« 楽天の読書管理アプリ「Readee」の海外展開はどうなっているのだろう? | トップページ | YouTubeでVan Vogt「The Voyage of the Space Beagle」の朗読を聴く。 »

2018年4月28日 (土)

ウイルス「TrojanDownloader:JS/Jesdow.B!url」が,Windows10標準機能で検出された

 ウイルス「TrojanDownloader:JS/Jesdow.B!url」が,Windows10標準機能で検出された,と2018-03-31に相談を受けた。長々と電話回答したのだが,補足の意味で,下記をメールで送った。今回ブログ掲載に際し,多少変更した点があるが,ご容赦いただきたい。
 あれから音沙汰ないが,購入した状態にうまく戻せたのだろうか?

 見つかったフォルダから判断すると,誤検出の可能性が高いような気もするが,以前からPCの状態が不安定だったことも考えると,この機会にデータバックアップした上で,購入した状態に戻して使うのがよいと思う。昨年2017年に一世を風靡した身代金ウイルス(ランサムウェア)「WannaCry(ワナ・クライ)」がコワイが,Windows10の仕組みならWindowsUpdateを適用した状態で,購入直後の状態に戻せそうだし,不安なら,適用パッチだけをダウンロードしてきて,戻した直後に真っ先に適用すれば安心だろう。ネットワークにつながっているだけで感染するタイプのウイルス(ワーム)だから。
   http://www.atmarkit.co.jp/ait/articles/1705/17/news043.html
   今すぐできるWannaCry対策 (1-3):セキュリティパッチ適用詳説 - @IT
   2017年05月23日
   
   https://blogs.technet.microsoft.com/jpwsus/2017/05/15/wannacrypt-ms17-010-wsus/
   [WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS) - Japan WSUS Support Team Blog
   Japan Manageability and Security5月 15, 2017
   
   https://support.microsoft.com/ja-jp/help/4023262/how-to-verify-that-ms17-010-is-installed
   MS17-010 がインストールされたことを確認する方法

2018-04-28 懶道人(monogusadoujin)

【相談内容】(2018ー03ー31)
 ニュースHPからリンクをたどってHPに飛んだら何かがダウンロードされたので,慌ててダウンロードを確認し消去した。その後,Windows Defenderでウイルスチェックをすると,「TrojanDownloader:JS/Jesdow.B!url」というトロイウイルスだった。フルスキャンで検出したものを消せたようだ。この対応でよかったか意見を頂戴したい。

【回答内容】(2018-04-03)
 だいぶ前からPCの調子が悪かったのだし,ダメモトで,買ったときの状態(正確には下記のように違うが)に戻すのが,いいと思うがね。下記マイクロソフト社サイトにも手順書いてあるし,どこででも簡単にやり方は見つかるだろう。ただし,今回,ファイルを削除してしまったために,CyberLinkのアプリについては戻せない可能性が高くなってしまったのが残念ではある。

【目次】
(1) 電話で,CyberLink(PowerDVD)のメーカーサイトで,調べるように言った件。やはり情報あり。しかし不審点は残る。
(2) C:\Recovery領域から見つかったということは,古いファイル。もし本当のウイルスなら,ずっと以前に侵入していたことになる。
(3) ウイルスに感染するファイルについて
(4) 「TrojanDownloader:JS/Jesdow.B!url」について

【詳細】

(1) 電話で,CyberLink(PowerDVD)のメーカーサイトで,調べるように言った件。やはり情報あり。しかし不審点は残る。

・「PowerDVD9は、そのシステムの都合上一部のアンチウィルスソフトで、ウィルスもしくはトロイの木馬と誤認識される場合があります。」とメーカー自ら認めている。その対処法として「最新のパターンファイルを適用してください。」とも有る。トレンドマイクロ社,マカフィー社,ウィルスセキュリティZEROでの事例が載っている。

