Heur.AdvML.Bウイルスとは無害ファイル誤検知? ノートンセキュリティ

シマンテックのセキュリティソフトNortonノートンが無害なファイルやプログラムをHeur.AdvML.B Heur.AdvML.Cウイルス誤検知・誤検出か。どういう脅威か種類と意味、除外の対処方法。

米国のセキュリティ会社 シマンテック のセキュリティ製品 ノートン (Norton) のシリーズで気になるウイルス検出名を 1 つ紹介しましょう。 

シマンテックのセキュリティソフトであるNortonノートンが無害なファイルやプログラムをHeur.AdvML.B Heur.AdvML.Cウイルスと誤検出? どんな脅威か種類や意味、誤検出で除外する対処方法をテキトー紹介。

【気になるウイルス検出名】
Heur.AdvML
Heur.AdvML.B
Heur.AdvML.C
Heur.AdvML.D

シマンテックの脅威情報によると、このウイルス検出名は 「マシンラーニング (機械学習) の技術で悪意のあるファイルを検知するヒューリステック検出」 だとか。

Heur.AdvML.B | Symantec
https://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2016-051811-2400-99

Heur.AdvML.B is a heuristic detection designed to generically detect malicious files using advanced machine learning technology. A file detected by this detection name is deemed by Symantec to pose a risk to users and is therefore blocked from accessing the computer.
Heur.AdvML.B は、高度な機械学習の技術を使って総称的に悪意のあるファイルの検出するよう設計されたヒューリスティック検出です。この検出名で検知されたファイルは、シマンテックによってユーザーにリスクをもたらすと判断されてコンピューターへのアクセスをブロックされます。

  • Heur
    Heuristic (ヒューリスティック)

  • AdvML
    Advanced Machine Learning (高度な機械学習)

セキュリティ会社とコンピュータウイルスを使うサイバー犯罪者との攻防で、セキュリティ会社は後手に回る 「後出しジャンケン」 の様相もあり、ウイルス定義データの更新アップデートに頼らない 未知の脅威に対抗するセキュリティ保護機能 のようです。

ノートンが無害ファイルを Heur.AdvML.B と誤検知か?

ただ、ウイルス検出名 「Heur.AdvML.B」 でググってみると、出自や素性が明らかで人間が考えれば無害と判断できるファイルを誤って脅威と判定する 誤検知誤検出 のトラブル話が多くヒットしますか。

ヒューリスティックウイルス検出をオフにする方法は? | ノートン コミュニティ
https://community.norton.com/ja/forums/%E3%83%92%E3%83%A5%E3%83%BC%E3%83%AA%E3%82%B9%E3%83%86%E3%82%A3%E3%83%83%E3%82%AF%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9%E6%A4%9C%E5%87%BA%E3%82%92%E3%82%AA%E3%83%95%E3%81%AB%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95%E3%81%AF%EF%BC%9F

【Logicool】ロジクールマウス179目【Logitech】 - 2ch.net
https://echo.2ch.net/test/read.cgi/hard/1466681373/913

SmoothVideo Project (SVP) part2 - 2ch.net
https://potato.2ch.net/test/read.cgi/software/1456242474/859

UWP アプリ開発で手元のタブレット使ったら norton が... - Plamo Linux 日記
https://blog.goo.ne.jp/toshi-mtk/e/0cb785140527d301db0f7a5e70b2d5c0

隅須さんのツイート: "ノートン先生が「heur.advml.b」とか云ふ高レベルの脅威を解決したと言つてゐるのだが、感染ファイルが最近󠄁VS2015のC++で作つたバイナリだつた件。"
https://twitter.com/nagoya313/status/765766298643161088

HALさんのツイート: んとね・・heur.advml.bってのが検出されて、それけされたらToS起動しなくなったん。"
https://twitter.com/Methylsheep/status/775650249243144193

Grandさんのツイート: "ちょwww Re_LieF をインストールしようとしたら、Norton先生に 「SetuP.exeはHeur.AdvML.Bに感染してるで。遮断するわ。」 って言われてインストールできないんですけどwww"
https://twitter.com/2525FEDis/status/791962034086686720

きしださんのツイート: "最近のPCゲーはHeur.AdvML.b 入ってるのが普通なんやね"
https://twitter.com/uferbreich1/status/792273476035817472

ECさんのツイート: "foobar2000のDSD再生コンポーネント「Super Audio CD Decoder」 これに付属する「foo_dsd_processor」にウイルスがついておりました…"
https://twitter.com/i/web/status/792953716508811264
 
シマンテックの脅威情報のページには、「新しい脅威か亜種かを特定して検出名を割り当てるので、Heur.AdvML.B と検出したファイルをシマンテック・セキュリティ・レスポンスへ提出してください」 とも書いてあります。

つまり、「脅威の可能性がある名無しのコンピュータウイルス」 である一方、脅威と断定していない微妙なファイルのようです。


ノートンのセキュリティソフトで無害なファイルを除外する方法

下のようなブツではなく、明らかに無害なファイルと確信あり?

  • 素性があまり分からない海外の人物からファイルをダウンロードして開くよう指示された
    詐欺師が使うファイルの名目 → 「請求書」 「契約書」 「資料」 「イラスト」 「ゲーム」

  • ゴニョゴニョするため 「チートツール」 「有償製品のクラック」 をググってダウンロードしてきた

ノートンによる Heur.AdvML.B の誤検知でプログラムの動作に支障があるなら、ノートンの隔離フォルダーに移動させられたファイルやフォルダーを除外する対処方法で切り抜けましょう。

  • ノートン自動保護、スクリプト制御、ふるまい検知からファイルやフォルダを除外する
    https://support.norton.com/sp/ja/jp/home/current/solutions/v3672136

  • ファイルやプログラムをスキャン対象から除外した後も脅威として検出される問題を解決する
    https://support.norton.com/sp/ja/jp/home/current/solutions/v115455517


関連するブログ記事