してみると以下のようになっていた。
$ stat 893e86ef-6623-457b-b551-788ea2ee93c8\[1\].htm File: `893e86ef-6623-457b-b551-788ea2ee93c8[1].htm' Size: 387 Blocks: 1 IO Block: 65536 通常ファイル Device: 2841ca2bh/675400235d Inode: 9288674231478381 Links: 1 Access: (0700/-rwx------) Uid: (197609/ kou) Gid: (197121/ なし) Access: 2016-05-10 02:45:49.322486500 +0900 Modify: 2016-05-10 02:45:49.324455300 +0900 Change: 2016-05-10 02:45:49.324455300 +0900 Birth: 2016-05-10 02:45:49.322486500 +0900
で、この UUID っぽいファイル名は、直前に Word から「Ctrl+クリック」で開いていた以下のハイパーリンクに合致する。
02:44 に検出したのに、ファイルが 02:45 なのは、直後にもう一回開いた際に、ファイルが検疫されてなくなってたので、再度生成されたのだろうか???
ならば、再検出されないのはなぜ!?
上記の URL のレスポンスは以下のようになっている。
$ wget -qSO- https://support.office.com/ja-jp/article/893e86ef-6623-457b-b551-788ea2ee93c8/ >/dev/null HTTP/1.1 301 Moved Permanently Cache-Control: private Content-Type: text/html; charset=utf-8 Location: /ja-jp/article/Word-%e3%81%a7%e3%83%95%e3%82%a3%e3%83%bc%e3%83%ab%e3%83%89-%e3%82%b3%e3%83%bc%e3%83%89%e3%82%92%e6%8c%bf%e5%85%a5%e3%80%81%e6%9b%b8%e5%bc%8f%e3%82%92%e8%a8%ad%e5%ae%9a%e3%81%99%e3%82%8b-893e86ef-6623-457b-b551-788ea2ee93c8?ui=ja-JP&rs=ja-JP&ad=JP Server: Microsoft-IIS/8.5 X-CorrelationId: f5315bf7-396a-4276-91e9-458559ee4b23 X-UserSessionId: f5315bf7-396a-4276-91e9-458559ee4b23 X-OfficeFE: OdcSupFrontEnd_IN_6 X-OfficeVersion: 16.0.7003.2150 X-OfficeCluster: ea-zzz.odcsup.osi.office.net P3P: CP="CAO DSP COR ADMa DEV CONi TELi CUR PSA PSD TAI IVDi OUR SAMi BUS DEM NAV STA UNI COM INT PHY ONL FIN PUR" X-AspNetMvc-Version: 4.0 X-AspNet-Version: 4.0.30319 X-Powered-By: ASP.NET X-Content-Type-Options: nosniff Content-Length: 387 Date: Mon, 09 May 2016 18:28:04 GMT Connection: keep-alive HTTP/1.1 200 OK Cache-Control: private Content-Type: text/html; charset=utf-8 Server: Microsoft-IIS/8.5 X-CorrelationId: 8e7318ae-b162-4c2f-b1fa-2830e16fb323 X-UserSessionId: 8e7318ae-b162-4c2f-b1fa-2830e16fb323 X-OfficeFE: OdcSupFrontEnd_IN_11 X-OfficeVersion: 16.0.7003.2150 X-OfficeCluster: ea-zzz.odcsup.osi.office.net P3P: CP="CAO DSP COR ADMa DEV CONi TELi CUR PSA PSD TAI IVDi OUR SAMi BUS DEM NAV STA UNI COM INT PHY ONL FIN PUR" X-AspNetMvc-Version: 4.0 X-AspNet-Version: 4.0.30319 X-Powered-By: ASP.NET X-Content-Type-Options: nosniff Vary: Accept-Encoding Date: Mon, 09 May 2016 18:28:04 GMT Transfer-Encoding: chunked Connection: keep-alive Connection: Transfer-Encoding Set-Cookie: AADNonce=cf6f817a-c95e-41d5-b06a-a37f68336e7c; domain=office.com; path=/; secure; HttpOnlyつまり、以下の URL に転送されている。 パーセントエンコーディングをデコードすると以下のようになる。
$ ruby -e 'print (ARGV[0]+"").gsub(/%[0-9A-F]{2}/){|s| s[1..2].to_i(16).chr}' "https://support.office.com/ja-jp/article/Word-%E3%81%A7%E3%83%95%E3%82%A3%E3%83%BC%E3%83%AB%E3%83%89-%E3%82%B3%E3%83%BC%E3%83%89%E3%82%92%E6%8C%BF%E5%85%A5%E3%80%81%E6%9B%B8%E5%BC%8F%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B-893e86ef-6623-457b-b551-788ea2ee93c8?ui=ja-JP&rs=ja-JP&ad=JP"
https://support.office.com/ja-jp/article/Word-でフィールド-コードを挿入、書式を設定する-893e86ef-6623-457b-b551-788ea2ee93c8?ui=ja-JP&rs=ja-JP&ad=JP
キャッシュのファイル名および検出されたタイミングから考えれば、上記のページに相違ないはず。
デフォルトのブラウザは Firefox にしているので、通常の web ブラウズでは、上記のキャッシュフォルダにはファイルは生成されることはない。従って上記のファイルは Word がハイパーリンクを開く際に Firefox に URL を引き渡すために作ったと思われる。
また、ファイルの内容は、HTTP レスポンスヘッダの Location の項目をキャッシュしているようにしか見えない上、アクセス先が https なので、不正な SSL 証明書を突っ込まれて、中間者攻撃を受けてる状況でない限り、正真正銘の Microsoft のサーバーに繋がってないとおかしい。
とすると、可能性としては以下の3択じゃないかと思うのだが?
- 不正な SSL 証明書を突っ込まれて、中間者攻撃を受けてる
- Microsoft のサーバーが陥落してる
- 単なる誤検出
検疫されたファイルを「復元」して調査すべきかどうか悩むところ。
こういう場合は、どうやって調べたら良いのか???
とりあえず VirusTotal にかけてみたけど、クリーンって言われる。
- https://www.virustotal.com/ja/url/c776a9e7efbc9481...
- https://www.virustotal.com/ja/url/d32b408960fbd162...
- https://www.virustotal.com/ja/file/8ca71091320252c...
2ch の以下のスレ見ると、MSE で Trojan: Win32/Mylrelo.C!plock 検出されるって書き込みが散見される。 上記スレの 649 で報告されているパターンによる誤検出だろうか???
と思って、試してみたところ、
結局、*1 の内容をテキストファイルに書いてみると、Windows Defender が Trojan: Win32/Mylrelo.C!plock 扱いすることを確認出来たので、完全なる誤検出という方向で結論付けるに至った。
徹夜コースの途中だってのに、仕事の邪魔すんじゃねぇよ、MS (#-_-メ)
因みに、Windows Defender でマルウェアや脅威が検出された際には、以下のような表示が現れることが確認出来た。
また、今回の誤検出が発生した際の Windows Defender のバージョンは以下の通りだった。
現在時刻 05:18
地味に、2時間半融かした。
MS 許すまじ。
2016-05-11 追記:
2016-05-11 12:33 版のウイルスおよびスパイウェアの定義(バージョン 1.219.1436.0)では上記の誤検出は生じなくなった模様。
タグ
コメントをかく