<感染>PUA:Win32/SoftcnappウイルスはCloverタブ化エクスプローラ?

Windowsエクスプローラーをタブ化する中国製フリーソフトCloverをWindows Defenderウイルス対策がPUA:Win32/Softcnappと検出して駆除削除? 脅威の原因を探ってみるみる。

Windows 標準のファイラー 「エクスプローラー」 を Chrome ブラウザっぽくタブ化できる中国製フリーソフト Clover

- Clover 開発元 -
易捷科技 EJIE Technology

この Clover のインストーラー (拡張子 .exe) をセキュリティソフト Windows Defender ウイルス対策 が脅威と判定し、実行ファイルを検疫して駆除するというお話を目にしました。

Clover のセキュリティソフト検出は PUA

さっそく、手元の Windows 環境に Clover の現物をゲットしてきて状況を確認してみたよっと。

pua-softcnapp
Clover アプリが検疫されました

Windows Defender のウイルス検出名は 「PUA:Win32/Softcnapp」 です。

ビックリ仰天して勘違いされそうだけど、PUA ということで脅威の分類上ではマルウェアには該当しないことを意味します。

マイクロソフトが CCleaner のインストーラーを PUA 検出 する特異な例があるように、Clover はグレー領域の PUA (不必要な可能性のあるアプリ、望ましくない可能性のアプリ) という判定です。

【関連するウイルス検出名】
PUA:Win32/Softcnapp
PUA:Win32/Softcnapp!ml
PUA:Win32/Softcnapp!bit
Trojan:Win32/Softcnapp

このウイルス検出名の 「Softcnapp」 部分は、恐らくこんな由来でしょうか?

  • soft … software
  • ch … china
  • app … application

他のセキュリティソフトで Clover のウイルススキャン結果 (VirusTotal) を確認してみましょう。

【Clover ウイルス検出名】
BitDefender Gen:Variant.Application.Bundler.311
ESET Win32/Softcnapp.J Win32/Softcnapp.AJ Win32/Softcnapp.AL Win32/Softcnapp.AK Win32/Softcnapp.BG Potentially Unwanted
Kaspersky Not-a-virus:HEUR:AdWare.Win32.Burden.gen
Malwarebytes PUP.Optional.ChinAd
McAfee Adware-Clover GenericRXAA-AA
Microsoft PUA:Win32/Softcnapp
Trend Micro PUA.Win32.SoftCNApp.ABQ PUA.Win32.Softcnapp.GA

同じような検出名で、Clover を PUP (不必要な可能性のあるプログラム) やアドウェア (広告的なソフトウェア) と分類するセキュリティソフトはかなり多いことが分かりました。

ただ、「トロイの木馬」 「スパイウェア」 「バックドア」 みたいな判定ではありません。


Clover 開発元は誤検出と表明

Clover の開発元曰く、セキュリティソフトの判定は false positive(誤検出) で心配ないと表明しています。

clover
Clover 公式サイト

Clover 関連の実行ファイルには、「Shanghai Oriental Webcasting Co. Ltd.」 という名義のデジタル署名がいちおう付いていて、Emotet ウイルス みたいな海外のサイバー犯罪者が明確な悪意を持って投入するブツとは言い難いでしょう。

Clover ライセンス契約書に同意できるか?

さっそく Clover のインストーラーを起動してみました。

何も Clover が勝手に強制インストールされる不正な処理は存在せず、「エンドユーザーライセンス契約書」 「プライバシーポリシー」 の確認を求める場面があって、ユーザーさんが同意の上で導入するスタイルです。

clover-install
Clover インストール画面

こうなるとセキュリティ会社が Clover を黒と判定しようがなく、それはウイルス検出名のグレー扱いからも明らかです。

その Clover のライセンス契約 (原文は中国語) をチェックしてみたところ、ココらへんの要件に納得できるか、エクスプローラーのタブ化にしては必要性に乏しい要件から 「PUA:Win32/Softcnapp」 になった可能性があります。

Clover软件用户许可协议
https://translate.google.com/translate?hl=ja&sl=auto&u=http%3A%2F%2Fcn.ejie.me%2Fxieyi.html

○ 『3. ユーザー通知 ~ (2)特別宣言 ~ (1)ユーザーは、完全なセキュリティを提供し、ユーザー体験を向上させるため、当社はユーザーがダウンロードしてインストールするために、当社の他の関連製品を本ソフトウェアにバンドルする権利を留保することに同意するものとします。』

○ 『6.ユーザー情報の収集と使用 ~ 収集する情報には、(1) デバイスのモデル、OS のバージョン、デバイスの設定、デバイス固有の識別子などのソフトウェア情報、デバイス環境などのソフトウェアやハードウェアの特性情報などのデバイスの情報、(2) IPアドレスなどのデバイスの位置情報、(3) ログ情報: ユーザーが当サイトで提供しているソフトウェアや製品・サービスを利用する際に、ユーザーが当サイトのソフトウェアや製品・サービスを利用した際の情報を自動的に収集しています。サービスの詳細な利用状況は、利用時間、特定の機能、利用期間、ウェブアクセス URL、ウェブアクセスのタイトルなどの情報をウェブログとして保持しています。』

関連するブログ記事