Bloodhound.Exploit.252について

NISのアンチウィルス(ver 16.5.0.135)を使用しているのですが、先日システムの完全スキャンを実施したところ「Bloodhound.Exploit.252」というウィルスが30近く検出され、いくつか削除不能となっています。
その為、その後スキャンを行うたびに検出されるのですが、このウィルスの危険度を教えてください。
出来れば感染対象ファイルは削除したくありません。

アイドルクイックスキャンはほぼ毎日実行されているのですが、システムの完全スキャンは約一ヶ月ぶりに実施しました。

感染対象ファイルなんですが3年ほど前にwindowsがブルースクリーンでダウンした際、代替OSとしてvine linuxを使用していたのですが、windows復旧後はvine linuxの/home、/var/log、/usr/localをアーカイブ化して、保持していました。
今回検出されたのはこの3つのtar.gz形式の中です。
なぜこんなのが感染したのか?
疑問は尽きないですが、EUC-JPのせいか、対象ファイルは文字化けしてしまい特定できないためファイルを削除する必要性があるならばアーカイブごと削除しなければならなそうなのでそれは避けたいところです。
まずは一時対処としてどうするべきが教えてください。

No.8 回答者： ryu-fiz 回答日時： 2009/06/24 21:23

質問者さんが何もお書きになってないのでナンですが…検出されているモノがエクセル形式のファイルであれば、誤検出＝心配なしで良いと考えられますね。

で、そちらで作成されたり何なりしたエクセルファイルであるということなら、私が先に回答したエクスプロイト云々という記述は当てはまらないことになるかと思います。

記述された内容に曖昧さがある（つまり検出対象の実体がどういうファイルなのか、ということ）中での回答ですので、的外れになってしまったなら申し訳ありません。

No.7 回答者： Kurosegawa 回答日時： 2009/06/24 13:16

No.5です。

私のところにもNo.6さんと同様のメールが届きました。
最新の定義ファイルにて当該ファイルを検査したところ、リスクは見つ
かりませんでした。
当方の事案については、やはり誤検出だったようです。

すでに解決済みかもしれませんが、改めてLive Updateを実施した上
で、再度スキャンしてみてください。
これで判定が変わるようなら、既に削除されたファイルも、誤検出だっ
た「可能性があります（そうでない可能性もあります）」。

「私だったら」念のために全てのファイルをバックアップした上で、削
除されたファイルを全て復元して、再度スキャンし直すところです。
……が、万一ということもありますので、その辺はご自身で判断なさっ
てください。

No.6 回答者： 300245 回答日時： 2009/06/23 20:43

削除する必要はなさそうです．私も同様のトラブルに巻き込まれました．私の場合には特定のエクセルファイルと圧縮ファイルが削除されてしまいました．シマンテックより返答が来ましたので御連絡します．ウィルスも怖いですがかってにファイルを削除されてしまうのも困りますね．

以下，シマンテックよりの連絡．
******************************
検出されております「BloodHound.Exploit.252」は、６月１９日以降の
ＬiveUpdateで更新されたウィルス定義でございますが、エクセル
ファイルの動作と類似箇所があったために、この問題が発生しておりました。そのため、今回セキュリティリスクとして検出・削除されました
該当のエクセルファイルには、ウィルスは存在しておりませんので、
ご安心をいただきますようお願いいたします。

この問題につきましては、本日のLiveUpdateで、既に修正されております。大変恐れ入りますが、LiveUpdateが最新版になるよう更新を実施いただき、動作をご確認いただきますようお願いいたします。

以上

No.5 回答者： Kurosegawa 回答日時： 2009/06/22 11:05

経験者です。

シマンテックのサポートに問い合わせてみることをお勧めします。
http://www.symantec.com/ja/jp/norton/support/pro …

私も先週金曜日にBloodhound.Exploit.252が検出され削除されたのです
が、誤検出ではないかと考え、メールにて問い合わせを行ないました。
現在、回答待ちです。
（ちなみに、別環境でavast!にて検査してみましたが、異常なしでした。）

