QA: FYI : TeXLive2019のbiber.exe

bin\win32\biber.exe ですが、昨晩から(?) ESET がマルウェア (Win32/GenKryptik.EBKB の亜種) として隔離してくれています。

会社の 2 台の PC に TeXLive2019 を入れてますが、どちらも同じように隔離となっています。他のセキュリティソフトでの確認はしていないので誤検出かどうかは未確認。

# biber は使ってないので隔離されることはまあいいのですが、後で情シスに説明するのが面倒だ…

Re: FYI : TeXLive2019のbiber.exe

2020年 01月 7日(火曜日) 07:52 - Akira Kakuto の投稿

> bin\win32\biber.exe ですが、昨晩から(?) ESET がマルウェア
> (Win32/GenKryptik.EBKB の亜種) として隔離してくれています。

TeX Live Master に於いては，biber.exe は
2019-12-08 に CTAN のものがコピーされてから
変更されていません。誤検出かどうかはわかりません。

Re: FYI : TeXLive2019のbiber.exe

2020年 01月 7日(火曜日) 18:13 - nekurai の投稿

確認ありがとうございます。

先程ESET法人サポートのほうへ正誤判定調査をお願いしました。結果が来たらまた報告します。

Re: FYI : TeXLive2019のbiber.exe

2020年 01月 7日(火曜日) 18:56 - 奥村晴彦の投稿

疑わしいバイナリは
https://www.virustotal.com/
にアップロードしてみるといいと思います。数十種類のアンチウイルスソフトでチェックしてもらえます。

Re: FYI : TeXLive2019のbiber.exe

2020年 01月 7日(火曜日) 20:19 - nekurai の投稿

順にチェックしてみました。

1. ローカルにあったファイルと JAIST にある http://ftp.jaist.ac.jp/pub/CTAN/systems/texlive/tlnet/archive/biber.win32.r53064.tar.xz の比較 → MD5, SHA-1と同じ。

2. 上の JAIST のものを https://www.virustotal.com/ でチェック → 7 engines detected this file となる。SecureAge APEX, Avast, AVG, Bkav, Cylance, ESET-NOD32, Jiangmin が検知。その他は検知せず。

という事で、CTAN mirror に回っているbinaryもいくつか(ここが結構微妙なところ)のソフトでは引っかかるようです。

Re: FYI : TeXLive2019のbiber.exe

2020年 01月 7日(火曜日) 21:27 - Akira Kakuto の投稿

必要な perl ライブラリを全て含む，大きなバイナリファイルなので
引っかかる確率は高いでしょう。
作者はマルウェアではなくて，便利なものを提供しようとしている
ことは確かだと思います。

Re: FYI : TeXLive2019のbiber.exe

2020年 01月 7日(火曜日) 22:09 - 奥村晴彦の投稿

ウイルスバスターは検知していないんですね。あれはたいていTeXをウイルスと判定してインストールを邪魔するので，Windowsでうまくインストールできない場合はとりあえずウイルスバスターを切ってみてはと言うことにしています。あと，TeXではありませんが，学生がどうしてもJupyter Notebookが動かないというときもウイルスバスターを切ったら直りました。

それはともかくとして，誤検知の可能性が高いとは思いますが，ESETのレポートが楽しみです。

Re: FYI : TeXLive2019のbiber.exe

2020年 01月 9日(木曜日) 18:20 - nekurai の投稿

ESETの法人サポートから回答が来ました。

誤検出との事で、最新の検出エンジンでは検出しないとの事です。(ローカル環境とvirustotalでの検査で確認済)

とりあえず問題ないと考えて大丈夫そうです。

いろいろお騒がせしました。

Re: FYI : TeXLive2019のbiber.exe

2020年 01月 9日(木曜日) 19:29 - 奥村晴彦の投稿

よかったです。ありがとうございました。