コンテンツへスキップ

昨年10月頃より、ESET製品等を利用しているとダウンロードファイルの破損やYoutubeやニコニコ動画などストリーミング動画再生中にグリーンバックになってしまう、といった症状が報告されていました。
ようやく根本的な解決策、修正プログラムが公開されたようです。


この件に関しては、公式に既知の不具合として認識され、回避策が公開されていました。

キヤノンITソリューションズ: Webサイトからダウンロードしたファイルが破損する

HTTP通信のスキャンを無効にする設定のようですが、セキュリティ上好ましくないはず。
ファイルシステム保護で問題ないなど書いていますが、脆弱性対策をしていない環境では、流行りのExploitを水際で検出・遮断できるかどうかが、感染被害の明暗を分けると思います。ペイロードを確実に検出できる訳ではないですし。あまりお勧めできない回避策ではないでしょうか。

症状

当方、ESET製品は利用していませんが、昨年12月頃よりBitDefenderをインストールした環境で同様の症状が発生したのです。
ダウンロードが完了しなかったり、チェックサムエラーが多発して、非常に困りました。
数十MB以上のEXEファイルで破損することが多かったですね。(↓残0秒のまま完了しないダウンロード。バイナリ比較、破損しまくり。)
downloading_brokenexebinary_diff

問題の原因・詳細

当初はネットワーク環境が原因と疑っていたのですが、検索していると以下のBitDefenderのフォーラムの報告を発見。

BitDefender Forum: Bitdefender Corrupts Most Of My Exe-downloads

ESETのサポート情報にもありましたが、この問題の原因はMicrosoft更新プログラムKB2735855に起因するようです。
これはWFP(Windows Filtering Platform)に関する更新で、WFPとはVistaより実装されたパケットフィルタリングAPIです。
このWFP APIを利用してフィルタリングを行なっているソフトウェアに影響している問題だということです。
即ち、セキュリティソフト側の不具合ではなく、この更新プログラムに何らかの問題(バグ)があるのです。

この更新プログラムの対象はWindows 7 / Server 2008 R2 (x86/x64)ですが、問題が発生しているのはx64だけのようです。
また、興味深いことに各所の報告によると、Phenom II X4/X6, Core i3, i5, i7など4core以上のCPUの環境で発生しているのです。
確かに、私は複数台にBitDefenderを導入していますが、その内Phenom II X4 965BE(4core)を搭載したPCのみで発生しています。

Wilders Security Forums: Beware of MS hotfixes KB2735855 and KB2750841

こちらのフォーラムでESETとMicfosoftとのやり取りが投稿されています。
ESETは問題を把握していても、修正はMicrosoft待ち・・・という感じで、年明けに修正プログラムを提供予定とのことでした。

解決策

で、先日、修正プログラムhotfix 2735855が公開されたようです。

Microsoft: Data corruption and network issues when you run a WFP-based application on a computer that is running Windows 7
ESET Knowledgebase: Downloaded files are corrupted after installing the Microsoft hotfix KB2735855 and KB2750841

但し、これは更新プログラムとしてのリリースではない(Hotfix)ため自己責任とのことで、問題が発生している環境のみ適用してください。
ダウンロードにもURLをメール経由で送ってもらうという一手間が必要です。
ダウンロードは上記リンクから[Hotfix Download Available]より、メールアドレスとCAPTCHAを入力して下さい。
正式にはサービスパックでの提供とか書いてありますが、Windows 7 SP2っていつ出るの・・・?

かなり厄介な問題なので、もちろん即適用しました。
すると、ダウンロードファイルの破損も恐らく解消されているようです!よかった!
しなしながら、Micfosoftは相変わらず腰が重いですな。まぁ、テストとか色々あるんでしょうけど。

追記

Windows8 / Windows Server 2012についてはKB2811660を適用のこと。
アップデートはWindows Updateから可能。(Download Centerからはこちら

1

先日公開されました、COMODO Internet Security(以下CIS) 2013 (Version.6.0.260739.2674)
久々のメジャーバージョンアップということで、多くの新機能・改良がなされました。

Release Notes: http://downloads.comodo.com/cis/download/updates/release/inis_2000/release_notes.html
Forum: COMODO Internet Security 2013 v 6.0.260739.2674 released!