問い合わせフォームからメールを送ると、折り返し、シマンテックから
指示がくると思いますので、それに従ってください。
私の場合、
１．最新版のNIS2009のダウンロード。
２．現行のNISのアンインストール。
３．最新版のインストール。
を指示され、そのとおりに実行しました。
この時点で当該ファイルを対象にスキャンを掛けると、脅威は検出され
なかったのですが、Live Update実行後に再度スキャンすると、やはり
Bloodhound.Exploit.252と認識されました。

木曜日までのアイドルタイムスキャンでは検知されなかったことから、
金曜日の朝イチに行なったLive Updateによる定義ファイルの更新に、
問題があるような気がします。

その後、シマンテックの指示により、米国本社開発部に当該ファイルを
提出し、検査してもらいました。
結果については英文のメールなのでよく判んないんですが（苦笑）、
「Virus misrecognition」とあったようです。
この結果を伝えたところ、国内のサポートからは「お問い合わせのトラ
ブルについては、ただいま準備中であり、大変申し訳ないがしばらくお
待ちいただきたい（要旨）」旨のメールが入っている、というのが現在
の状況です。

ご質問の件が同じ状況かどうか不明ですが、誤検出の可能性はあると思
いますので、問い合わせを行なうのが良いと思いますよ。

No.4 回答者： John_Papa 回答日時： 2009/06/22 08:13

No.1です。

＞対象ファイルは文字化けしてしまい
申し訳ない。この部分読み違えてました。
ファイル名に日本語を使われてたんですね。
この問題は、解決できません。
アクセス不可能なファイルにはウイルスも感染できません。
ファイル名が文字化けしてもWindowsからアクセス可能なファイルの場合
拡張子がxlsなら、OpenOfficeを使えばECU-JPで開く筈です。
ただし、vine linuxの時には、OpenOfficeを使用されたと思いますので、VBXとOpenOffice.org Basicの違いでExcel関係のウイルスに感染していたとも思えません。
また、tar.gz内部のファイルに感染するには、アーカイブの外に別のプログラムが必要で、それが姿をくらましたり、通常のドキュメントホルダーにあるExcelファイルが無傷であるなどは、非常に不自然です。

３年前の異ＯＳ・異言語であるvine linuxのファイルを、2009 年 6 月 18 日に発見したウイルスBloodhound.Exploit.252に似たパターンとして、ヒューリスティック手法（発見的推論）で判定した。
冷静に考えてみて、より高度な人間の発見的推論はどういう答えを導くでしょうか。

毎度、誤検出で悩まされるのが嫌なら、ＣＤ-ＲＯＭなど外部メディアに保存しておくしかないでしょうね。

No.3 回答者： ryu-fiz 回答日時： 2009/06/22 00:39

書き忘れていて申し訳ありませんが、念のために一応、Norton以外のオンラインスキャンで現状目立った感染がないことを再確認しておく方がよろしいかも知れません。

カスペルスキーもしくはF-Secure辺りがお勧めです。

http://www.kaspersky.co.jp/virusscanner
http://www.f-secure.co.jp/v-descs/disinfestation …

エクスプロイトコードとは 【exploit code】 - 意味/解説/説明/定義 ...
http://e-words.jp/w/E382A8E382AFE382B9E38397E383 …

exploitはあくまでも感染のきっかけに過ぎません。いくら危険な感染に関与していると言えども、exploitだけが見つかっている状態は、深刻な感染に遭っていることにはなりません。言い換えると、PCが現状そういう状態ではないという検証を行なっておくことが大切だと思います。

No.2 回答者： ryu-fiz 回答日時： 2009/06/22 00:33

Bloodhound.Exploit.252 テクニカルノート | Symantec

http://www.symantec.com/ja/jp/security_response/ …

一部引用します。

*****
Bloodhound.Exploit.252 は、「Microsoft Excel Record Pointer Corruption Remote Code Execution Vulnerability」 (英語)(BID 35215) の脆弱性を悪用するファイルのヒューリスティック手法による検出名です。
*****

