VirtualPC2007:VHDファイルの感染

Non-English Boards 日本語
1

Virtual PC 2007で仮想マシン環境を作ったのですが、
Virtual Hard Disk (VHD)ファイルをスキャンしたところ、感染していました。

この仮想マシンは、一度もネットワーク接続をしない状態で
(仮想マシンからはネットに繋いでいない状態で)

①WindowsXPをインストールして、
②『ITプロフェッショナルおよび開発者用WindowsXPServicePack3ネットワークインストールパッケージ』
をホストから共有フォルダ経由で送り、SP3を当て、
③AVAST5.0・Ad-aware・spybotS&Dの最新のインストーラを、同様に共有フォルダ経由で送り、インストール

したもので、WindousUpdateもAVAST等の更新もしていない状態でした。
なので、ウィルス定義は最新の状態ではないですが、
一応仮想マシン内でAVAST・Ad-aware・spybotS&Dの完全スキャンを行い、安全であることも確認しました。
(Ad-WatchLive!とTeaTimerは機能させていません)

この時点で、ホストPCでVHDファイルをAVASTスキャンすると、

Win32:ZerNeboGus

に感染しているという結果が出ました。

しかし、

・仮想マシンはネットに繋いでいない
・ホストPCにはマルウェアの感染が確認できない
(AVASTのすべてのドライブスキャン、F-secureのオンラインスキャン、Ad-aware、spybotS&Dのスキャンをしました)
・仮想マシンに送ったファイルもスキャンした安全なもの

であることを考えると、この結果に少し疑問を抱いてしまいます。
VHDを削除することはできますが、再現性があるので、このままでは仮想マシンが使えません…
どのように対処すべきでしょうか?

海外のサポートフォーラムにも似た質問があるようですが、よくわかりませんでした。
申し訳ありませんが、どなた様かにご教示いただきたく思います。
宜しくお願い致します。

ホストOS:Windows7HomePremium
仮想マシン:VirtualPC2007
仮想マシンOS:windowsXP HomeEdition Cドライブのみ

※情報が足りない場合はすみません。
後から補足させて頂きます。

因みに
気になったので試してみたのですが、

・仮想マシンにXPをインストールして、SP3を当てただけの段階では
VHDスキャンで何も検知されませんでした。

・AVAST5.0・Ad-aware・spybotS&Dをインストールし、
仮想マシンのネットワークを有効にして、
WindousUpdateと各ソフトの更新を行った段階でVHDをスキャンすると、今度は

Win32:Rizo-E [Trj]

が検出されました。

・インストールするアンチウィルスソフトをWindows Security EssentialとWindows Defenderにし、
オフライン環境用の更新ファイルを当てた場合でVHDをスキャンすると

NISS:Agent-Q [Trj]

が検出されました。

何かするたびに検出されるものが変わっていて
やっぱりよくわかりません…

2

ようこそ haruka さん

結論から言いますと、この検知は無視して構いません。仮想マシンやHDDクローン特有の問題です。
実際にVHDファイルがウイルスに感染しているわけではありませんので、気になるようでしたらavast!の例外にVHDファイルを追加し、検知をしないように設定してください。

Windows7をお使いのようですので、
1.VHDファイルを「Shift」キーを押しながら右クリック
2.メニューから「パスとしてコピー」をクリック
3.メイン画面にある「設定」から、「検査からの除外」を開く
4.リストの一番下の枠にパスを貼り付け
5.「OK」で閉じる
これで、右クリックスキャンやフルスキャンの時に、このファイルは検査されなくなります。

原因ですが、おそらく検知されているのは仮想HDD内のページファイル部分かと思います。
ページファイルには、仮想マシン上のメモリデータの一部が書き込まれています。
このメモリデータの中に、セキュリティソフトが展開している生のウイルスシグネチャが含まれている場合があり、これをavastが検知してしまうようなのです。犯人にはWindowsDefenderが候補に挙げられています(主にXP以降で発生する事象なので)。
通常、ページファイルはavastの例外でスキャンしないように設定されているのですが、仮想HDD内のファイルであるために例外が効いていないようです。

WindowsUpdateをすると検知名が変わるというのは、アップデートでWindowsDefenderの定義ファイルが更新される(メモリ上のシグネチャが変わる)ため、ページファイルに送られるデータが変化し、結果として検知名が変わるのでしょう。
あるいは、単にメモリ使用量の変化からページファイルに送られるデータが変化しているだけかもしれません。

シグネチャの一部で無害とはいえ、一応ウイルスコードが存在することは事実なので、必ずしも誤検知とは言えないのが難しいところです。無害なファイルを検知しているわけですので、誤検知ではあるのですが…。

3

NON様

迅速なご返答大変ありがとうございました。
詳しく説明していただけたので、よく分かりました。