このバックアップ プログラムは 1 年以上前に作成しました。これまで脅威として検出されたことはありませんでした。今朝、いつものように実行しようとしたところ、Windows Defender によって「Trojan:Win32/Bearfoos.A!ml」という深刻な脅威として隔離されました。
これは私が自分で書いた 2 つの DLL を使用します。1 つは再帰検索を行い、もう 1 つはファイルの読み取り/書き込みを行います。基本的に、私の .exe は構成ファイルを読み取り、問題が発生した場合にそれを上書きし、読み込まれた情報を使用して再帰検索を開始し、それらのファイルを複数のドライブにコピー/圧縮 (7za.exe を使用) します。
これはコンソール アプリなので、kernel32 (GetConsoleWindow) と user32.dll (ShowWindow) も Pinvoking します。
例外に追加できると思います。Avast に関する別のスレッドで、非常によく似た内容が提案されています。なぜなのか疑問に思います。なぜ今なのか。なぜ Bearfoos なのか。なぜ Windows Defender は、私が自分でそのプログラムを書いたことを検出できないのか。なぜ Windows Defender は、それが自分のローカル ドライブにファイルをコピーしているだけだと認識できないのか。自分で Windows タスク スケジューラに追加したのに、Windows Defender には、さらにどれだけのグリーン フラグが必要なのでしょうか。
ほとんどのプログラムでは、ファイルのコピーと読み取りが実行されると思います。
答え1
私は Ramhound のコメントを答えとして選びます: 「誤検知を Microsoft に報告する必要があります。誤検知を報告しない限り、Windows Defender はそれを悪意のあるものとして検出し続けます。」
昨日、Microsoft にファイルを提出し、今日返信がありました。検出を削除し、古い定義を削除して新しい定義に更新する手順を教えてくれました。
皆さんのご意見に感謝します。低評価を受けた方も含め。私のプログラムが潜在的なマルウェアとして検出された理由を理解するのに役立ったページがこちらです。 https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/criteria
答え2
100% 安全であると確信できる場合は、Windows Defender の除外リストに追加します。
答え3
なぜ今になってこのようなことが起き始めたのでしょうか? おそらく、Windows Defender の最近のアップデートにより、プログラムに対する動作が変更されたのでしょう。悪意のあるソフトウェアの検出は難しく、プロセスは 100% 信頼できるものではありません。間違いは起こります。悪意のあるソフトウェアが検出されないこともあれば、正当なソフトウェアが悪意のあるソフトウェアとして誤認されることもあります。
Windows Defender は、ユーザーがプログラムを作成したかどうかを判別して、特別な権限を付与しようとはしません。これは本当によくない考えです。プログラマーは、十分な信頼性でこれを行う能力を信頼していません。そのような機能があれば、マルウェアが検出を回避する別の方法を与えることになります。Windows Defender は、ユーザーのようにプログラムの全体像を把握していません。ファイルをチェックして既知のマルウェアのパターンを探し、そのアクティビティを監視することしかできません。そして、物事は見た目どおりではない可能性があることを認識した上で、これらすべてを実行します。現代のマルウェアは非常に洗練されており、多くのトリックがあるため、実際とは異なるものに見えます。マルウェアは検出を回避する方法を絶えず改良しており、セキュリティ ソフトウェアは検出方法を改良する必要があります。
ほとんどのセキュリティ ソフトウェアには、何らかの除外リストがあります。しかし、これも見た目ほど簡単ではありません。非常に慎重に管理しないと、悪意のあるソフトウェアがリストに自分自身を追加するだけになります。マルウェアの作成者は、Windows Defender やその他のセキュリティ製品を研究し、常に悪用できる弱点を探しています。