こちらの記事でインストールした BitDefender ですが、早速誤検出をやってくれました。
誤検出について
BitDefender をインストールしてアップデート後、再起動するように言われたので再起動すると、いきなり、
のような表示が出てきました。
何が起こったんだ?ということで、 BitDefender の画面を表示してみると、
とあるので、クリックすると、
のように出てます。これはなんだ?と表示されたパスをよくよく見ると、こちらの記事で書いた、 WSL2 上の Ubuntu の cron を起動するためのスクリプトの呼び出しでひかっかったようです。
この画面の『アプリケーションを表示』とすると
wscript.exe 自体がマルウェアとして扱われているみたいですね。
でも、これって、 wscript.exe が隔離領域に移動されてしまったとなると、何かとまずいか?と思い隔離領域を表示してみると、
こんな感じでなんにもありません。
さて、これはどういうことなんだろうか?
詳細な挙動はちょっとわからなかったのですが、この後、再起動しても
- 別段警告が出ることもなく
- エクスプローラで見ても、 C:\Windows\System32\wscript.exe ファイルは存在しているし
- WSL2 側の cron も問題なく起動されていた
ので、とりあえずは問題なく動作しているようです。
一応 BitDefender 的には、呼び出している vbs スクリプトが怪しいと判定しているみたいですね。似たような問題の報告もありました(下記は本当にマルウェアを見つけた例のようです)。
対策
とまあ、とりあえず OK かな?と思いきや、翌日改めて PC を起動すると同じファイルについてブロックしましたと出てきました。
まあ、 wscript.exe そのものは隔離されてないのでこのままでもいいんですが、毎回起動するたびに出てくるのはちょっと面倒です。
ということで、いったん、このファイルを検査対象から外しておきます。ただ、残念ながら『高度な脅威防御』では、例外に指定できるのは、実行ファイル(.exe)のみだそうです。
Advanced Threat Defense - no exceptions — The Bitdefender Expert Community
致し方ないので、とりあえず、 wscript.exe を例外に追加しておきます。
さきほどの『高度な脅威防御』を表示している画面で『設定』タブを選択します。
『例外の管理』をクリックします。
『+例外を追加』ボタンをクリックします。
wscript.exe を選択して、『保存』ボタンを押します。
最終的にこんな感じで例外を設定しておきます。
とりあえず、これで起動してすぐに警告が出るのは防げます。
でも、本来はこのファイルそのものではなく、このファイルが実行しようとしてるスクリプトファイルの中身に対して警告だしたり、例外を設定したりしてほしいところですが、そこまでできないようです。
新しいソフトだと、まだまだ、いろんなことが起こりそうです。
おまけの対策
一応、上記で wscript.exe を例外になるようにしましたが、似たようなことがあったときのために、もし隔離が起きた場合に知らない間にファイルが削除されると困るので、隔離領域の設定をデフォルトで
のように『30日以上経過したコンテンツを削除する』が有効になっているのを
のように無効にしておきました。
すくなくともこれで勝手にファイルが消されるということはなくなるので、必要に応じて戻せばいいかな?と思います。
参考
ちなみに、 BitDefender って、何か見つけたときに、それがどうやって呼び出されたのか表示する機能があるんですね。
これ、おもしろいな。
その2
BitDefender 使い始めて気になるところとしては、
- ユーザーガイドがあり、日本語化もされてるけど、 2020 年で止まってる(Web の英語版は 2023 年がある)
- サポートへの問い合わせが英語になる(Google 翻訳使えば何とでもなるけど、抵抗ある人もいるかも)
あたりですかね?
日本支社のないソフトの場合のあるあるですが、このあたり気になる人には気になりそうです。
ちなみにユーザーガイドは、ネットをググるか、 BitDefender の画面上部のアイコン(救命浮き輪、なんだろうか?)部分
をクリックすると、
のような画面が表示されて、ユーザーガイドにアクセスできます。
試用期間もまだまだあるし、まあ、もうちょっと使ってみようと思います。
