TROJ_WCLEANERに感染？！

私のマシンその１（VirusBusterのインストールされている）でTROJ_WCLEANERに感染したとメッセージがでたのですが

そのファイルは　NortonAntiVirusのインストールされているマシン（私のマシン２）からコピーしてきたものでした。

実際にそのファイルがあってもNortonAntiVirus上では
ひっかかりません。（私のマシン２）

そこで　そのファイルをフロッピーにコピーし、
VirusBusterにかけると　見つかりましたとでます。
困ったことに駆除するとファイル自体を消してしまいます。

TrendMicroさんのウィルスデータベースに書いてある
ようなレジストリを操作されている気配もありません。

これはVirusBusterの誤検知なんでしょうか？
どなたか　ご存知の方がいらっしゃいましたら
ご教授願います

No.1 ベストアンサー 回答者： chie65536 回答日時： 2004/01/30 13:05

ウイルスの検知は万能ではありません。

通常、ウイルスの検知は、ディスク上のファイルの中に「パターンファイル」で定義されたパターンと一致したデータが存在しているか、と言う方法で行われます。

ここで問題になって来るのが「定義されたパターンの長さ」です。

どのような問題があるのかと言うと
「誤認識比率と亜種の検知精度比率が反比例する」
と言う問題です。

判りやすく言うと
「比較パターンが長くなると、誤検知は減るが、亜種を検知しなくなる」
「比較パターンが短くなると、亜種を検知するようになるが、誤検知が増える」
と言う事です。

NortonAntiVirusとVirusBusterとで、同一のウイルスに対するパターン定義の長さが違うので「片方ではウイルスと誤検知するが、片方ではウイルスだと検知しない」と言う事が起きます。

質問者さんのケースでは
NortonAntiVirusでは誤検知はしないが、亜種の発生に対して脆弱。亜種が出た場合はパターンファイルの更新が必要
VirusBusterでは亜種の発生にも耐性があるが、誤検知が多い。ある程度の亜種は１つのパターンファイルで対応するので更新不要
と言う状態になっているのでしょう。

具体的な例を挙げてみます。

Ａと言うウィルスソフトは、あるウイルスに対し「ＡＢＣＤＥＦＧＨ」と言うパターンを使っている。
Ｂと言うウィルスソフトは、あるウイルスに対し「ＡＢＣＤＥ」と言うパターンを使っている。

ＡソフトもＢソフトも、オリジナルのウイルスは正しく検知します。

この時、ユーザーが「ＡＢＣＤＥＦＧＧ」と言うパターンを含む、ウイルスではないファイルを使おうとしたとします。

Ａソフトでは、定義されたパターンの最後の１つ「Ｈ」が「Ｇ」と異なる為、ウイルスとは検知しません。
Ｂソフトでは、定義されたパターンと一致してしまう為、ウイルスだと誤検知します。

一見、Ａソフトの方が誤検知が少なく、精度が高く優れているように思えますが、そうではありません。

ここで「ＡＢＣＤＥＦＧＡ」と言うパターンを含む亜種ウイルスが発生したとします。

Ａソフトでは、定義されたパターンの最後の１つ「Ｈ」が「Ａ」に変わっている為、検知されません。
Ｂソフトでは、変わっている部分が定義されたパターンの外ですから、亜種をウイルスとして検知します。

Ａソフトでは、亜種に対する「ＡＢＣＤＥＦＧＡ」のパターンが提供されるまでの間、亜種に感染する危険性があります。

そういった訳で、双方のソフトに優劣は無く「どっちもどっち」と言う話になってしまいます。

最終的には、使うユーザーが「誤検知は少ないが亜種に弱い」を取るか「亜種に強いが誤検知が多い」を取るか、と言う事です。

この回答へのお礼

ようやく　ソフトに関する疑念が晴れた気がします
ありがとうございました。

お礼日時：2004/01/30 13:40

No.2 回答者： morinokoneko 回答日時： 2004/01/30 13:25

TROJ_WCLEANERについて調べてみましたら

http://www.trendmicro.co.jp/vinfo/virusencyclo/d …
上のようになっているのはご承知だと思います

ＮＡＶでは検出されないのはＳ社のＮＡＶにこのトロイの木馬の
パタ‐ンファイルがないからだとおもいます

マシン2で一度トレンドマイクロオンラインスキャンをしてみて感染しているかどうかチェックをされたらどうでしょうか？（単純にマシン2にレジストリの操作がないけれど
本体が残っているのかもしれません）

お役に立てなくてごめんなさい