ネットワーク関連の記事を順次、別サイトに移動させています

実際に感染したウイルスをスキャンさせて分かった、有名セキュリティソフトの実力

全バージョン共通
記事内のリンクには広告が含まれている場合があります

先日、実際にウイルスに感染したことで、ブラウザーにアカウントを保存することは非常に危ないことが分かったのですが、有名どころのセキュリティソフトも、セキュリティ対策としてはマズい状態であることが分かりました。

75ベンダーのスキャン性能比較サイト

先日、実際にパソコンがウイルスに感染したことで、ブラウザーにアカウント情報を記憶させておくことは危険であることが分かり、その理由を説明しました。

その記事へのコメントでLucifer様から、スキャン性能を比較できるサイトを教えて頂きました。

VirusTotal
VirusTotal

こちらのサイトは検体をアップロードすることで、75ベンダーのセキュリティソフトでスキャンを行うので、本当にウイルスを検出できるのか、その実力を知ることができます。

ただし、実際にウイルスを入手することは難しいです。感染しそうなサイトにアクセスするのは危険ですし、感染しそうになればセキュリティソフトが駆除していまいます。そのため、ウイルスを入手できたのは稀なケースです。

 

ここでは、既に検体(ウイルスまたはウイルスに感染したファイル)がある場合で説明します。

サイトにアクセスするとこの画面が表示されるので「Choose file」をクリックします。

 

Edge-Virus-Scan-Result-011

ファイル選択のダイアログが表示されるので、検体(ウイルスまたはウイルスに感染したファイル)を選択して「開く」をクリックします。

Edge-Virus-Scan-Result-012

するとこの画面が表示されるので、「Confirm upload」をクリックして検体(ウイルスまたはウイルスに感染したファイル)をアップロードします。すぐにスキャンが開始され、しばらくすると結果が表示されます。

Edge-Virus-Scan-Result-013

 

 

意外なスキャン結果

今回感染したファイルをスキャンしたところ、このような結果になりました。これは2022年7月22日時点での結果です。

75ベンダーのセキュリティソフトのうち、64のセキュリティソフトでスキャンが実行できました。スキャンできなかったセキュリティソフトはZIPで圧縮されたファイルに対応していないようです。結果的に64のうち26のセキュリティソフトしか危険性を検出できていません。

Edge-Virus-Scan-Result-014

表は小さいので以下に書き出しました。

ベンダー スキャン結果
AhnLab-V3 Adware/Win.Adware-gen.R503210
ALYac Gen:Variant.Cerbu.146333
Arcabit Trojan.Cerbu.D23B9D
Avast Win32:Adware-gen [Adw]
AVG Win32:Adware-gen [Adw]
BitDefender Gen:Variant.Cerbu.146333
ClamAV Win.Adware.Generic-9954296-0
Cyren W32/Ekstak.CG.gen!Eldorado
Elastic Malicious (moderate Confidence)
Emsisoft Gen:Variant.Cerbu.146333 (B)
ESET-NOD32 A Variant Of Win32/TrojanDropper.Agent.SLC
Fortinet W32/Agent.SLC!tr.dldr
GData Gen:Variant.Cerbu.146333
Gridinsoft Trojan.Win32.Wacatac.dd!n
Ikarus Trojan-Dropper.Win32.Agent
Jiangmin TrojanDropper.Inokrypt.b
K7AntiVirus Trojan ( 005722f11 )
K7GW Trojan ( 005722f11 )
Kaspersky HEUR:Trojan.Win32.Ekstak.gen
Malwarebytes Adware.DownloadAssistant
MAX Malware (ai Score=89)
MaxSecure Trojan.Malware.121218.susgen
Trellix (FireEye) Gen:Variant.Cerbu.146333
TrendMicro HEUR_NAMETRICK.B
VIPRE Gen:Variant.Cerbu.146333
ZoneAlarm by Check Point HEUR:Trojan.Win32.Ekstak.gen
Acronis (Static ML) Undetected
Ad-Aware Undetected
Alibaba Undetected
Antiy-AVL Undetected
Avast-Mobile Undetected
Avira (no cloud) Undetected
Baidu Undetected
BitDefenderTheta Undetected
CMC Undetected
Comodo Undetected
Cylance Undetected
Cynet Undetected
DrWeb Undetected
eScan Undetected
F-Secure Undetected
Kingsoft Undetected
Lionic Undetected
McAfee Undetected
McAfee-GW-Edition Undetected
Microsoft Undetected
NANO-Antivirus Undetected
Panda Undetected
QuickHeal Undetected
Rising Undetected
Sangfor Engine Zero Undetected
SentinelOne (Static ML) Undetected
Sophos Undetected
SUPERAntiSpyware Undetected
Symantec Undetected
TACHYON Undetected
Tencent Undetected
TrendMicro-HouseCall Undetected
VBA32 Undetected
VirIT Undetected
ViRobot Undetected
Yandex Undetected
Zillya Undetected
Zoner Undetected
BitDefenderFalx Unable to process file type
CrowdStrike Falcon Unable to process file type
Cybereason Unable to process file type
Palo Alto Networks Unable to process file type
SecureAge APEX Unable to process file type
Symantec Mobile Insight Unable to process file type
TEHTRIS Unable to process file type
Trapmine Unable to process file type
Webroot Unable to process file type
Bkav Pro -
Trustlook -

 

