モールス練習ソフト「Lerning Morse」が、セキュリティ対策ソフトの「ノートン」で駆除されてしまう。。。?
Vector に公開中の「Lerning Morse」ですが、ダウンロードした ZIP ファイルを解凍して実行しようとすると、シマンテックのノートンさんが怪しいソフトと勘違いして(?)本体プログラムの「morse.exe」が駆除されてしまうようです。
本日、知り合いのハム局から連絡を受けて知りました。
(前にダウンロードした時は大丈夫だったそうです。)
私が信頼しているセキュリティ対策ソフトの「カスペルスキー」ではこんなことはありませんが、まあ、心当たりといいますか、原因は分かっているので、本日 Vector に公開しているファイルの差し替えを行いました。
(1週間ほどで反映すると思います。)
※7/2(木)に更新されたようです。
駆除されてしまう原因なのですが、恐らくは UPXと呼ばれる EXE ファイルを圧縮するツールを使ったからだと思います。
コンパイル済みの EXE ファイルを UPX に通すことで、ファイルサイズを1/2から2/3程度まで小さくすることができます。
この時 UPX は、UPX で圧縮したファイルということが分かるようにシグネチャーと呼ばれるマークをファイル内に書き込みますが、
この書き込まれたシグネチャーをノートンさんは、
「UPX で圧縮している怪しいファイル」
だと判断し、morse.exe は駆除されてしまったのではないかと思います。
シマンテック基準では「UPX で圧縮した全てのファイルが駆除対象」ということなのでしょうか?
FD1枚に EXE ファイルを収める必要があった MS-DOS 全盛の時代から、この種の圧縮ツールは当たり前のように使われていたわけで。。。
今は使うと NG ですか。。。トホホ。。。
実はパッカーには EXE ファイルの圧縮以外にもう一つ重要な機能がありまして、圧縮と同時に暗号化も行っています。
一般的にはパッカーと言えばこちらの暗号化が重要で、ウィルスなどの不正プログラムでは、セキュリティ会社の対策を遅らせるために、このパッカーを使ってプログラムコードが逆アセンブルされて解析されないように対策を行なっています。
このようにパックを施すことで EXE ファイルは容易に解析されなくなるため悪人たちは不正プログラムに好んで使用しており、このためパッカーを施したファイルは無条件でセキュリティ対策ソフトの駆除対象になってしまっているようです。
とまあ、こういうことなのでしょう。
とは言っても、ファイルを圧縮するだけの機能しか持たない UPX (暗号化の機能はない)を、ウイルスプログラムの隠ぺいで使うとは考え難いのですが。。。
(UPX は -d オプションを使って簡単に元に戻せます。)
もう少し細かいことを言えば、圧縮と同時に暗号化するパッカーはクリプター(Crypter)であり、純粋に圧縮機能しか持たないパッカーと区別するべきです。
クリプターを駆除対象にするならそれはそれで理解できるのですが。。。
UPX のような正当なパッカーまでもが駆除対象とは。。。
ちょっと闇雲過ぎやしないかと。。。
商用ソフトやゲームソフトではパッカーを使うのは当たり前で、
- 逆アセンブルによるアルゴリズムの盗難防止
- ゲームにパッチを当ててキャラを無敵にするとかのチート防止
など、知的財産であるプログラムを悪人から守るためにも使われるわけで、セキュリティ対策ソフトの誤検知により重要な実行ファイルが勝手に駆除されてしまいソフトが動かなくなるなんてことが、この先、多くなるのではないかと心配になってしまいます。
まあ、残念ながらこれがセキュリティのトレンドのようです。
実は Vector でも1年位前からパッカーの使用は禁じられていて、今はパッカーを使ったファイルは公開できませんが、「Lerning Morse」は2年前にアップしたままの放置状態になっておりました。
この記事内のファイルもアップしなおしました。
なお、
「CW MANIA」については UPX を通してないので、セキュリティ対策ソフトの「ノートン」で駆除されることはないと思います。