・よって,ウイルス検出時,ファイルを消してはいけないのだ。電話で話したとおり,ウイルスとして検出されたファイルを,
   https://www.virustotal.com/ja/
へアップロードして,調べることが必須。数十ものオンラインスキャンでそのファイルを調べてくれるので,本当にウイルスかどうかがわかる可能性が高い。もっとも,ウイルス作者は,これを使って,犯罪に使うウイルスファイルが,検出されないことを確認してから配布・配信しているから,油断はできないが。そこで,見つかったファイルの作成日時・更新日時を確認し,それが十分古いなら,もう多くのメーカーが対応しているであろうと見当をつける訳だ。日付がまったく新しいなら,新種の可能性が高まる。

https://jp.cyberlink.com/support/faq-content.do?id=6876
「PowerDVD 9 にウィルスもしくはトロイの木馬が検出される」問題について
「PowerDVD9は、そのシステムの都合上一部のアンチウィルスソフトで、ウィルスもしくはトロイの木馬と誤認識される場合があります。」と有り。

https://jp.cyberlink.com/support/faq-content.do?id=15469
「CyberLink PowerDVDの安全性が危険な状態です。」というエラーが出てブルーレイの再生が行えない問題について

(2) C:\Recovery領域から見つかったということは,古いファイル。もし本当のウイルスなら,ずっと以前に侵入していたことになる。

https://msdn.microsoft.com/ja-jp/library/windows/hardware/mt210509(v=vs.85).aspx
PC のリカバリー機能のしくみ

に,今回見つかったウイルスファイルのパスの一部「C:\Recovery\Customizations」が記載されている。

「PC のリカバリー機能では、Windows は出荷時のプレインストールされた状態ではなく、更新された状態に復元されます。具体的には、最新のロールアップ更新プログラムが適用された状態が復元されます (ただし、ロールアップ更新プログラムが PC にインストールされてから 28 日以上が経過している場合)。」
「プレインストールされている Windows アプリは、必ず出荷時のバージョンと状態に復元されます。これらのアプリは回復イメージから復元されるのではなく、イメージのカスタマイズや製造過程で Windows アプリがプロビジョニングされるときに、それらのアプリのコピーが自動的にバックアップされ、PC のリカバリー機能を使ってバックアップが復元されます。」

とあるので,WindowsUpdateが適用された状態で復元できるだろうが,個別のアプリは買った時の状態で復元するということだ。

今回,CyberLinkのファイルが検出され削除されたということは,買ったときの状態に復元する際に支障が出る可能性がある。(だから,あわてて削除してはいけなかったのだよ。まずは,ファイルの日付を調べ,VirusTotalにアップロードして他のウイルス対策メーカーでも調べ,さらには安全のために拡張子変更する(ウイルスが動かないように。たとえば「.virus?」とか)。

買ったときの状態に戻す,まさにその過程で,今回の件のために不具合が発生する可能性がある。まぁ,DVD鑑賞ソフトは,プレインストールのPowerDVDが以前不具合出てうっかりアンインストール(バックアップする前に)しまった後,フリーソフトウェアのVLCを使っているとのことだから,ダメだったとしても問題はないだろうがね。

https://solomon-review.net/cannot-recovery-to-factory-settings-by-windows10-recovery-disk/
Windows 10の回復ドライブはリカバリー領域のコピーではありません
2016 05/09
は,一見もっともらしいが,上記マイクロソフト社の説明と照合しても,どうも怪しい。「回復パーティション」でなく「回復ドライブ」と言っているのが変だし,スナップショットの機能はWindowsXPの時代からあるものだ。Windows10では逆に「回復パーティション」と違って,XPの時代とはだいぶ違った挙動をしているように読める。以前に復元しても最新のWindowsUpdateを保持するとかね。

しかしまぁ,スナップショット的な動きがあるのだとすれば,そこで保存されるファイルは累積で古いものになる訳だから,その領域から検出されたウイルスファイルは過去に居たウイルスということになる。最新ウイルスは検出できなくて当たり前だから,とくに「トロイの木馬」型なら,検出不能な新種ウイルスがどんどん送られてくることになり,検出できるのは古いものだけという事態になる訳だ。これは,だいぶ以前にそちらのPCで経験したよね!(思い出したか?)

