情報科学屋さんを目指す人のメモ

方法・手順・解説を書き残すブログ。私と同じことを繰り返さずに済むように。

カスペルスキー「悪意のあるソフトウェアが検知されました(HEUR:Trojan.Script.Agent.gen)」がChrome拡張「速訳!英辞郎®英和辞書」の「sizzle.js」に対して表示されたときのメモ

Chrome (233) Chrome-拡張機能 (2) カスペルスキー (25)

カスペルスキーから、「悪意のあるソフトウェアが検知されました」という警告が表示されました(Windows 10)。

この警告が表示されたときの調査メモを簡単に書いておきます。

表示された警告「悪意のあるソフトウェアが検知されました」

今回表示されたのは、次の警告です。

悪意のあるソフトウェアが検知されました

実行中のプログラムによる変更を保存し、すべて終了してから、コンピューターを再起動してください。

検知:HEUR:Trojan.Script.Agent.gen
場所:C:\Users\(ユーザー名)\AppD...hhkgocf\1.3.4_0\sizzle.js

[駆除してコンピューターを再起動する]

[コンピューターを再起動せずに駆除を試行する]
この方法では完全に駆除できない場合があります。
[ ]選択した処理を常に実行

この警告右上にある「i」マークはクリック可能でしたが、「PAGE NOT FOUND」ページ(404)が表示されてしまい、詳細情報は分かりませんでした。

Chrome拡張「速訳!英辞郎®英和辞書」のファイルが検出対象

省略されているファイルのパスは、

C:\Users\(ユーザー名)\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkbgdfopfbhcdnoccicgpcpgghhkgocf\1.3.4_0\sizzle.js

でした(※以前のバージョン(1.3.3_0)のディレクトリには同名ファイルはありませんでした)

「mkbgdfopfbhcdnoccicgpcpgghhkgocf」から調べてみると、このファイルはだいぶ昔にインストールして以来、現在では無効化して使っていなかった「速訳!英辞郎®英和辞書」というChrome拡張の利用するJavaScriptファイルであることが分かりました

「英辞郎」という名前が含まれていますが、英辞郎の運営会社がリリースしているオフィシャルChrome拡張というわけではなく、提供元は「8TbUmAmzNT5C」となっています。

ユーザーレビューを見て見ると、「突然変なサイトに飛ばされる」「広告が挿入される」といったレビューが今月に入って数件投稿されていることが分かりました。

「Chrome拡張が悪い」と簡単には決めつけられない

しかし、今回の件がこれらのレビューが指摘していることと関係のあるのか、はもう少し詳しく見なければ分かりません。そもそもこのChrome拡張が配布している.jsファイルが検出対象なのかすら分かりません。現時点でこのChrome拡張内のsizzle.jsが検出されただけで、実は自分のPCに侵入したマルウェアが存在していてそれがこのChrome拡張のフォルダ内に書き込んだものが検出されただけ、といった可能性もあります。

そこで、sizzle.jsの中身を見てそのあたりの情報が得られないかな、と思いました。

ファイルの中身が確認できない

しかし、管理者権限のエディタなどでも内容を閲覧してみようと思いましたが、「sizzle.js このファイルは使用されています。新しい名前を入力するか、または別のプログラムで開かれているファイルを閉じてください」や「プロセスはファイルにアクセスできません。別のプロセスが使用中です」が出てしまい断念しました。コピーしようにも、「ファイルアクセスの拒否。この操作を実行するアクセス許可が必要です。このファイルを変更するには、(PC名\ユーザー名)からアクセス許可を得る必要があります」から先に進むことができませんでした。

カスペルスキーがこの時点で読み出せないようにしてしまっているようでした。

MacBookで確認してみる

MacBookにも同じファイルがあったので内容を閲覧してみましたが、少なくともパッと見たところは、Sizzle CSS Selector Engineのソースのようでした(先ほども触れたとおり、マルウェアに書き換えられていたなどまで考慮に入れれば、このsizzle.jsが、カスペルスキーによって悪意のあるソフトウェアとして検出されたsizzle.jsと同一内容であるかは分からない)。

その.jsのソースには、Sizzleのバージョンがv1.1.2であると記載されていました。しかしSizzleのGithubのタグを見る限りv1.0.0の次はv1.4.4で、該当バージョンを見つけることができませんでした(そもそもchrome拡張用に書き換えられているっぽい)。

「コンピューターを再起動せずに駆除を試行する」を試してみる

調べるのはこのあたりで打ち切って、「コンピューターを再起動せずに駆除を試行する」を試してみることにしました。

クリックして「続行」すると、次の、矛盾しているように見えるよく分からない通知が表示されました。

ファイルを削除しました:駆除できませんでした
ファイル:sizzle.js
カスペルスキー インターネット セキュリティ

しかし、ちゃんとフォルダからsizzle.jsは削除されているように見えます(エクスプローラーで確認)。

また、カスペルスキーに表示されていた、「危険に晒されています」的な警告表示も消え、問題が無くなったように見えます。

ルートキットスキャンの途中に検出され警告が表示されていたため、この投稿を操作によって、ルートキットスキャンの続きが再開されたようで、「ルートキットスキャン(再開済み)」というスキャンが走っていたのですが、その詳細を見ても「検知:1/削除:1」の表示となっており、ぱっと見て、問題はなさそうに見えます。

ひとまず現状追加の対策操作がカスペルスキー上から誘導されていないため、様子を見てみます。

利用していないChrome拡張を削除

またChrome拡張がアップデートされたタイミングなどで再ダウンロードされてしまう可能性もあるので、使っていなかった「速訳!英辞郎®英和辞書」は、削除しました。

コメント(0)

新しいコメントを投稿