「Virtual Kiosk」といった仮想デスクトップなど、Sandbox機能が大幅に強化されています。
また、GUIも刷新され、以下の様なデザインに。
以前より設定ウィンドウへアクセスするのが手間になりましたが、メイン画面下のタスクバーをカスタマイズすることにより改善可能です。
ただ、旧バージョンから使い勝手の悪かったルール編集ですが、さらに操作性が低下したようにも思います。
ソートもできない、検索もできない・・・一括設定なども欲しいところです。

CIS 6.0 メイン画面

アンチウイルス(マルウェア)・ファイアウォール・仮想化・サンドボックス
これぞインターネットセキュリティスイート(総合セキュリティソフトウェア)という感じですね。
無償で提供されているわけですから、素晴らしい限りです。

ただ、リリースされて間もないので不具合の報告も多数ありますので、導入の際はご注意ください。
他社アンチマルウェアと比較して少々誤検出も多めですので、初めて導入される方などはこの点もお気を付けください。


CIS(Firewall機能のみインストール)とBitDefender 2013の併用環境ですが、ひとつ問題が生じたので書いておきます。

Google ChromeやFirefoxが正常に動作しなくなりました。
Chromeについては以下の画像のような状態でページが一切描画されません。Chrome 不具合

Firefoxについては、Flash Playerが正常動作せず、Flashを含むページを表示した瞬間フリーズしてしまいます。

当初はCIS側の設定の問題かと思ったのですが、無効にしても改善しないため、別の要因であるはず。
しばらくいじくっていると、BitDefenderのActive Virus Control(AVC)を無効にすると、改善することがわかりました。
また、検索しみると、Forumの方に同様のバグレポートを発見。

Forum: Unable to surf after installing Comodo 6 with Bitdefender [MN] [v6]

CISをインストールしていない場合発生しないので、CISとBitDefenderで何らかの競合が発生していると思われます。
フィルタドライバあたりでなんやかんややっているはずですから。

取り敢えず、一時しのぎの例外設定。BitDefender側です。
Chromeは「chrome.exe」を除外すれば大丈夫みたいですが、Firefoxはシステムディレクトリ以下にインストールされたFlash Playerプラグイン自体を除外する必要がありました。
plugin_container.exeは起動しているようですが、Flash Playerのロードに失敗しているみたい?
OOPP(Out-Of-Process-Plugins)を無効にした場合は、たぶん大丈夫なはずです。
※[追記] Firefox15以降ではOOPPは無効化できないようでした。確認せずすみません。

BitDefender 除外設定
次回のアップデートで修正に期待です。
しかしながら、他のセキュリティソフトとの併用は基本的には推奨されないので、そこら辺は自己責任で。

あと、最後に。COMODO Internet Security まとめWikiも宜しくです。
公式Help(英語)はかなり詳しいのですが、ユーザーならではの情報を集約していく予定です。
よろしければ編集・加筆にご協力いただければ幸いです。

先月の記事にて紹介したオンボロPC修理だが、安くはないコンデンサを交換したので何か活用しないともったいない。

とはいっても、時代遅れも甚だしいスペックなのでサーバー用にLinux(CentOS4)でもインストールすることにしました。 CentOSのインストール方法なんてのは検索すればごまんとあるのでここで記事に書く必要もないでしょう。
で、アンチウイルススキャナとしてBitdefender Antivirus Scanner for Unicesを導入する際のメモを書いておくことにします。

ライセンスキーの取得

http://www.bitdefender.com/site/Products/ScannerLicense/

上のURLにて必要事項を記入し送信。もちろん(個人利用に限り)無料です。 少しすると記入したメールアドレス宛てにライセンスキーが記載されたメールが届きます。

BitDefender Antivirus Scanner for Unicesのダウンロード・インストール

http://download.bitdefender.com/SMB/Workstation_Security_and_Management/
BitDefender_Antivirus_Scanner_for_Unices/Unix/Current/EN_FR_BR_RO/

このURLのディレクトリ以下に各種ファイルがあります。

今回はCentOSでサーバー用(コンソール)なので、/Linux/BitDefender-Antivirus-Scanner-nogui-7.6-4.linux-gcc3x.i586.rpm.run をダウンロードします。

$ wget http://download.bitdefender.com/SMB/Workstation_Security_and_Management/BitDefender_Antivirus_Scanner_for_Unices/Unix/Current/EN_FR_BR_RO/Linux/BitDefender-Antivirus-Scanner-nogui-7.6-4.linux-gcc3x.i586.rpm.run

 

ダウンロードが終わったら、自己解凍書庫なので

$ sh BitDefender-Antivirus-Scanner-nogui-7.6-4.linux-gcc3x.i586.rpm.run

もし、「libstdc++.so.5」が無いとか言われたら「yum install compat-libstdc++-33」を試してみる。

設定

まずは先ほど取得したライセンスキーを設定します。 「/etc/BitDefender-scanner/bdscan.conf」の「Key = 」にライセンスキーを入力します。

[root@localhost ~]$ vi /etc/BitDefender-scanner/etc/bdscan.conf
# An unpriviledged user can copy this file to
# ~/.config/BitDefender-scanner/bdscan.conf and change the settings to suit
# his/her taste. Any setting found in the home directory will override the
# global one
#
# Check the bdscan.conf(5) man page for more details.

