設定変更時にランサムウェアとして検出されてしまう

[Tiki]

このトピックは、別のトピックでご報告いただいた事象を独立させたものです。

以下は9jgw4yさんのご報告です。

一度だけ色変更時にトレンドマイクロのNTTセキュリティ対策ツールに、ランサムウェアとして検出されてしまいました。そのときはホワイトリストに追加し実行して動作を確認したあとに、念のためフルスキャンしましたがランサムウェアは検出されませんでした。ダウンロード数が影響してるのでしょうか。

 

色の変更は除外設定から外すと止められてしまうようです。adobeのコントロールパネル上に表示されるFlashPlayer設定マネージャーも、除外リストに追加しないと安全であるにも関わらず実行されなくなるので、何とも言えないのですが不安なので確認をお願いします。

 

「i」マークは復元しましたとだけでましたが、変更された項目にマウスカーソルを持っていくとファイル名が表示されました。変更されたファイルの拡張子はすべてjpgです。

 

Attachments:

1. 

[9jgw4y]

すみません、分けられてるのに気付きませんでした。向こうのものは削除をお願いします。

除外設定を外して実行したときに変更されたファイルは以下の通りです。打ち間違えてたらすみません。

c:\users\ユーザー名\appdeta\local\tiki\tunebrowser\imagecache\06c94754-1cbd-4106-972b6ed4baba65a5.jpg

c:\users\ユーザー名\appdeta\local\tiki\tunebrowser\imagecache\102b5e9b-98d6-4445-b7e30bedcea6d6df.jpg

c:\users\ユーザー名\appdeta\local\tiki\tunebrowser\imagecache\11ccadda-5c68-4d5e-bde1991af7fd87c9.jpg

Attachments:

1. 

[9jgw4y]

出力では碌な情報を得られなかったので打ちました。

必要ないかもしれませんが出力したログのテキストファイルも添付します。

Attachments:

1. trend1022.txt

[Tiki]

ありがとうございます。お手数をおかけします。

いただいた情報から、やはり当該のjpgファイルを作成/変更したことで検出されているようです。

ご確認いただいたフォルダはView表示用の画像キャッシュを置いておくフォルダで、Viewの描画が更新されるときに、必要に応じて楽曲ファイル内や楽曲ファイルのあるフォルダ、あるいは関連イメージとして蓄積されている画像からコピーすることで書き込まれます。

ひょっとしたら、これらのjpgファイルになにか問題があるのかもしれませんが、コピー元がどのファイルだったのか、というのは、残念ながらすぐにはわかりません。

なおご承知と思いますが、画像キャッシュを使うかどうかは、以下の設定で変更できます。あまり問題の本質とはちがうかもしれませんが…。

設定画面:

• 左側のツリー:「表示の設定」-「ビューの設定」-「イメージの設定」
• 右側の項目　:「ローカルディスク上へのキャッシュ」-「画像をローカルディスク上にキャッシュする」

わかったところまでですが、ご報告しておきます。

[9jgw4y]

設定画面:

左側のツリー:「表示の設定」-「ビューの設定」-「イメージの設定」
右側の項目　:「ローカルディスク上へのキャッシュ」-「画像をローカルディスク上にキャッシュする」

一連の操作でキャッシュの使用をNOにしたところ上記３つのファイルに変更が加えられ終了させられました。

再起動時に設定は有効化され以降は設定を変更しても検出されなくなりました。

ご対応いただきありがとうございました。

[9jgw4y]

設定を変更しても検出されなくなりました。

すみません、言葉足らずでした。

「設定」ではなく「色の設定」です。キャッシュのほうは操作すればまた終了させられるかもしれません。

[Tiki]

ご確認ありがとうございます。

状況から、やはりTuneBrowserが画像キャッシュのフォルダにJPEG画像を保存すると、ランサムウエアと判定されるようですね。このときに、

• 保存したJPEGファイルに問題がある.
• JPEGファイルを保存するという行為そのものが問題と判定されている.

のどちらかなのだろうと思いますが、これ以上は解は得られなさそうです。対処療法的には、画像キャッシュに関する既定の設定をオフ(No)にするということくらいですが、使い勝手が落ちるので、しばらく様子をみることになりそうです。

ところで、この事象は、当初「一度だけ」とご報告いただきましたが、その後の状況を見ていると、結構な頻度で判定されているのでしょうか?

[9jgw4y]

除外リストから外した状態で色の操作をしても終了されなかったので、大丈夫だと勝手に思い込んでしまい、オフライン状態で再度フルスキャンを実行した後で、PCを再起動したらキャッシュが有効な状態では、色の変更を加えOKを押して設定を終了すると、セキュリティ対策ツールにTuneBrowserを終了させられて警告がポップアップで表示されました。

[Tiki]

ご説明ありがとうございました。

そうした状況であったものが、「画像をローカルディスク上にキャッシュする」をオフ(No)にすることで、ランサムウエアとしては検出されなくなった、ということですね。

認識に相違がないようであれば、上にも書いたように本件はいったんクローズして、また様子を見るということにさせていただこうと思います。よろしくお願いします。

[9jgw4y]

「画像をローカルディスク上にキャッシュする」をオフ(No)にすることで、ランサムウエアとしては検出されなくなった、ということですね。

はい、その通りです。改めましてお忙しい中ご対応いただきありがとうございました。

[Tiki]

その後9jgw4yさんから続報をいただいたので、掲載します。

以前ご対応いただいたセキュリティ対策ツールの件ですが、NTT様のサポート対応では4.5.5.1408(64bit)で検出及び停止は確認できなかったとの連絡をいただきました。その当時私の環境下にUWP4.5.3が共存していたことや常駐ソフトがあったことの報告、また発生状況を記録したMHTMLドキュメントを送信し、再度連絡があるのを待っております。また自分自身UWP4.5.5にアップデートしたところ、イメージキャッシュを有効化しても誤検出は起こりませんでした。

[9jgw4y]

NTT様から連絡があり、UWP版4.5.5と64bit版4.5.5.1408との共存では検出は認められないとのことから

数日前にアンインストールした64bit版4.5.5.1408を再度インストールし、UWP版4.5.5と共存させた状態で色の設定変更を行ったところ、イメージキャッシュを有効化しても検出されなくなりました。

私自身UWP版を4.5.5にアップデートし再現ができなくなったことと、最新版同士の共存では問題が発生しなくなったことから、この件は解決ということでお願いします。

お付き合いいただきありがとうございました。

[Tiki]

わざわざベンダーへの問い合わせとフォローまでしていただき、ありがとうございました。

解決してよかったです。(^^)

[投稿者]

投稿