<感染>PUA:Win32/FusionCoreウイルスは広告インストーラ実行ファイル

イメージ 7

セキュリティ会社のウイルス検出名 InstallCore または FusionCore とはどんな脅威か紹介しましょう。

PUA:Win32/FusionCore PUA:Win32/InstallCore
PUA.Win32.FusionCore PUA.Win32.InstallCore


ウイルス検出名 PUA とは?

PUA とは 「Potentially Unwanted Application」 の略称で、日本語の意味は 「不必要な可能性のあるアプリ」 「望まれない可能性のあるアプリ」 です。

PUA とほぼ同じ意味の表現として PUP があり、これは 「Potentially Unwanted Program」 の略称です。

PUA は導入する必要性が必ずしもない余計で不必要なプログラムのことを指し、脅威の分類上ではマルウェアには該当しないところがポイントです。




installCore の実行ファイルを起動すると症状は?

そんな installCore (読み方 インストール・コア) は、中東イスラエルの企業 ironSource が提供している 広告インストーラ で、インストール画面で余計で不必要なソフトウェアの同時導入提案を表示する仕組みがあるインストーラーです。

installcore-ironsource
イスラエル企業が手掛ける installCore Fusion

Windows パソコン向けの広告インストーラーは、ファイルの拡張子が .exe の実行ファイルです。

実際に、installCore 由来のインストーラーを普通にダブルクリックして起動したところ、こんなウィンドウ画面が表示されたので、そのスクリーンショット画像をどぞ♪


この手の広告インストーラで提案される同時導入ソフトウェアは、何かと物議を醸すものが目立ちます。 <感染経路の1つ


ただ、インストール画面で Windows ユーザーさんに対して導入する趣旨をキッチリ提示し、導入して問題ないか確認を求めた上で同意ボタンを押した場合に限ってインストールされる仕組みです。

つまり、黒判定として検出できない installCore は、グレー領域の PUA、PUP の検出名になっています。

一方、『勝手にインストールされた!』  と文句をおっしゃるユーザーさんの多くは、現実にはインストール画面に記載されてあるメッセージを1ミリも読むことなく 右下ボタン (同意) を連打している はずで、これではどうにもなりません。

PUA:Win32/FusionCore ウイルスの削除方法

Windows Defender によってインストーラー形式の実行ファイル (拡張子 .exe) が検疫されており、ひとまずは削除済みです。

Microsoft ウイルス検出名
App:InstallCore_BundleInstaller
Behavior:Win32/FusionCore.A
Behavior:Win32/FusionCore.B
Behavior:Win32/FusionCore.C!trigger
Behavior:Win32/FusionCore.D
Behavior:Win32/InstallCore.A
Behavior:Win32/InstallCore.B
Behavior:Win32/InstallCore.C
Behavior:Win32/InstallCore.D
Behavior:Win32/InstallCore.E
Behavior:Win32/InstallCore.F
Behavior:Win32/InstallCore.I
Behavior:Win32/InstallCore.J
Behavior:Win32/InstallCore.L
Behavior:Win32/InstallCore.R!trigger
PUA:MacOS/InstallCore.A!MTB
PUA:MacOS/InstallCore.B!MTB
PUA:Win32/FusionCore!ml
PUA:Win32/FusionCore.B
PUA:Win32/FusionCore.C
PUA:Win32/FusionCore.C!sms
PUA:Win32/InstallCore.K
PUA:Win32/InstallCore.M
PUA:Win32/InstallCore.M!sms
PUA:Win32/InstallCore.R
PUA:Win32/InstallCore.R!sms
Trojan:Win32/FusionCore.C!sms
Trojan:Win32/InstallCore.M!sms
Trojan:Win32/InstallCore.R!sms
Trend Micro ウイルス検出名
ADW_FUSIONCORE
ADW_INSTALLCORE
PUA.Win32.FusionCore
PUA.Win32.InstallCore
PUA_FUSCORE.component
PUA_FUSIONCORE
PUA_INSTALLCORE

関連するブログ記事