<感染>PUA:Win32/CandyOpenウイルスとは削除方法と広告インストーラ

ADW_OPENCANDY、PUA.OpenCandy、PUA:Win32/CandyOpenとは海外製フリーソフトのOpenCandyインストーラーとしてダウンロードするexeファイル。広告アドウェアや迷惑ソフトが勝手にインストールされた感染検出の原因にも

OpenCandy?
CandyOpen?

セキュリティソフト のウイルス検出名 ADW_OPENCANDYPUA.OpenCandyAdware:Win32/OpenCandyPUA:Win32/CandyOpen とは、いったいどんな脅威でしょうか?


・ ADW_OPENCANDY トレンドマイクロ ウイルスバスター
https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/malware/ADW_OPENCANDY

・ Adware:Win32/OpenCandy マイクロソフト
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Adware:Win32/OpenCandy

・ PUA:Win32/CandyOpen マイクロソフト
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=PUA:Win32/CandyOpen

・ PUA.OpenCandy シマンテック ノートン
https://www.symantec.com/security_response/writeup.jsp?docid=2015-032308-2532-99

Adware:Win32/Opencandy は特定のサードパーティ製プログラムのインストーラに同封されてるアドウェアプログラムです。このプログラムの一部のバージョンには、ユニークなマシンコード、OS情報、位置(国)、その他の情報を含んだユーザー固有の情報を同意なくリモートサーバーに送信する可能性があります。
(Microsoft Malware Protection Center より)

マイクロソフトの脅威情報によると、広告的な処理に関連する情報を収集する動作について問題があると指摘しています。

フリーソフトの広告インストーラ OpenCandy

OpenCandy (オープン・キャンディー) とは、米国カリフォルニア州サンディエゴにあるソフトウェア広告企業 SweetLabs Inc. が手がけるシロモノで、ソフトウェア開発者が収益を得る インストーラー形式の実行ファイル拡張子 .exe) を提供します。

イメージ 2
Connecting Software Developers and Advertisers | OpenCandy 
http://www.opencandy[.]com/

現物の OpenCandy インストーラーのスクリーンショット画像がコチラ♪

日本でも広く紹介されている海外製フリーソフトのインストール画面にて、必ずしも利用価値があるとは言い難い余計で不必要なソフトウェア の同時導入提案を表示する仕組みです。

イメージ 3
DAEMON Tools に提示された PC Mechanic

イメージ 1
ImgBurn OpenCandy インストーラーに提示された Hao123

イメージ 5
GOM Player インストーラーに提示された Baidu IME

このような場面で、Windows ユーザーさんが書かれてある情報をいっさい確認することなく、何も考えずにテキト~に 右下ボタン(=同意) をポンポン押してしまうとどうなる?


アドウェア(広告的なソフトウェア)、迷惑ソフトにも分類されるブツが 勝手にではなくインストール されて、後から感染だ何だと大騒ぎするパターンです。 <ユーザーさんが導入に同意して許可を与えているとどうにもならん

OpenCandy CandyOpen のウイルス検出名

このインストーラーの仕組みの裏側では、OpenCandy から報酬が支払われているワケで、ウイルス というワケではない グレー領域 として、セキュリティ会社はトロイの木馬みたいな脅威とは異なる分類にしています。

  • Adware ADW_ … アドウェア (広告的なソフトウェア)

  • PUA … 不要な可能性のあるアプリケーション
    PUP … 不要な可能性のあるプログラム

完全スルーすることも多いです。 

【OpenCandy 由来の実行ファイル】
Malwarebytes PUP.Optional.OpenCandy
Microsoft Adware:Win32/OpenCandy → 検出対象から外された
Microsoft PUA:Win32/CandyOpen
Symantec PUA.OpenCandy
Trend Micro ADW_OPENCANDY

ちなみに、マイクロソフトは脅威ガイドラインに基づき、当初は検出の扱いだった Adware:Win32/OpenCandy を対象から外しています。

イメージ 6

さらに後になって、PUA (不必要な可能性のあるアプリケーション) の蔓延に対応するため脅威ガイドラインが更新されて、PUA:Win32/CandyOpen という検出名の扱いになっています。

OpenCandy CandyOpen ウイルスの削除方法


【1】

OpenCandy CaydyOpen は単なるインストーラーファイルなので、Windows のコントルールパネルの [プログラムと機能] には列挙されません。

そのため、Windows ユーザーさん自身の意思でインターネットのページからダウンロードしてきたフリーソフトの実行ファイル (拡張子 *.exe) を デスクトップダウンロード フォルダー に置いているはずで、普通に手動で実行ファイルを削除しましょう。


【2】

インストーラー関連の残骸ファイルが Windows の 一時フォルダー から検出されるかもしれません。

その 「一時ファイル」 のデータを削除するため、Windows に標準で実装されているツール ディスク クリーンアップ や、フリーソフト CCleaner などを使って削除できます。

イメージ 4

ディスク クリーンアップを使用してファイルを削除する - Windows ヘルプ
https://support.microsoft.com/ja-jp/windows/4d97fc4a-0175-8d49-ac2f-bcf27de46d34

広告インストーラーを採用する海外製フリーソフト

Wikipedia の情報、手元で実物を確認した OpenCandy インストーラーを採用する海外系フリーソフトたちです。 

Any Video Converter
Auslogics Disk Defrag
BitTorrent
WinSCP
CutePDF
CDBurnerXP
XULPlayer
Freemake Video Converter
Freemake Video Downloader
Freemake Audio Converter
ImgBurn
GOM Player
KMPlayer
PDFCreator
Free Video Dub
Daemon Tools
Daemon Tools Lite
CrystalDiskInfo
CrystalDiskMark
uTorrent
FileZilla
ResEdit
FireflyFramer

あくまで、インストーラー自体が不正と判断されて検疫検出駆除削除となるので、ソフトウェアそのものの危険性を指摘してるワケではないから、勘違いしませぬように。

関連するブログ記事