おそらく、Windowsの脆弱性を利用した感染を誘発するきっかけとなるファイルだと思われます。もう少し突っ込んで言えば、ウェブサイト閲覧時にブラウザから読み込まれたキャッシュの中に、そうしたファイルが存在している可能性が高いと思います。

>感染対象ファイルなんですが3年ほど前にwindowsがブルースクリーンでダウンした際、代替OSとして vine linuxを使用していたのですが、windows復旧後はvine linuxの/home、/var/log、/usr/localをアーカイブ化して、保持していました。
>今回検出されたのはこの3つのtar.gz形式の中です。
>なぜこんなのが感染したのか?

感染、というか…発症するしないは別として、ウェブサイトを閲覧した際にそのサイトに悪質なコードが置かれていれば、それは例外なくブラウザのキャッシュに読み込まれます。

Vine Linux上ではまず深刻な感染に至ることはないでしょうが…キャッシュ内に取り込まれたファイルは削除しない限りはそのまま残るでしょうし、それを圧縮して保存してあれば、そこからの検出は当然あり得るでしょう。

また『以前は検出されなかったが、ある時期を境に検出されるようになった』という場合には、ウイルス定義の内容が変更されたことが影響している可能性も十分にあると思うし、場合によっては誤検出である可能性もゼロではないと言えるかと。

ブラウザのキャッシュの中かも知れない、と書きましたが…もしかすると、アーカイブ内の多数のエクセル形式のファイルのある一部分を誤検出していたりするのかも知れませんね。推測の域を出ないのでナンですが。

>このウィルスの危険度を教えてください。

アーカイブとして塩漬けされたままなら、何の心配もいりません。アーカイブを解いて中の該当ファイルをWindows上でわざわざ開くようなマネさえしなければ、深刻な感染に至る可能性はあり得ないでしょうし、該当する脆弱性を解消するためのセキュリティパッチが適用済みなら、何をかいわんや、という感じ。

今回のケースに限らず『この感染の危険性は？』といった意味合いの質問は少なくないですが…実際には、その感染で起こり得る症状だけで深刻さを判断すべきではないと思います。あくまでも、現状として発症しているかどうかも考慮しなくては。

こういう場合に、起こり得る症状だけ見て『ヤバそうなものだからリカバリしないと』と短絡的に判断してしまう人もいますが…それはマズイです。要するに、発症していないのなら現時点では深刻に考える必要はないということです。

>まずは一時対処としてどうするべきが教えてください。

今は特別に何もしなくても構わないと思います。検出は続くでしょうが、当面の危険性がないことを理解した上で無視すれば良いことです。

強いて言うなら、アーカイブの中にそうしたものが存在していることは心のどこかに留めておくなり、忘れないようにメモしておくなりすべきかも。

No.1 回答者： John_Papa 回答日時： 2009/06/22 00:30

Bloodhound.Exploit.252についてはsymantecにファイルされています。

http://www.symantec.com/ja/jp/security_response/ …
purple_cubさんの場合、発見日などから推察して、誤検出と思われます。

セキュリティソフトは違いますが、私も過去の自分のプログラム遺産を「危険の可能性」と検出され危うく消されそうになったことがあります。
保管場所を確保しなくて済むから現用のストレージにアーカイブしておいたのですが、スキャン掛けたまま席を外すと消失してしまうところでした。
MicrosoftOS用のプログラムじゃないので、さもありなんですが、ＬＡＮでアクセスできるストレージから外して、FDとCD-ROMに移しました。
たまにしか使わないものは外部メディアに保存して、保管場所を忘れなければ良しとしましょう。

EUC-JPの確認には、EUC-JPの読めるエディタがあれば良いのでしょう。
自分ではシュアウエアの秀丸を長らく使っているのですが、友人にはEmEditor Freeを薦めています。
http://www.forest.impress.co.jp/lib/offc/documen …
開発終了になっていますが、まだ入手可能です。