<感染>Process Hackerウイルス? セキュリティソフト検出ハックツール

72d48e05.png

Windows のタスク マネージャーのパワーアップ版のような位置づけの正規ツール 「Process Hacker」。

一方、マルウェア感染攻撃で 「Process Hacker」 が悪用されている場面があるらしく、セキュリティ会社のカスペルスキー、シマンテック、トレンドマイクロは Hacktool (ハックツール) や PUA (望まない可能性のあるアプリ) と検出しています。

【ウイルス検出名】
Kaspersky Not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen
Microsoft HackTool:Win32/ProcHack HackTool:Win64/ProcHack HackTool:Win32/ProcHack!MTB
Sophos Process Hacker (PUA)
Symantec Hacktool.ProcHack Hacktool.ProcHack!g1
Trend Micro PUA.Win32.ProcHack.A PUA.Win32.ProcHack.B PUA.Win32.ProcHack.B.component PUA.Win32.ProcHack.C.component

このため、実行ファイル 「ProcessHacker.exe」 が勝手に駆除削除されてしまうやもしれません。


以前はマイクロソフトも脅威で検出扱い

マイクロソフトも以前は Windows Defender で 「Process Hacker」 を検出する扱いにしていました。

ただ、「Process Hacker」 の公式サイトからダウンロードできる正式バージョン (バージョン 2.39) については、いちおう検出する対象から外したことを表明しています。

HackTool:Win32/ProcHack
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=HackTool:Win32/ProcHack

このマルウェアは、セキュリティ関連サービスを改ざんしたり、DLL Search Order Hijacking (DLL 検索順序ハイジャック) や他の攻撃テクニックを実行するため、脅威アクターによって使用される Process Hacker ツールの改変バージョンです。

注:
この名称での以前の検出は、悪意のある目的で使用される Process Hacker の改変されていない正当なバージョンにも適用されていました。2019 年 12 月にリリースされたセキュリティ インテリジェンスのバージョン 1.307.674.0 で、そのような不正確な検出に対処しました。現在、この名称での検出は、Process Hacker の改変バージョンだけに適用されます。しかし、マイクロソフトは正当なツールの悪意のある使用を捕捉する振る舞い検出を継続しています。

改変バージョンって何ぞ?

実は 「Process Hacker」 はオープンソースです。

つまり、ソースコードが普通に公開されていて、悪意のある第三者がマルウェア感染攻撃で悪用するための改変された 「Process Hacker」 を作成するリスクが存在します。 <マイクロソフトの説明から悪用が現実に起こっている?



Porcess Hacker 正規バージョンの確認

ひとまず正当な場面で使うことに問題のない 「Process Hacker」 か確認するには、実行ファイルのデジタル署名の有無が手っ取り早いでしょう。 <署名は開発者さんの個人名

- デジタル署名の名義 -
Wen Jia Liu


■ Windows Defender 誤検出の対処

Windows 10 のセキュリティソフト Windows Defender で、ユーザーさん自身の意志において手動ダウンロードした 「Process Hacker」 を使うなら、Windows Defender で 「ファイル」 or 「フォルダー」 の除外設定 がオススメです。