こんにちは
マカフィーテクニカルサポートセンター です。
VirusScan Enterprise (VSE) の検出ログやePolicy Orchestrator (ePO) へ送られてくる
各製品の検出イベントで、ウイルスやトロイの木馬ではなく、PUP(不審なプログラム)
の検知イベントが確認される場合がございます。今回は、このPUP (不審なプログラム)
についての情報をご紹介いたします。
■PUP (不審なプログラム)とは?
PUP (不審なプログラム)とは、Potentially Unwanted Program の
略称で、ウイルスやトロイの木馬とは違い、端末の破壊活動をしたり
自己増殖をしたりするものではなく、実行するとコンピュータの
セキュリティ状態やブラウザの設定変更、ブラウザ上で広告を表示するなど、
利用者に害を与える可能性のあるプログラムの総称です。
PUPは実行されるプログラムの用途によっては、有効利用ができる
場合もありますが、一般的にはセキュリティ状態を変更させたり
不要な広告を表示させたりすることから、場合によっては削除するべき
プログラムとして、VSEにより検知されることがあります。
例えば、PUP の一つとして認識されるパスワードクラッカーは、
忘れたパスワードを確認することができるというプログラムですが、
悪意を持った攻撃者によって機密情報へアクセスするためのツールにも
なり得ることから、意図せずインストールされたものであった場合には
該当のプログラムの削除、もしくは手動でアンインストールする必要があります。
■PUP の種類について
マカフィーでは、以下のような動きをするプログラムをPUPとして認識します。
・スパイウェア:ユーザの明示的な同意を得ることなく、ユーザが知らないうちに、個人情報を別の誰かに送信します。
・アドウェア:絞り込み広告によって収益を上げます。アドウェアは、必ずしも個人情報の捕捉と送信を行うわけではありません。
・パスワードクラッカー:忘れたパスワードを思い出すことができるというプログラムです。攻撃者にとっては、
パスワードクラッカーは機密情報への扉を開ける鍵となります。
・リモート管理ツール:コンピュータをリモートコントロールするためのプログラムです。悪意を持って利用された場合、
重大なセキュリティ脅威となります。
・ダイアラー:インターネット接続をリダイレクトして、コンテンツプロバイダまたはベンダーの接続料金を横取りします。
・ジョークプログラム:警告を表示してユーザを煩わせますが、深刻な被害をもたらすことはありません。
・キーロガー:キーボードのストロークを記録します。悪意を持って利用された場合、クレジットカード番号や暗証番号などの
入力を盗み取られる可能性があります。
・不正な可能性のある他のプログラム:上記にカテゴライズ出来ないファイルやプログラムに対する検出となります。
例としてデスクトップをカスタマイズしたり、Webブラウザ上のスタートページを意図せず変更してしてしまうものなどが該当します。
■代表的なPUPの検出名称
代表的なPUP の検出名は、以下のようなものがあります。
スパイウェア
HTool/*** , VTool/*** , PWCrack-***
アドウェア
Adware-***
パスワードクラッカー
PWCrack-***
リモート管理ツール
RemoteAdmin*** , BackDoor-***
ダイヤラー
Dialer-***
ジョークプログラム
FakeFormat*** , Joke-***
キーロガー
Keylogger , Keylog-***
不正な可能性のある他のプログラム
Generated.*** , Proxy-***, StartPage-***, Tool/***
■PUPの検出をテストする方法
PUP の検出が有効であるかテストする場合、PUP として検出されるテストウイルスを
利用してテストすることができます。詳細については、以下のKBの解決策 4 を参照ください。
[URL] EICAR マルウェア対策テスト ファイルを McAfee 製品と共に使用する方法
https://kc.mcafee.com/corporate/index?page=content&id=KB59742&actp=search&viewlocale=ja_JP
■現在適用している定義ファイル (DAT) で 検出可能なPUP を確認する方法
以下の方法で現在適用しているDAT で検出が可能なPUPを確認することが可能です。
・VSEコンソールから確認する方法
1. VSEコンソールを開きます。
2. 不審なプログラムポリシーを右クリックして[プロパティ]をクリックします。
3. [除外対象] をクリックします。
4. [追加] – [参照] をクリックします。
ここで表示されたリストに記載された検出名が現在検出可能な PUP です。
・コマンドラインで確認する方法
1. コマンドプロンプトを起動します。
2. 以下のパスに移動します。
VSE8.8の場合:cd "C:\Program Files\Common Files\McAfee\SystemCore"
VSE8.7の場合:cd "c:\Program Files\McAfee\VirusScan Enterprise"
※VSE のインストールパスは環境により異なる場合があります
3. 以下のコマンドを実行し、c:\applist.txt ファイルに検出可能なPUP のリストを出力させることができます。
CSSCAN.EXE /VIRLIST | FINDSTR /i “unwanted” > c:\applist.txt
※出力するファイルのパスは任意に変更してください。
■PUP を検出した場合の対応
上記で挙げたようなPUP と思われる検出名で検知が発生した場合、
まずは検知ログや検知イベント等から検出されたファイルが、ユーザが
意図して利用するファイルなのかどうかをご確認ください。
意図して利用していないファイルである場合、トロイの木馬に
バンドルして端末にインストールされている場合がありますので、
ファイルは復元せずにそのままご利用いただくことをお勧めいたします
また念の為に最新エンジン/DATを用いて、端末内のフルスキャンを
実行いただくことをお勧めします。検出名から詳細な情報を確認する