<省略>

# Insert your license key below

Key = ********************

LicenseAccepted = True

次にウイルス定義ファイル、スキャンエンジンのアップデートを行います。

[root@loaclhost ~]$ bdscan --update

また、以下のコマンドで各種情報を表示します。 正常にアップデートされているか、ライセンスが有効かどうか確認しましょう。(1年間)

[root@loaclhost ~]$ bdscan --info

自動アップデート&スキャン

参考までに、アップデートとスキャンを行うスクリプトを以下に書いておきます。 7行目、スキャンオプションは、マルウェアや疑わしいと検出されたファイルは隔離し、logを/var/log/bdscan/bdscan.logに保存します。 ちなみに、デフォルトの隔離先は「/opt/BitDefender-scanner/var/quarantine」です。

10、11行目で日時、バージョン情報などとスキャン結果の概要のみを/var/log/bdscan/bdscan-result.logに抽出します。 14行目でそれをrootにメール送信します。

#!/bin/sh
# 定義ファイルをアップデート
bdscan --update > /dev/null 2>&1
# PC内にスキャンを実行
bdscan --action=quarantine --suspect-move --no-list --log=/var/log/bdscan/bdscan.log / > /dev/null 2>&1

# ログからスキャン結果を抽出
head -10 /var/log/bdscan/bdscan.log > /var/log/bdscan/bdscan-result.log 2>&1
tail -13 /var/log/bdscan/bdscan.log >> /var/log/bdscan/bdscan-result.log 2>&1

# スキャン結果をメール送信
cat /var/log/bdscan/bdscan-result.log | mail -s "BitDefender Scan Results" root > /dev/null 2>&1
rm -f /var/log/bdscan/bdscan-result.log

適当にcronで回してもらえば良いと思います。 但し、ログにスキャンした全ファイルを記録するため放っておくととんでもないサイズになってしまいます。 logrotateなどでうまく始末するか(圧縮すれば1/10以下になります)、「--log-overwrite」を付けてログを上書きするようにしてください。

こんばんは。
今月は最低5回更新という約束(?)をしたので、ちょこっと書きますね。

BitDefender

さて、BitDefenderとはルーマニアのSOFTWINが開発しているセキュリティ対策ソフトウェアです。
日本ではコマンドライン版(WIndows / Linux)のマルウェアスキャナとして利用している方もい多いかと思います。
デスクトップ向けのセキュリティ対策ソフトとして、日本での利用者は少ないようですね。
ただ、BitDefenderとは知らなくてもOEMで提供されているBitDefenderエンジンが搭載されている製品を利用している方は多いはず。
そうしたこともあり、BitDefenderは世界的にも有名というか広く利用されているので、検体収集能力は高いといえるでしょう。
したがって、シグネチャベースの検出能力も期待できます。
また、B-HaveやAVC(Active Virus Control)といった、ヒューリスティック、ビヘイビアブロッキングという機能があり未知のマルウェアに対する能力も評価できるでしょう。
そうした理由で私は利用しています。
BitDefenderを薦めているわけではありませんが、多くの製品がある中で一つの参考になればと思います。

前置きが長くなりましたが、本題へ。
先月ですね、BitDefender 2011 日本語版がやっと公開されたんです。
本家 英語版では昨年の夏にはすでに2011が公開されていたのに、仕事が遅すぎますわ。
んで、先日2011にアップデートした後の話です。

Media Player Classic - Home Cinema x64(XvidVideo.RU版)を起動しようと思ったら、起動しない。
いや、タスクマネージャを見てみるとプロセスは見えるんだが、数秒グルグルしたあと落ちてしまう。
(いろいろ試した中では、Skypeも同症状)
なかなか原因がわからなかったので、Process Monitorで観察してみると、BitDefenderのAVC関連がごにょごにょした後に必ず落ちる!
てなことで、AVCが原因かもってんで設定を見直すことに。 (IDSという検知システムもありますが、こちらは問題ないみたい)

BitDefender AVC

こんな感じで4段階のレベルがあります。
試してみた結果、どのレベルでも落ちるみたい。
ってことで例外に追加。

BitDefender AVC 例外設定

右上の「+」でファイル選択すればよろし。
う~ん、AVCって意外と誤検出も多いのね。
いや、誤検出というか、検出だったら何らかの警告が表示されるはずなので不具合かも。
何にも表示されず特定のソフトウェアが正常起動しないもんだから、ここまでたどり着くのに苦労したぜ・・・