Windows DefenderにAutoItアプリがマルウェアとして認識されたらMicrosoftにファイルを送って診断してもらう

autoitとWindows Defender AutoIT

AutoItで悩ましいのが、AV (Anti Virus)ソフトにマルウェアとして認識される可能性が高いこと。特にTrojan:Win32/*** って・・・いや、わたくしマルウェアなるものを作ったつもりはないんですが。

社内で使っている、「請求書作成・印刷」ロボットアプリで使っていたらいきなり消えていて「ん!?」どこに行った状態になったという設定で。(実話)

スポンサーリンク

1. Windows Defenderの設定でスキャンしないフォルダを設定する(自分のPCのみ解決)

普段使っているアプリは安全だとWindows Defenderに教えましょう。
Windowsセキュリティの「ウイルスと脅威の防止->除外」項目があるので、「除外の追加または削除」を選択します。

「除外の追加」で「フォルダ」などを選択して、スキャン対象から外すとOKです。
但し、当然本物のマルウェアがその除外フォルダに入ったらスキャンしないので。(入ることはまずないと思いますが)

Windows Defenderでスキャン対象からはずす 除外

2. ファイルをMicrosoftに送り診断してもらう

1の方法だと、自分のPCでは大丈夫ですが他のPCでは引っかかってしまいます。
そもそものWindows Defenderのデータベースから除外してもらうようにしなければなりません。

2.1 Submit a file for malware analysis

ここに、自分が安全であると確信したファイルをアップロードし、診断してもらいましょう。
Microsoftアカウントが必要です。

Submit a file for malware analysis - Microsoft Security Intelligence
Submit suspected malware or incorrectly detected files for analysis. Submitted files will be added to or removed from antimalware definitions based on the analy...

日本語の説明は下記URL

マルウェア検体の提出方法の変更のお知らせ

では、キャプチャを見ながら。

submit a file for malware analysis

ログインしていると、早速ファイル送信フォームが出てきます。

malware analysisフォーム

送信したら後は結果を待つ。

3. 診断結果

プログラムが小さいからなのか、4時間弱で結果が出ました。Status Completedです!
「検出 からはずしました」と。Not malwareになっています。

送ってすぐにCloudのほうがTrojanにすぐなり「Pending」になっていたのですが、人がチェックしたのか、結果はNot malwareになりましたね。

3.1 Windows Defenderの定義ファイルを更新しないとまたひっかかる

というわけで、Windows Defenderの「保護の更新」でバージョン上げるか、上記コメントしたにも書いてあるように以下のことを行います。

  1. 管理者モードでコマンドプロンプト立ち上げて、C:\Program Files\Windows Defender にいく
  2. “MpCmdRun.exe -removedefinitions -dynamicsignatures” をたたく
  3. “MpCmdRun.exe -SignatureUpdate” をたたく

もしくは、最終版の定義をダウンロードする。https://www.microsoft.com/en-us/wdsi/definisions ・・・ってページ見つからないじゃん!!

コメント

タイトルとURLをコピーしました