<感染>OpenCandyとは広告インストーラPUABundler:Win32/CandyOpen

ADW_OPENCANDY、PUA.OpenCandy、Win32/CandyOpenとは海外製フリーソフトOpen Candyインストーラで実行ファイル.exeダウンロード。アドウェア、迷惑ソフト勝手にインストール感染検出の原因にも。

セキュリティソフト のウイルス検出名 「OpenCandy」 または 「CandyOpen」 とは、どんな脅威でしょうか?

【OpenCandy セキュリティソフト検出名】
ADW_OPENCANDY
PUA.OpenCandy
Adware:Win32/OpenCandy
PUA:Win32/CandyOpen
PUA.Win32.OpenCandy.GN
PUABundler:Win32/CandyOpen
PUP.Optional.OpenCandy (Malwarebytes)
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=PUA:Win32/CandyOpen
https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/malware/ADW_OPENCANDY

マイクロソフトの脅威情報によると、情報の収集についての動作が懸案ありと指摘しています。

Adware:Win32/Opencandy は特定のサードパーティ製プログラムのインストーラに同封されてるアドウェア プログラムです。このプログラムの一部のバージョンには、ユニークなマシンコード、OS 情報、地理的位置 (国)、その他の情報を含んだユーザー固有の情報を同意なくリモートサーバーに送信する可能性があります。
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Adware:Win32/OpenCandy

海外製フリーソフトの広告インストーラ OpenCandy

OpenCandy (読み方 オープン・キャンディー) とは、米国カリフォルニア州サンディエゴにある広告企業 SweetLabs Inc. が手がけているサービスです。

イメージ 2
Connecting Software Developers and Advertisers | OpenCandy 
http://www.opencandy.com/

ソフトウェア開発者が収益を得るため目的で インストーラ形式の実行ファイル拡張子 .exe) を手掛けていて、OpenCandy 由来のインストーラのスクリーンショット画像がコチラ!

イメージ 3
DAEMON Tools に提示された PC Mechanic

イメージ 1
ImgBurn インストーラに提示された Hao123

イメージ 5
GOM Player インストーラに提示された Baidu IME

日本でも知られている海外製フリーソフトのインストール画面に 利用価値があるとは言い難い余計で不必要なソフトウェア の同時導入提案を表示します。

この場面で Windows ユーザーさんが記載されているメッセージを確認せず 右下ボタン (=同意) を連打してしまうと…?

  • Hao123 … ブラウザのホームページを hao123.com に変更する

  • SpeedupMyPC … 誇張した警告やエラーを表示するシステム診断ソフト
    PC Mechanic
    Registry Reviver

  • Baidu IME … 日本語入力ソフト

  • The Desktop Weather … Windows のタスクバーにお天気マークを表示する常駐ソフト

  • Opera … インターネットブラウザ

アドウェア (広告的なソフトウェア) や 迷惑ソフト の指摘もあるブツが 勝手にではなくインストール されてしまいます。

たいてい、後から 『勝手にインストールされた!』 といった文句が挙がるパターンだけど、ユーザーさんが拒否することなく導入に同意していれば手に負えません。


OpenCandy インストーラを PUA 検出へ

このようなインストーラの裏側で、個人を特定しないまでも情報収集する処理と OpenCandy からの報酬の支払いが発生しているので、一部のセキュリティソフトが ウイルス ではなくグレー領域の脅威として検出する場合があります。

  • Adware ADW_ … アドウェア (広告的なソフトウェア)

  • PUA … 不要な可能性のあるアプリ
    PUP … 不要な可能性のあるプログラム

イメージ 6

マイクロソフトは一時的に 「Adware:Win32/OpenCandy」 を検出対象から外していました。

ただ、PUA (不必要な可能性のあるアプリ) の蔓延状況を鑑みて脅威ガイドラインを見直し、Microsoft Defender では「PUA:Win32/CandyOpen」 「PUABundler:Win32/CandyOpen」 として検出するようになっています。

OpenCandy インストーラの削除方法


【1】

OpenCandy はインストーラ形式の実行ファイルです。

このインストーラそのものは Windows の [設定] → [アプリと機能] には列挙されません。

Windows ユーザーさん自身でネットからダウンロードしてきた海外製フリーソフトの実行ファイル (拡張子 .exe) が デスクトップダウンロード フォルダー にあるはずで手動で削除します。


【2】

インストーラの残骸が Windows の一時フォルダー (Temp フォルダー) から検出される可能性があります。

「一時ファイル」 のデータを削除する方法は、Windows 10/11 に標準で実装されている ディスク クリーンアップ、あるいは外部のフリーソフト (CCleaner など) を使って削除できます。

イメージ 4

ディスク クリーンアップを使用してファイルを削除する - Windows ヘルプ
https://support.microsoft.com/ja-jp/windows/4d97fc4a-0175-8d49-ac2f-bcf27de46d34

OpenCandy インストーラ採用の海外製フリーソフト

ウィキペディアの情報、さらに手元で実物を確認した OpenCandy の採用実績がある海外製フリーソフトの例です。 

【OpenCandy インストーラ採用実績のあるフリーソフト】
Any Video Converter
Auslogics Disk Defrag
BitTorrent
CDBurnerXP
CrystalDiskInfo
CrystalDiskMark
CutePDF
Daemon Tools
Daemon Tools Lite
FileZilla
FireflyFramer
Free Video Dub
Freemake Audio Converter
Freemake Video Converter
Freemake Video Downloader
GOM Player
ImgBurn
KMPlayer
PDFCreator
ResEdit
uTorrent
WinSCP
XULPlayer
https://fireflyframer.blog.jp/19062374.html

関連するブログ記事