今回の結果で検出できた有名どころ

75のセキュリティソフトと言っても注目すべきは、日本では有名で、通販や量販店で買うことができる有名なセキュリティソフトでしょう。それらのセキュリティソフトの中で、自分が今使っているセキュリティソフトの実力は気になるのではないしょうか。

ESET-NOD32

ESETは「A Variant Of Win32/TrojanDropper.Agent.SLC」とトロイの木馬であることを検出しています。また、Windowsサンドボックス(Windows 11/10 Proで使えるテスト用の仮想環境)にESET体験版をインストールして検体をスキャンしてみたところ、ウイルスを検出しました。

ESETを使っていれば、インストールする前に感染するのを防げたはずです。

今使っているセキュリティソフトに不安を感じるなら、体験版で試してみるのがよいでしょう。体験版はメーカーサイトからダウンロードできます。ダウンロードにはメールアドレスが必要ですが、クレジットカードの登録などは必要ありません。体験版は30日試用できます。

ノートンはクレジットカードを登録しないと体験版が使えません。しかも30日以内に試用を止めないと、購入したとみなされてクレジットカードに課金されます。こういう点ではESETの方が試し易いです。

なお、前の記事で書いたようにブラウザのアカウント管理機能を使わず、セキュリティソフトのパスワード管理機能を使う場合、ESETでは3つのラインアップの中で「ESETスマートセキュリティプレミアム」が必要です。

Kaspersky

カスペルスキーは「HEUR:Trojan.Win32.Ekstak.gen」とトロイの木馬であることを検出しています。Windowsサンドボックスには体験版をインストールできませんでしたので、実際にウイルスを検出できるかはテストできませんでした。

同様にカスペルスキーを使っていれば、インストールする前に感染するのを防げたはずです。

KASPERSKYも無料体験版をメーカーサイトからダウンロードできます。30日試用できます。

なお、KASPERSKYでパスワード管理機能を行うにはセキュリティソフトである「カスペルスキーセキュリティ」とは別に、「カスペルスキーパスワードマネージャー」が必要です。

TrendMicro(ウイルスバスター)

ウイルスバスター公式トレンドマイクロ・オンラインショップ

ウイルスバスターは「HEUR_NAMETRICK.B」と危険性は検出していますが、トロイの木馬であることは判定できていません。

それでもウイルスバスターを使っていたら、インストールする前に感染するのを防げたはずです。

ウイルスバスターも30日無料体験版はこちらからダウンロードできます。

ウイルスバスターも3種類のラインアップがありますが、パスワード管理機能を使うには「ウイルスバスタークラウド スタンダードセット」または「プレミアムセット」が必要です。

3年版が無料で2か月延長されるキャンペーンは、2022年8月10日(水)17:00までとのことです。23:59ではないので気を付けてください。

G Data

G Dataは「Gen:Variant.Cerbu.146333」と危険性を検出しています。この場合も危険性があるというだけで、どのようなものかまでは明確にされていません。

G Dataは、クライアント向けに危険なポートを閉じないので、サーバーアプリケーションを使うには使いやすくてよいです。やっとWindows 11にも対応しましたので、パスワードマネージャー機能もEdgeで使えます。

私としては安価で使いやすいのでお勧めできます。

注意点

今回の結果では、意外にもF-Secure、McAfee、Microsoft(Windows Defender)、Symantec(ノートン)ではウイルスを検出できていません

Windows 11/10に標準で搭載されているWindows Defenderを使っていたので、危険性に気付けなかったのも当然ということになります。

では、F-Secure、McAfee、Symantec(Norton)を使っていたら感染するのかというと、そとも言い切れません。

リアルタイムスキャンで検出される可能性もありますし、今後、パターンファイルが更新されれば検出されるかもしれません。

また、今回のウイルスはトロイの木馬でしたが、ランサムウエアではまた違った結果になるでしょう。

とは言え、実在するウイルスを検出できないのは致命的です。

「私はノートン以外は使いたくない」など強いこだわりがある方も多いと思います。それでもこの検出できないという事実は注意すべきでしょう。

その上で、前回の記事に書いたように、セキュリティソフトが破られた場合のことを考えておく必要があります。

今すべき対策、先のことを考えた対策、それぞれ検討してみてください。

無料ツール

Lucifer様から以下のツールも教えて頂きました。

パソコンが感染したと思われる場合は、スキャン専用ツールから起動して確認する方法もあります。

ESET SysRescue
コンピュータから持続的な脅威を取り除きます。
How to write the image of Kaspersky Rescue Disk 18 to a USB drive or CD/DVD
Learn how to write the image of Kaspersky Rescue Disk 18 to a USB drive or CD/DVD.

これらはブートメディアを作成してオフラインでWindowsが起動していない状態でスキャンしますので、ウイルスが妨害工作をするものでも対処できます。

Windows 11/10の「Windowsセキュリティ」でも「ウイルスと脅威の防止」「スキャンのオプション」Microsoft Defenderオフラインスキャン」で同様の機能が実行できますが、スキャン性能はそれぞれのメーカーのソフトに準ずるものとなります。

まとめ

今回の自分が感染したことで本物の検体(ウイルスまたはウイルスに感染したファイル)を入手できました。それを多数のセキュリティソフトでスキャンした結果は、日本で有名どころのセキュリティソフトで検出できないという意外な結果でした。

これがすべてではありませんが、やはりセキュリティソフトをインストールしていれば安全という考えは捨てた方がよいでしょう。

コメント

タイトルとURLをコピーしました