こんにちは

マカフィーテクニカルサポートセンター です。

VirusScan Enterprise (VSE) の検出ログやePolicy Orchestrator (ePO) へ送られてくる

各製品の検出イベントで、ウイルスやトロイの木馬ではなく、PUP（不審なプログラム）

の検知イベントが確認される場合がございます。今回は、このPUP （不審なプログラム）

についての情報をご紹介いたします。

■PUP （不審なプログラム）とは？

PUP （不審なプログラム）とは、Potentially Unwanted Program の

略称で、ウイルスやトロイの木馬とは違い、端末の破壊活動をしたり

自己増殖をしたりするものではなく、実行するとコンピュータの

セキュリティ状態やブラウザの設定変更、ブラウザ上で広告を表示するなど、

利用者に害を与える可能性のあるプログラムの総称です。

PUPは実行されるプログラムの用途によっては、有効利用ができる

場合もありますが、一般的にはセキュリティ状態を変更させたり

不要な広告を表示させたりすることから、場合によっては削除するべき

プログラムとして、VSEにより検知されることがあります。

例えば、PUP の一つとして認識されるパスワードクラッカーは、

忘れたパスワードを確認することができるというプログラムですが、

悪意を持った攻撃者によって機密情報へアクセスするためのツールにも

なり得ることから、意図せずインストールされたものであった場合には

該当のプログラムの削除、もしくは手動でアンインストールする必要があります。

■PUP の種類について

マカフィーでは、以下のような動きをするプログラムをPUPとして認識します。

・スパイウェア：ユーザの明示的な同意を得ることなく、ユーザが知らないうちに、個人情報を別の誰かに送信します。

・アドウェア：絞り込み広告によって収益を上げます。アドウェアは、必ずしも個人情報の捕捉と送信を行うわけではありません。

・パスワードクラッカー：忘れたパスワードを思い出すことができるというプログラムです。攻撃者にとっては、

　パスワードクラッカーは機密情報への扉を開ける鍵となります。

・リモート管理ツール：コンピュータをリモートコントロールするためのプログラムです。悪意を持って利用された場合、

　重大なセキュリティ脅威となります。

・ダイアラー：インターネット接続をリダイレクトして、コンテンツプロバイダまたはベンダーの接続料金を横取りします。

・ジョークプログラム：警告を表示してユーザを煩わせますが、深刻な被害をもたらすことはありません。

・キーロガー：キーボードのストロークを記録します。悪意を持って利用された場合、クレジットカード番号や暗証番号などの

　入力を盗み取られる可能性があります。

・不正な可能性のある他のプログラム：上記にカテゴライズ出来ないファイルやプログラムに対する検出となります。

　例としてデスクトップをカスタマイズしたり、Webブラウザ上のスタートページを意図せず変更してしてしまうものなどが該当します。

■代表的なPUPの検出名称

代表的なPUP の検出名は、以下のようなものがあります。

スパイウェア

HTool/*** , VTool/*** , PWCrack-***

アドウェア

Adware-***

パスワードクラッカー

PWCrack-***

リモート管理ツール

RemoteAdmin*** , BackDoor-***

ダイヤラー

Dialer-***

ジョークプログラム

FakeFormat*** , Joke-***

キーロガー

Keylogger , Keylog-***   

不正な可能性のある他のプログラム

Generated.*** , Proxy-***, StartPage-***, Tool/***

■PUPの検出をテストする方法

PUP の検出が有効であるかテストする場合、PUP として検出されるテストウイルスを

利用してテストすることができます。詳細については、以下のKBの解決策 4 を参照ください。

[URL] EICAR マルウェア対策テスト ファイルを McAfee 製品と共に使用する方法

https://kc.mcafee.com/corporate/index?page=content&id=KB59742&actp=search&viewlocale=ja_JP

■現在適用している定義ファイル (DAT) で 検出可能なPUP を確認する方法

以下の方法で現在適用しているDAT で検出が可能なPUPを確認することが可能です。

・VSEコンソールから確認する方法

1. VSEコンソールを開きます。

2. 不審なプログラムポリシーを右クリックして[プロパティ]をクリックします。

3. [除外対象] をクリックします。

4. [追加] – [参照] をクリックします。

ここで表示されたリストに記載された検出名が現在検出可能な PUP です。

・コマンドラインで確認する方法

1. コマンドプロンプトを起動します。

2. 以下のパスに移動します。

VSE8.8の場合：cd "C:\Program Files\Common Files\McAfee\SystemCore"

VSE8.7の場合：cd "c:\Program Files\McAfee\VirusScan Enterprise"

※VSE のインストールパスは環境により異なる場合があります

3. 以下のコマンドを実行し、c:\applist.txt ファイルに検出可能なPUP のリストを出力させることができます。

    CSSCAN.EXE /VIRLIST | FINDSTR /i “unwanted” > c:\applist.txt

　　　※出力するファイルのパスは任意に変更してください。

■PUP を検出した場合の対応

上記で挙げたようなPUP と思われる検出名で検知が発生した場合、

まずは検知ログや検知イベント等から検出されたファイルが、ユーザが

意図して利用するファイルなのかどうかをご確認ください。

意図して利用していないファイルである場合、トロイの木馬に

バンドルして端末にインストールされている場合がありますので、

ファイルは復元せずにそのままご利用いただくことをお勧めいたします

また念の為に最新エンジン/DATを用いて、端末内のフルスキャンを

実行いただくことをお勧めします。検出名から詳細な情報を確認する

場合、以下のURLにてPUP の情報を検索することも可能です。

[URL]Search the Threat Library

http://www.mcafee.com/threat-intelligence/malware/latest.aspx

検出されたファイルが、ユーザが利用するファイルであり、動作について認識

して信用できるファイルである場合、以下の手順で検出対象から除外することが

可能です。

[手順]

1. VSEコンソールを開きます。

2. [不審なプログラムポリシー]を開きます。

3. [除外対象]をクリックします。

4. [追加]をクリックします。

5. 検出名を手動で入力するか、リストから選択して[OK]をクリックし設定画面を閉じます。

また、弊社アプリケーションは不審な動作をするファイルを検出するように

DATで定義しますが、まれに誤検出が発生してしまう可能性もございます。

検出されたファイルについて、誤認の疑いがある場合には、以下のURLを

参照し、検出されたファイルを検体として弊社McAfee Labs までお送りください。

[URL]McAfee Labs ウイルス解析依頼

http://www.mcafee.com/japan/security/contact_mcafeelabs.asp

McAfee Labs からの返信についてご不明な点がある場合や、検出されたファイルの

詳細な情報が上記のURL で確認できない場合、以下の情報とともに弊社 テクニカル

サポートセンターまでご連絡ください。

・McAfee Labsから発行されたAnalysis ID

・検出名が確認できるスキャンログ

・検出された端末でご利用のOS、McAfee製品、DATバージョン

・（誤認の場合）誤認の疑いがあると思われる理由

今後ともマカフィー製品をご愛顧くださいますよう宜しくお願い致します。