リアルタイム検出で,Temporary Internet Files など,WEBブラウザのキャッシュ領域で検出されたのなら,侵入したばかりのファイルをキャッチしたのだと言えるが(ゆえにだいぶ安心),過去のファイルが保存される領域で検出されたのなら,すでにもう手遅れで,新種ウイルスがうようよ居る状態の可能性が高い訳だ。

ということで,誤検出の可能性も高いのだが,私としては,データバックアップした上で,購入状態に戻すことを勧めるね。余計な使わないファイルやアンインストール時に残るゴミもすっきり無くなって,PCも高速化し,エラーも出なくなるだろう。先に書いたように,PowerDVDがらみで無くなった(今回削除された)ファイルはどうしようもないが,まぁ,やってみないとわからないし,そういった不審な挙動を示すアプリはアンインストールしてしまった方が安心だ。

(3) ウイルスに感染するファイルについて

https://support.google.com/mail/answer/6590?hl=ja
Gmail でブロックされるファイルの種類

がわかりやすい。

添付できないファイル形式
.ade、.adp、.bat、.chm、.cmd、.com、.cpl、.dll、.dmg、.exe、.hta、.ins、.isp、.jar、.JS、.jse、.lib、.lnk、.mde、.msc、.msi、.msp、.mst、.nsh、.pif、.scr、.sct、.shb、.sys、.vb、.vbe、.vbs、.vxd、.wsc、.wsf、.wsh

しかし,これ以外にも,ウイルスが仕込まれる拡張子は有る。
今回の「.url」もその一つで,あらためてWEBで探してみると下記が見つかる。

http://www.jpita.or.jp/hpv3/ziten/gozyuon/ziten_50_uirusu.html
パソコン ウィルス情報
「JS.Jabbit は .HTML ファイルや .url ファイルに感染する Java Script ウイルスです。」

Wordや一太郎のマクロウイルスはずっと昔から有名だし,PDFもプログラム機能を追加してしまったものだから(アドビ社も余計なことを!),ウイルス感染してしまう。だから,電話の際に,これらの形式では送ってこないでくれ,と言った訳だ。

http://ascii.jp/elem/000/000/613/613269/
週刊セキュリティレポート ― 第4回
エフセキュアがセキュリティトピックスを解説!
PDFにまつわるセキュリティの問題とは?
2011年06月27日 06時00分更新
  http://ascii.jp/elem/000/000/613/613269/index-2.html
  PDFはプログラムの実行も可能!

https://www.ipa.go.jp/files/000060949.pdf
文書ファイルの新たな悪用手口に関する注意点
2017年7月27日 IPA 独立行政法人 情報処理推進機構技術本部セキュリティセンター

の資料にも,似たようなことが書いてある。(こちらはPDFにウイルスの仕込まれたWordファイルを埋め込むといった,古典的手法だが,新しい手口として紹介されている。なんだかなぁ。)

(4) 「TrojanDownloader:JS/Jesdow.B!url」について

https://answers.microsoft.com/en-us/protect/forum/protect_scanner-protect_scanning-windows_10/trojandownloaderjsjesdowburl/7f1240f2-9db4-488b-a37d-583c7ef94df9
Discussion
TrojanDownloader:JS/Jesdow.B!url

に,下記のコメントが載っている。

Jsssssssss replied on  April 1, 2018
I'm wondering why this "discussion" got so many upvotes....

Those"detections" of all kinds of Cyberlink's products/ pre-installed bloatware are nothing really new....

I do remember from some days/weeks ago or so seeing other threads on Cyberlink products "detected" by MS' products but the name of the MS "detection" was different.

Am too lazy to look it up now.

All those "detections" were sitting in recovery drives.............

まぁ,私がすでに書いたのと同じようなことを言っている訳だね。

以上

|

« 楽天の読書管理アプリ「Readee」の海外展開はどうなっているのだろう? | トップページ | YouTubeでVan Vogt「The Voyage of the Space Beagle」の朗読を聴く。 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: ウイルス「TrojanDownloader:JS/Jesdow.B!url」が,Windows10標準機能で検出された:

« 楽天の読書管理アプリ「Readee」の海外展開はどうなっているのだろう? | トップページ | YouTubeでVan Vogt「The Voyage of the Space Beagle」の朗読を聴く。 »