場合、以下のURLにてPUP の情報を検索することも可能です。
[URL]Search the Threat Library
http://www.mcafee.com/threat-intelligence/malware/latest.aspx
検出されたファイルが、ユーザが利用するファイルであり、動作について認識
して信用できるファイルである場合、以下の手順で検出対象から除外することが
可能です。
[手順]
1. VSEコンソールを開きます。
2. [不審なプログラムポリシー]を開きます。
3. [除外対象]をクリックします。
4. [追加]をクリックします。
5. 検出名を手動で入力するか、リストから選択して[OK]をクリックし設定画面を閉じます。
また、弊社アプリケーションは不審な動作をするファイルを検出するように
DATで定義しますが、まれに誤検出が発生してしまう可能性もございます。
検出されたファイルについて、誤認の疑いがある場合には、以下のURLを
参照し、検出されたファイルを検体として弊社McAfee Labs までお送りください。
[URL]McAfee Labs ウイルス解析依頼
http://www.mcafee.com/japan/security/contact_mcafeelabs.asp
McAfee Labs からの返信についてご不明な点がある場合や、検出されたファイルの
詳細な情報が上記のURL で確認できない場合、以下の情報とともに弊社 テクニカル
サポートセンターまでご連絡ください。
・McAfee Labsから発行されたAnalysis ID
・検出名が確認できるスキャンログ
・検出された端末でご利用のOS、McAfee製品、DATバージョン
・(誤認の場合)誤認の疑いがあると思われる理由
今後ともマカフィー製品をご愛顧くださいますよう宜しくお願い致します。
■PUPの検出をテストする方法
に紹介されているKBに
「成功させるために PUP 検出を有効にする必要があります。」とありますが、
ePOサーバでPUP 検出を有効にするにはどうすればいいのでしょうか。
omine 様
Communityのご利用ありがとうございます。
ePOサーバからVSEのPUPの検出が有効になっているかどうかは以下の2つのポリシーを確認することで可能です。
・オンアクセススキャンのデフォルトプロセスポリシー 内 [不審なプログラムを検出]のチェック
・不審なプログラムポリシー 内 [検出する不審なプログラムのカテゴリを選択]のチェック
[手順]
1. ePOコンソールでシステムツリーを開きます。
2. PUPの検出を有効にしたいグループを選択し[割り当て済みのポリシー]タブをクリックします。
3. 製品で[VirusScan Enterprise 8.8.0]を選択し[オンアクセススキャンのデフォルトプロセスポリシー]
のポリシー名のリンクをクリックします。
4. スキャンアイテム タブをクリックし[不審なプログラムを検出]のチェックを入れます。
※すでにチェックが入っている場合は有効の状態です。
5. 設定を保存して画面を閉じます。
6. [不審なプログラムポリシー] ポリシーを開き、[検出する不審なプログラムのカテゴリを選択]
にある PUP の各カテゴリのチェックボックスにチェックを入れます。
※チェックが入っている場合は有効な状態です。
7. 設定を保存して画面を閉じます。
以上で設定は完了です。ポリシーを変更して保存した場合、次回ePOとクライアントが
通信をしたタイミングでポリシーが適用されます。すぐにポリシーを適用させるには、
Agent ウェークアップコールを実行することですぐに適用させることが出来ます。
以上宜しくお願い致します。
マカフィーテクニカルサポートセンター
古川
古川様
ご回答ありがとうございます。
> ■PUP を検出した場合の対応
> 上記で挙げたようなPUP と思われる検出名で検知が発生した場合、
> まずは検知ログや検知イベント等から検出されたファイルが、ユーザが
> 意図して利用するファイルなのかどうかをご確認ください。
検知ログや検知イベントはどこで確認できるのでしょうか。
クライアントPCの "C:\Program Files\McAfee\VirusScan Enterprise" を確認しましたが、
そのなかにあるのでしょうか。
omine 様
ご連絡ありがとうございます。VSEの検知ログは、デフォルトでは以下のパスに保存されております。
C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection\
Vista以降のOSの場合:
C:\ProgramData\McAfee\DesktopProtection\
ログファイル名
OnAccessScanLog.txt ... オンアクセススキャンのログ
OnDemandScanLog.txt ... オンデマンドスキャンのログ
VSEコンソールのオンアクセススキャン や オンデマンドスキャンタスク を右クリックして
[ログの表示] メニューから上記のログを開くこともできます。
ePO へ送付された 検知イベントを確認する場合、ePOコンソールの メニュー - レポート - 脅威イベントログ から
一覧を確認することが可能です。 表示された脅威イベントの高速検索欄に「検出されたマルウェア」
と入力することで、マルウェアの検出イベントをフィルタすることができます。
脅威イベントの情報について、さらに細かくフィルタをする場合は、ePO のクエリとレポート機能が便利です。
ePO の メニュー - レポート - クエリとレポート から 共有グループ で[VirusScan Enterprise]を選択し
右側のクエリの一覧で [VSE:過去24時間で検出された不審なプログラム] や[VSE:過去 7 日間で検出されたスパイウェア]
という細かいフィルタが設定されたクエリを実行することができます。デフォルトで設定されているクエリは
複製や編集が可能ですので、必要に応じてフィルタを編集して必要な情報を確認するのにご利用いただければと
思います。
以上宜しくお願い致します。
マカフィーテクニカルサポートセンター
古川
Corporate Headquarters
6220 America Center Drive
San Jose, CA 95002 USA