Heur.AdvML.Bウイルスとは? シマンテック・ノートン誤検出でファイル無害

シマンテックのセキュリティソフトであるNortonノートンが無害なファイルやプログラムをHeur.AdvML.B Heur.AdvML.Cウイルスと誤検出? どんな脅威か種類や意味、誤検出で除外する対処方法をテキトー紹介。

米国のセキュリティ会社 シマンテック のセキュリティ製品ノートンのシリーズで、気になるウイルス検出名をおひとつ紹介しましょうか。 

Heur.AdvML
Heur.AdvML.B
Heur.AdvML.C
Heur.AdvML.D

シマンテックの脅威情報によれば、このウイルス検出名は 『マシンラーニング (機械学習) の技術で悪意のあるファイルを検知するヒューリステック検出』 とのことで、『コンピュータに危険をもたらすとシマンテックが判断したのでブロックする』 そうな。

Heur.AdvML.B | Symantec
Heur.AdvML.B is a heuristic detection designed to generically detect malicious files using advanced machine learning technology. A file detected by this detection name is deemed by Symantec to pose a risk to users and is therefore blocked from accessing the computer.
https://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2016-051811-2400-99

Heur → Heuristic (ヒューリスティック)
AdvML → Advanced Machine Learning

セキュリティ会社とウイルス攻撃者の攻防の中で、セキュリティ会社の対応は ”後出しジャンケン” にならざるを得ないから、対応が後手に回るウイルス定義データの更新を補完するため 未知の脅威に対抗する技術 です。

ノートンが無害ファイルを Heur.AdvML.B 誤検出?

ただ、「Heur.AdvML.B」 でググってみると、ファイルの出自・素性が明らかで、人間の脳ミソで考えれば害がないと判断できるファイルを誤って脅威と判定する 誤検出 のトラブル話が何や何やとヒットしますかい。

■ ヒューリスティックウイルス検出をオフにする方法は? | ノートン コミュニティ
https://community.norton.com/ja/forums/%E3%83%92%E3%83%A5%E3%83%BC%E3%83%AA%E3%82%B9%E3%83%86%E3%82%A3%E3%83%83%E3%82%AF%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9%E6%A4%9C%E5%87%BA%E3%82%92%E3%82%AA%E3%83%95%E3%81%AB%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95%E3%81%AF%EF%BC%9F

■ 【Logicool】ロジクールマウス179目【Logitech】 - 2ch.net
https://echo.2ch.net/test/read.cgi/hard/1466681373/913

■ SmoothVideo Project (SVP) part2 - 2ch.net
https://potato.2ch.net/test/read.cgi/software/1456242474/859

■  UWP アプリ開発で手元のタブレット使ったら norton が... - Plamo Linux 日記
https://blog.goo.ne.jp/toshi-mtk/e/0cb785140527d301db0f7a5e70b2d5c0

■ 隅須さんのツイート: "ノートン先生が「heur.advml.b」とか云ふ高レベルの脅威を解決したと言つてゐるのだが、感染ファイルが最近󠄁VS2015のC++で作つたバイナリだつた件。"
https://twitter.com/nagoya313/status/765766298643161088

■ HALさんのツイート: んとね・・heur.advml.bってのが検出されて、それけされたらToS起動しなくなったん。"
https://twitter.com/Methylsheep/status/775650249243144193

■ Grandさんのツイート: "ちょwww Re_LieF をインストールしようとしたら、Norton先生に 「SetuP.exeはHeur.AdvML.Bに感染してるで。遮断するわ。」 って言われてインストールできないんですけどwww"
https://twitter.com/2525FEDis/status/791962034086686720

■ きしださんのツイート: "最近のPCゲーはHeur.AdvML.b 入ってるのが普通なんやね"
https://twitter.com/uferbreich1/status/792273476035817472

■ ECさんのツイート: "foobar2000のDSD再生コンポーネント「Super Audio CD Decoder」 これに付属する「foo_dsd_processor」にウイルスがついておりました…"
https://twitter.com/i/web/status/792953716508811264
 
シマンテックの脅威情報のページには、『新しい脅威か亜種かを特定して名前を割り当てるので、Heur.AdvML.B と検出したファイルをシマンテック・セキュリティ・レスポンスへ提出してください』 とも書かれてあります。

つまり、「脅威の可能性がある名無しウイルス」 と言いつつ、脅威と断定していないナゾのシロモノのようです。

明らかに無害なファイルと判断できて、ノートンの Heur.AdvML.B 誤検出でプログラムの動作に支障が発生しているならば、ノートンの隔離フォルダに移動されたファイル・フォルダーを除外する対処方法で切り抜けましょう。


■ ノートン自動保護、SONAR、ダウンロードインテリジェンススキャンからファイルやフォルダを除外する
https://support.norton.com/sp/ja/jp/home/current/solutions/v3672136

■ ファイルやプログラムをスキャン対象から除外した後も脅威として検出される問題を解決する
https://support.norton.com/sp/ja/jp/home/current/solutions/v115455517

関連するブログ記事