Issue:
この記事は、次の F-Secure 製品に適用されます: F-Secure クライアント セキュリティ、F-Secure サーバー セキュリティ、Elements EPP Computer Protection、Elements EPP Server Protection
Deepguard によって、wscript.exe、ieexplorer.exe、winword.exe、explorer.exe、excel.exe、regsvr32.exe のファイルが検出されます。これを修正するにはどうすればよいですか?
Resolution:
ほとんどの場合、これらの検出はディープガード (システムに有害な可能性のある変更を検出するためにアプリケーションを監視する WithSecure 製品の基本部分) によって行われます。次のファイルは通常はクリーンで、それぞれが正規の Microsoft ファイルです。
これらの正規の Microsoft ファイルは、不審なファイル、スクリプト、またはアプリケーションが実行しようとしているため、 ディープガードによってブロックされます。
wscript.exe
ieexplorer.exe
winword.exe
explorer.exe
excel.exe
Regsvr32.exe
- FSDIAG - FSDIAG ログの作成方法については、この記事を参照してください。
- 検出を受け取ったときに実行していたファイルまたはスクリプトの可能性があります。
Policy Manager サーバーまたは Windows イベント ログに表示されるアラート:
そのマシン上でローカルに、これに関する詳細情報が含まれる AlertSenderPlugin.log を確認できます。
DeepGuard blocked an exploit action.
Application path: C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
File hash: 6490a5897c31e43393c0feba365a08611340867c
この場合、次のマクロが原因でアラートが発生します。
[...]
2019-09-20 09:38:30.426 [1004.2b68] I: ULAVMonitoring::callbackOnOASAlert: Got OAS alert with JSON: {"bookmark":"PEJvb2ttYXJrTGlzdD4NCiAgPEJvb2ttYXJrIENoYW5uZWw9J0ZTZWN1cmVVbHRyYWxpZ2h0U0RLJyBSZWNvcmRJZD0nMTIxNTknIElzQ3VycmVudD0ndHJ1ZScvPg0KPC9Cb29rbWFya0xpc3Q+","rl":"sp.evt.dg.block","rv":{"AskSample":0,"Detection":"Exploit:W32/OfficeExploitPayload.A!DeepGuard","Exploit":"d:\\shared\\download\\samples\\macrotest.xlsm","Hash":"6490a5897c31e43393c0feba365a08611340867c","Path":"C:\\Program Files (x86)\\Microsoft Office\\root\\Office16\\EXCEL.EXE","ProcessID":17996,"Rarity":2,"Reason":10,"Reputation":1,"SessionID":1,"tickcount":2348045081145}}. Extra data size: 0
[...]
AlertSenderPlugin.log は、Client Security 14.x および PSB Computer Protection を使用するクライアント上にあります。
d:\\shared\\download\\samples\\macrotest.xlsm
スキャンの結果、有害なファイルや不審なアプリケーションがインストールされていないことが示された場合は、F-Secure サポートにお問い合わせください。
C:\ProgramData\F-Secure\Log\PSB\AlertSenderPlugin.log
Article no: 000004495
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.