読者です 読者をやめる 読者になる 読者になる

ewww-image-optimizer の optipng.exe がClamAVで誤検知される

まずは環境。

OS:CentOS 5.11
ClamAVclamav-0.98.7-1.el5、clamav-db-0.98.7-1.el5
WordPress:4.3.1
ewww-image-optimizer:2.5.3


2015/11/18 の2時過ぎに実行されたClamAVによるスキャンで、ewww-image-optimizer 2.5.3 に含まれている「optipng.exe」が、ウィルスとして検知された。

ClamAVのレポートは以下の通り(一部省略)。

/wp-path/plugins/ewww-image-optimizer/optipng.exe: Win.Adware.Softpulse-223 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4106106
Engine version: 0.98.7
Infected files: 1

「optipng.exe」を仮想化環境(Linux)へコピーし、オンラインで検査。
VirusTotal - Free Online Virus, Malware and URL Scanner

2015/11/18の9時頃にチェックしたところ、結果は 2/54。

ウィルスとして検知したのは、ClamAV と TheHacker の2つのみ。

TheHacker の場合は、Posible_Worm32 として検知していた。


また、前日や前々日などのバックアップから同ファイルを抽出し、ハッシュ値は同じ。

サイズ:98304 byte
MD5:e3d154829ea57a0bdd88b080f6851265
SHA256: fad3a0fd95706d53576f72593bf13d3e31d1c896c852bfd5b9ba602eca0bd2b6


サーバの他のログやプロセス等を調査して問題が無い事を確認。

プラグインを停止して、ネットで情報収集すると、以下を発見。
WordPress › Support » Virus found virustotal.com

Plugin Author の nosilver4u 氏が

looks like a false positive, but I am looking into it further. So far, everything matches what I've downloaded (months ago) from official sources.

と言っている。その後、誤検知の報告もされた模様。

/var/log/clamav/freshclam.log を見直して、パターンファイルの更新履歴からバージョンとシグネチャ部分を抜粋すると、次の通り。

2015/11/14:version: 21061, 4099803 signatures
2015/11/17:version: 21062, 4111644 signatures

一方、ClamAVのスキャン結果には「Known viruses: 4106106」とあり、signatures の数を見ても、この間にパターンに取り込まれたと思われる。


このままプラグインを停止した状態で、ClamAV のパターンが更新されるか様子を見ることに。

翌日、2015/11/19 に ClamAV で再びスキャンしてみたところ、検知されなくなった。

パターンファイルは、version: 21062, 4116258 signatures だった。

2015/11/19 の9時頃に以下で再びチェック。
VirusTotal - Free Online Virus, Malware and URL Scanner

結果は 1/54 で、検知されたは TheHacker のみ、こちらも ClamAV では検知されなくなった模様。

ewww-image-optimizer 2.5.3 に含まれている「optipng.exe」は、ClamAV によりウィルスと検知されたのは、誤検知だったと思われる。