ディープガードはwscript.exe、ieexplorer.exe、winword.exe、explorer.exe、regsvr32、excel.exe を検出します。

Issue:

この記事は、以下のWithSecure製品に適用されます: WithSecure Client Security、 WithSecure Server Security、Elements EPP Computer Protection、Elements EPP Server Protection

ディープガードによって、wscript.exe、ieexplorer.exe、winword.exe、explorer.exe、excel.exe、regsvr32.exe のファイルが検出されました。どうすれば修正できますか?

Resolution:

これらの検出のほとんどは、ディープガード ( WithSecure製品の基本部分で、アプリケーションを監視してシステムに潜在的に有害な変更を検出する) から行われます。次のファイルは通常クリーンであり、それぞれが正当な Microsoft ファイルです。

```
wscript.exe
ieexplorer.exe
winword.exe
explorer.exe
excel.exe
Regsvr32.exe
```
これらの正当な Microsoft ファイルは、疑わしいファイル、スクリプト、またはアプリケーションによって実行しようとしているため、ディープガードによってブロックされます。

ビジネス製品に関しては、さらに調査するために、 WithSecureサポートに連絡して次の情報を提供してください。

WSDIAG - WSDIAGログを作成する方法については、このKB記事を参照してください。
検出を受け取ったときに実行していた可能性のあるファイルまたはスクリプト。

以下は、Microsoft Excel の例と、アラートの原因となっているスクリプトを見つける方法です。

ポリシーマネージャーサーバーまたは Windows イベントログに表示されるアラート:


DeepGuard blocked an exploit action.
Application path: C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
File hash: 6490a5897c31e43393c0feba365a08611340867c

そのマシン上でローカルに、これに関するより詳細な情報が含まれている AlertSenderPlugin.log を確認できます。


[...]
2019-09-20 09:38:30.426 [1004.2b68] I: ULAVMonitoring::callbackOnOASAlert: Got OAS alert with JSON: {"bookmark":"PEJvb2ttYXJrTGlzdD4NCiAgPEJvb2ttYXJrIENoYW5uZWw9J0ZTZWN1cmVVbHRyYWxpZ2h0U0RLJyBSZWNvcmRJZD0nMTIxNTknIElzQ3VycmVudD0ndHJ1ZScvPg0KPC9Cb29rbWFya0xpc3Q+","rl":"sp.evt.dg.block","rv":{"AskSample":0,"Detection":"Exploit:W32/OfficeExploitPayload.A!DeepGuard","Exploit":"d:\\shared\\download\\samples\\macrotest.xlsm","Hash":"6490a5897c31e43393c0feba365a08611340867c","Path":"C:\\Program Files (x86)\\Microsoft Office\\root\\Office16\\EXCEL.EXE","ProcessID":17996,"Rarity":2,"Reason":10,"Reputation":1,"SessionID":1,"tickcount":2348045081145}}. Extra data size: 0
[...]

この場合、次のマクロが原因でアラートが発生します。


d:\\shared\\download\\samples\\macrotest.xlsm

AlertSenderPlugin.log は、Client Security 16.x および Elements Endpoint Protection を搭載したクライアントでは次の場所にあります。


C:\ProgramData\F-Secure\Log\PSB\AlertSenderPlugin.log

スキャンで有害なファイルや疑わしいアプリケーションがインストールされていないことが判明した場合は、 WithSecureサポートに連絡してさらにサポートを受けてください。

Article no: 000004495

powered by Google Translate
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.