DeepGuard détecte wscript.exe, ieexplorer.exe, winword.exe, explorer.exe, regsvr32 et excel.exe

Issue:

Cet article s'applique aux produits WithSecure suivants : WithSecure Client Security, WithSecure Server Security, Elements EPP Computer Protection et Elements EPP Server Protection

J'obtiens une détection pour les fichiers suivants : wscript.exe, ieexplorer.exe, winword.exe, explorer.exe, excel.exe et regsvr32.exe par DeepGuard. Comment puis-je résoudre ce problème ?

Resolution:

La plupart de ces détections proviennent de DeepGuard (un composant de base des produits WithSecure qui surveille les applications pour détecter les modifications potentiellement dangereuses apportées au système). Les fichiers suivants sont normalement propres et chacun est un fichier Microsoft légitime :

```
wscript.exe
ieexplorer.exe
winword.exe
explorer.exe
excel.exe
Regsvr32.exe
```
Ces fichiers Microsoft légitimes sont bloqués par DeepGuard car un fichier, un script ou une application suspect tente de les exécuter.

En ce qui concerne les produits professionnels, afin d'approfondir vos recherches, contactez le support WithSecure et fournissez les éléments suivants :

WSDIAG - Vous pouvez vous référer à cet article de la base de connaissances pour obtenir des instructions sur la création d'un journal WSDIAG
Fichier ou script possible que vous exécutiez lorsque vous recevez le détection.

Voici un exemple de cas avec Microsoft Excel et comment trouver le script à l'origine de l'alerte :

Alerte affichée dans Policy Manager Server ou dans le journal des événements Windows :


DeepGuard blocked an exploit action.
Application path: C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
File hash: 6490a5897c31e43393c0feba365a08611340867c

Localement sur cette machine, vous pouvez consulter le AlertSenderPlugin.log, qui contient des informations plus détaillées à ce sujet :


[...]
2019-09-20 09:38:30.426 [1004.2b68] I: ULAVMonitoring::callbackOnOASAlert: Got OAS alert with JSON: {"bookmark":"PEJvb2ttYXJrTGlzdD4NCiAgPEJvb2ttYXJrIENoYW5uZWw9J0ZTZWN1cmVVbHRyYWxpZ2h0U0RLJyBSZWNvcmRJZD0nMTIxNTknIElzQ3VycmVudD0ndHJ1ZScvPg0KPC9Cb29rbWFya0xpc3Q+","rl":"sp.evt.dg.block","rv":{"AskSample":0,"Detection":"Exploit:W32/OfficeExploitPayload.A!DeepGuard","Exploit":"d:\\shared\\download\\samples\\macrotest.xlsm","Hash":"6490a5897c31e43393c0feba365a08611340867c","Path":"C:\\Program Files (x86)\\Microsoft Office\\root\\Office16\\EXCEL.EXE","ProcessID":17996,"Rarity":2,"Reason":10,"Reputation":1,"SessionID":1,"tickcount":2348045081145}}. Extra data size: 0
[...]

Dans ce cas, l'alerte est provoquée par cette macro :


d:\\shared\\download\\samples\\macrotest.xlsm

AlertSenderPlugin.log se trouve ici sur les clients avec Client Security 16.x et Elements Endpoint Protection :


C:\ProgramData\F-Secure\Log\PSB\AlertSenderPlugin.log

Si l' analyse n'indique aucun fichier nuisible ni aucune application suspecte installée, contactez le support WithSecure pour obtenir de l'aide.

Article no: 000004495

powered by Google Translate
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.