<感染>アドウェアApp:BundleInstallerバンドル広告インストーラとは

Windows 10セキュリティソフトWindows Defenderウイルス対策が「PUA:Win32/FusionCore」「App:BundleInstaller」検出の正体はバンドル・インストーラーの実行ファイルexe

Windows 10/11 に実装されているセキュリティソフト Microsoft Defender ウイルス対策 が、黒とも白とも言えない 「バンドル・インストーラ」 (Bundle Installer) を PUA として検出する扱いになっています。

【PUA とは?】
Potentially Unwanted Application」 の略称。日本語では 「不必要な可能性のあるアプリ」 「望ましくない可能性のあるアプリ」 の意味。PUA と同じ表現に PUP (Potentially Unwanted Program) がある。
バンドル とは?】
ある製品やサービスに、別の製品やサービスを合わせて提供すること。パソコンに OS やアプリケーションソフトをあらかじめ添付するなど、販売製品に関連する製品で、使い勝手を向上させる役割のものが多い。
(小学館 デジタル大辞泉)

この手の 「バンドル・インストーラ」 は、海外製フリーソフトの配布手法として採用されています。

日本のソフトウェア情報サイトでオススメされている有名なフリーソフトも多い感じです。

  • バンドル・インストーラの仕組み
    インストール画面に不必要なソフトウェアの同時導入提案が表示される
    └ アドウェア … 広告的なソフトウェア
    └ 迷惑ソフト … 誇大な警告やエラーを表示する PC システム診断ソフト
    └ 有料製品の無料体験版

  • 勝手に強制インストールではない
    使用許諾契約書に不必要なソフトウェアを導入する趣旨の記載がある
    → 確認場面でユーザーさんが右下の同意ボタンを押す流れ


勝手にインストールされた!?

Windows ユーザーさんには、海外製インストーラのインストール画面で同時導入の確認場面があります。

事前の了承を得ている以上、セキュリティソフトは 「ウイルス」 「トロイの木馬」 という黒判定が難しく、「バンドル・インストーラ」 はグレー領域になっています。

なお、セキュリティ意識に疎い一部の Windows ユーザーさんが、インストール画面に表示されるメッセージを確認せず、テキトーに [同意] ボタンを連打して、後から 「勝手にインストールされた!」 という文句を言ってきます。

海外製フリーソフト 「バンドル・インストーラ」 例


installcore-ironsource
installCore Fusion (ironSource)

【ironSource とは】
ウイルス検出名 「PUA:Win32/FusionCore」 「PUA:Win32/InstallCore」 に深く関与するイスラエル企業。

PUA:Win32/InstallCore」 や 「PUA:Win32/CandyOpen」 は、ソフトウェア開発者に収益化の機会を提供するソフトウェア バンドル ユーティリティ (それぞれ installCoreOpen Candy というサービス名で呼称) で構築されたインストーラー プログラムの検出名です。

Open Candy は、人気のファイル共有プログラム uTorrent や、画像・写真編集プログラム Paint.NET にバンドルされていました。InstallCore は、音楽ファイルや動画ファイルの変換プログラムにバンドルされていました。
(Microsoft Security Intelligence Report / Volume 22 2017年1~3月)
ironSource のインストール戦術の詳細 (英語)
https://www.benedelman.org/news-021815/

国内検出台数トップを独占する 「アドウェア」、その活動と被害とは (トレンドマイクロ)
https://blog.trendmicro.co.jp/archives/9320

アドウェア帝国 ironSource と installCore (英語)
https://blog.infostruction.com/2018/10/26/

「バンドル・インストーラ」 を採用している実績のある海外製フリーソフトの例と、Microsoft Defender が実行ファイルを検出する名称 (PUA、Bundler、PUABundler、PUADlManager) を挙げます。

Daemon Tools Lite (アメリカ)
DTLiteInstaller.exe
PUA:Win32/FusionCore
PUABundler:Win32/FusionCore
App:Daemon_Tools_Lite_BundleInstaller
Cheat Engine (オランダ)
CheatEngine*.exe Firefly
PUA:Win32/FusionCore.C
PUABundler:Win32/FusionCore
App:Cheat_Engine_BundleInstaller
PUADlManager:Win32/OfferCore
FileZilla (ドイツ)
FileZilla_*_win64_sponsored-setup.exe FileZilla_*_win32_sponsored-setup.exe
PUABundler:Win32/FileZilla_BundleInstaller
PUA:Win32/FusionCore
PUABundler:Win32/FusionCore
App:FileZilla_BundleInstaller Firefly
ImgBurn (イギリス)
PUA:Win32/ICBundler
App:ImgBurn_BundleInstaller
PUA:Win32/PcMechanic
Format Factory (中国)
FFSetup.exe Firefly
PUA:Win32/FusionCore
PUABundler:Win32/FusionCore
App:Formatfactory_BundleInstaller
PowerISO (中国)
PowerISO*-x64.exe PowerISO*.exe
PUA:Win32/FusionCore
PUABundler:Win32/FusionCore
App:Poweriso_BundleInstaller
NoxPlayer (中国) Firefly
Nox_unload.exe
PUA:Win32/FusionCore
PUABundler:Win32/FusionCore
App:NoxPlayer_BundleInstaller
EaseUS Todo Backup Free (中国)
tb_free.exe Firefly
PUA:Win32/FusionCore
PUABundler:Win32/FusionCore
App:EaseUS_BundleInstaller
FreeFileSync (ドイツ)
FreeFileSync_*.*_Windows_Setup.exe
PUA:Win32/FusionCore
PUABundler:Win32/FusionCore
YTD Video Downloader (アメリカ)
YTDSetup.exe Firefly
PUA:Win32/YTDVideoDownload
PUABundler:Win32/YTDVideoDownload
uTorrent
utweb_installer.exe
App:Utorrent
PUA:Win32/uTorrent
PUABundler:Win32/uTorrent
App:Utorrent_bundleinstaller

関連するブログ記事