Author Topic: 誤検知でしょうか。  (Read 2411 times)

0 Members and 1 Guest are viewing this topic.

Offline tukus

  • Newbie
  • *
  • Posts: 5
誤検知でしょうか。
« on: November 20, 2022, 02:25:13 PM »
先日はアドバイス、ありがとうございました。

本日は別件になってしまうのですが、相談させて頂ければ幸いです。

状況としては、ocsp.digicert.com接続でウェブシールドに止められました。
何だろうと思って調べたら「URL:cardstealer」をMozilla Maintenance
serviceで検知されたようで。
検出機能はウェブシールドです。

そして、このURLがocsp.digicert.comでした。

自分なりに考えてはみたのですが、証明に使われるURLそのものが脅威対象のURLと判定され、その際のプログラムがモジラのソフトだったということで、誤検知なのか別の何かなのか判断できずにいます。
個人的な状況の説明になりますが、これが検知される前後、chromeでウェブショッピングをブラウジングしていました。大手のサイトを二か所で、特に問題はなかったように思います。
モジラ系統のプログラムはサンダーバードが機能していただけです。

ocsp~を知らなかったので調べたらこれは証明に使われる場所だということで、考えられるのはモジラが証明に引っ掛かったのかなくらいで、それにしてはあまり関係なさそうなプログラムというのは疑問のままでした。
上記のとおりで、一応、その際に見ていたWEBショッピングサイトとは全く別物のプログラムでの検知なので気にしなくてもいいかな、とは思ったのですが、念の為買い物はWEBマネーで済ませています。

このメンテナンスサービスというプログラムはどうもfirefoxをインストールする際についてくるメンテナンスソフトのようで、どうもバックグラウンドで更新を行うようです。
だからこれが引っ掛かったのはそのタイミングで更新が掛かったのかな、というのは想像できました。
フォルダの更新日を確認したところ、たしかに更新はウェブシールドの警告前後にされています。

もう数年firefoxは使っておらず、てっきりアンインストールしたものと思い込んでサンダーバード経由かな? と思ったのですが、調べてみたら数年前のバージョンのまま放置されているのを確認しました。
使ってないブラウザをそのままにしておいたのはミスなので、これはアンインストールしておいた方がいいとは思うのですが。

該当フォルダを直接AVASTで調べても検知はされず、スマートスキャンでも問題はありません。

何かの攻撃を受けてPC内部のプログラムがいきなりウイルスに変わる、ということはないとは思っていますが、ウェブシールドということはもしかしたら自動的に更新を読みに行く機能があって、その際に向こうのファイルに何かあって……と考えていました。cardstealerということはカード情報を盗むマルウェアだとは思うのですが、このプログラム自体にはカード情報と関連する機能はないようには思えます。
もしかしたら何らかの課金システムが加わっていて……ということかもしれませんけれども。

一応、この警告が出た前後の時間のアプリケーション履歴を見たところ、AVASTの更新(?)ログがあるだけでした。

状況的には以下のような感じです。

・証明サイトに接続しようとしたプログラムをウェブシールドが止めた。ただし、フォルダの更新日はその時間であっているものの、WINDOWSログにはなし。
・該当プログラムはここ数年未使用。ただし、更新機能はバックグラウンドで動いていたようです。
・証明サイトは特に怪しいURLではなく、その際に引っ掛かってきた脅威の種類とは繋がりで不明瞭。

対処として、

・とりあえず買い物はウェブマネーで済ませた。

です。

お時間のあるときにアドバイス頂ければ幸いです。
« Last Edit: November 20, 2022, 02:36:56 PM by tukus »

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5491
  • Whatever will be, will be.
Re: 誤検知でしょうか。
« Reply #1 on: November 20, 2022, 02:56:37 PM »
状況としては、ocsp.digicert.com接続でウェブシールドに止められました。
ドメインがocsp.digicert.comであれば、DNSハイジャックというパターンを除けば、ほぼ誤検出とみて問題ないと思います。
また、スマートスキャンで問題が無かったというところから(私の記憶が正しければ、スマートスキャンにはDNSハイジャックの確認機能が含まれています)、その例外もクリアしていると考えてよいでしょう。

なお、先ほどこちらで確認した範囲では、ocsp.digicert.com でURL:Cardstealer は検出されなかったことから、特定の条件があるか、そうでなければ誤検知であったとして解消されたものと推測されます。
Desktop: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 32GB RAM / Avast 23 Premium Beta(Icarus) / Comodo Firewall
Notebook: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 12GB RAM / Avast 23 Free / Windows Firewall Control
Server: Win11 Pro 23H2 64bit / Core i3-4010U 1.7GHz / 12GB RAM / Avast One 23 Essential

Avast の設定について解説しています。よろしければご覧ください。

Offline tukus

  • Newbie
  • *
  • Posts: 5
Re: 誤検知でしょうか。
« Reply #2 on: December 07, 2022, 12:32:35 PM »
ありがとうございます。
お陰で、あのあと安心して作業できました。

スマートスキャンにはそういった機能もあるのですね。こまめにしておいて良かったなと思います。

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5491
  • Whatever will be, will be.
Re: 誤検知でしょうか。
« Reply #3 on: December 10, 2022, 05:36:32 PM »
また何かありましたらお越しください :)
Desktop: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 32GB RAM / Avast 23 Premium Beta(Icarus) / Comodo Firewall
Notebook: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 12GB RAM / Avast 23 Free / Windows Firewall Control
Server: Win11 Pro 23H2 64bit / Core i3-4010U 1.7GHz / 12GB RAM / Avast One 23 Essential

Avast の設定について解説しています。よろしければご覧ください。