Issue:
この記事は、次の F-Secure 製品に適用されます: F-Secure クライアント セキュリティ、F-Secure サーバー セキュリティ、Elements EPP Computer Protection、Elements EPP Server Protection
Deepguard によって、wscript.exe、ieexplorer.exe、winword.exe、explorer.exe、excel.exe、regsvr32.exe のファイルが検出されます。これを修正するにはどうすればよいですか?
Resolution:
ほとんどの場合、これらの検出はディープガード (システムに有害な可能性のある変更を検出するためにアプリケーションを監視する WithSecure 製品の基本部分) によって行われます。次のファイルは通常はクリーンで、それぞれが正規の Microsoft ファイルです。
ビジネス製品については、さらに調査するために、F-Secure サポートに連絡し、次の情報を提供してください。- FSDIAG - FSDIAG ログの作成方法については、この記事を参照してください。
- 検出を受け取ったときに実行していたファイルまたはスクリプトの可能性があります。
以下は Microsoft Excel の例であり、アラートの原因となっているスクリプトを見つける方法を示しています。
Policy Manager サーバーまたは Windows イベント ログに表示されるアラート:
DeepGuard blocked an exploit action.
Application path: C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
File hash: 6490a5897c31e43393c0feba365a08611340867c
そのマシン上でローカルに、これに関する詳細情報が含まれる AlertSenderPlugin.log を確認できます。
[...]
2019-09-20 09:38:30.426 [1004.2b68] I: ULAVMonitoring::callbackOnOASAlert: Got OAS alert with JSON: {"bookmark":"PEJvb2ttYXJrTGlzdD4NCiAgPEJvb2ttYXJrIENoYW5uZWw9J0ZTZWN1cmVVbHRyYWxpZ2h0U0RLJyBSZWNvcmRJZD0nMTIxNTknIElzQ3VycmVudD0ndHJ1ZScvPg0KPC9Cb29rbWFya0xpc3Q+","rl":"sp.evt.dg.block","rv":{"AskSample":0,"Detection":"Exploit:W32/OfficeExploitPayload.A!DeepGuard","Exploit":"d:\\shared\\download\\samples\\macrotest.xlsm","Hash":"6490a5897c31e43393c0feba365a08611340867c","Path":"C:\\Program Files (x86)\\Microsoft Office\\root\\Office16\\EXCEL.EXE","ProcessID":17996,"Rarity":2,"Reason":10,"Reputation":1,"SessionID":1,"tickcount":2348045081145}}. Extra data size: 0
[...]
この場合、次のマクロが原因でアラートが発生します。
d:\\shared\\download\\samples\\macrotest.xlsm
AlertSenderPlugin.log は、Client Security 14.x および PSB Computer Protection を使用するクライアント上にあります。
C:\ProgramData\F-Secure\Log\PSB\AlertSenderPlugin.log
スキャンの結果、有害なファイルや不審なアプリケーションがインストールされていないことが示された場合は、F-Secure サポートにお問い合わせください。
Article no: 000004495
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.