Windows Defenderでfbnative.exeがPUA:Win32/FusionCoreとして検出される: "Haniwaのページ"作者のblog

昨晩、デスクトップPC（DELL Vostro430 Windows10 Pro 64bit）のWindows Defenderの定時スキャンで、file: C:\WINDOWS\system32\fbnative.exeがPUA:Win32/FusionCoreとして警告された。

検出された脅威:PUA:Win32/FusionCore
警告レベル:重大
日付：2019/12/19 22:23
区分：望ましくない可能性のあるソフトウェア
詳細：このプログラムは、望ましくない動作をする可能性があります。
影響を受けた項目：file: C:\WINDOWS\system32\fbnative.exe

調べるとfbnative.exeはEaseUS Todo Backup Freeをインストールしたときに入ったものらしい。

とりあえずfbnative.exeを検疫しておいた。Windows Defenderの定義バーションは1.307.721.0だった。

PUA:Win32/FusionCore(microsoft.com)

それで誤検出かどうか気になっていたのだが、調べても情報がない。

もう１台のPC（レッツノートSX2 Windows10 Pro 64bit）の方もクイックスキャンしてみたら、同じようにfile: C:\WINDOWS\system32\fbnative.exeがPUA:Win32/FusionCoreとして検出されたので検疫した。こちらのWindows Defenderの定義バージョンは1.307.803.0だ。

ところが、最近買ったLet's note SX2（Windows10 Home 64bit）の方では、Windows Defenderの定義バージョン1.307.803.0でC:\WINDOWS\system32\fbnative.exeはPUA:Win32/FusionCoreとして検出されない。定義は同じなのになぜだ？

PUA:Win32/FusionCoreとして検出されたPCの共通点はWindows10 Proということと、EaseUS Todo Backup Free 11.5.02だ。

検出されなかったPCはWindows10 Home 64bitでEaseUS Todo Backup Free 12.0.0.0だ。

fbnative.exeはEaseUS Todo Backup Freeがインストールしたものだから、Windows10がProかHomeかの違いは関係なくて、EaseUS Todo Backup Free 11.5.02のfbnative.exeが怪しいのだろう。ただ、昨日の夜に警告されるまではこのfbnative.exeはPUA:Win32/FusionCoreとしては検出されてはいなかった。

あと、もうひとつ不思議なのは、Windows Defenderの定義バーションが1.307.721.0のDELLのPCの方は定義をアップデートしても「最新です」と言われて1.307.803.0にならないのである。【追記：2019年12月21日】今朝手動でアップデートしたらDELLの方は1.307.855.0になった。【追記ここまで】

誤検出があった場合に最新定義が一旦取り下げられることがある。1.307.803.0は取り下げられたのだろうか。

そう思っていたら、EaseUSからこのブログの公開しているメールアドレスに怪しいメールが来た（個人名らしきところは伏字にした）。

Haniwa様

お世話になっております。
イーザスソフトウェアのエ●と申します。

お忙しいところ、失礼いたします。

御ブログ上で弊社の製品をご紹介頂きまして感謝しています。

この記事を拝読した後、ちょっとお願いしたいことがございますが、宜しいでしょうか？
http://haniwa.asablo.jp/blog/2019/11/18/9178433

より詳しい内容をお読みになりたい読者様のために、お手数ですが、記事内へ関連製品の公式ページをアンカーテキストにてご追加頂けませんでしょうか？

EaseUS Todo Backup Free
https://jp.easeus.com/backup-software/free.html

EaseUS Partition Master Free
https://jp.easeus.com/partition-manager-software/free.html

ご多忙の中ご無理申し上げまして大変恐縮でございますが、ご検討頂けば幸いに存じます。

何卒よろしくお願い申し上げます。

EaseUS logo あなたの生活をもっとカンタンに！
－2004年設立ー

E●/エ●| 海外事業部担当
e●@easeus.com
jp.easeus.com
事業内容:
データ復旧 | パーティション管理 | データバックアップ | ユーティリティ

なんというタイミングでしょう。このメールが来なかったらこの記事は書かなかっただろう。書くとしても誤検出かどうかもう少し待ってから書いただろう。なんかあやしいけど情報がないしどうしたもんだろうというときにいきなり女性名（名字なし）でそのメーカーからの一方的なメール。たまたまだろうとは思うが怪しすぎるだろう（笑）。

私は普段からお勧めできるものの場合はなるべくリンクを貼って被リンク先の検索順位が上がるように配慮している。リンクがないというのはそういうことだ。ちゃんととメーカーや製品名は書いてあるんだから、どうしても使いたい人は検索して安全なところから自分の責任でダウンロードすればよいのだ。フリーで多くの人が使っているソフトウェアなんだけれども、なんかちょっと怪しいところがあるんだよね。それは先の記事中に書いた。

こういう依頼をしてくるのと別部門の仕事だとは思うが、自社製品がインストールした実行ファイルが「重大」ランクの「望ましくない可能性のあるソフトウェア」PUA:Win32/FusionCoreとされていることの説明をすべきなんじゃないのかなぁ。誤検出の可能性はあるけれども。もしWindows Defenderの新しい定義でスキャンして検出されないということがあれば追記するつもりだ。

【追記】
VirustotalでVostro430のEaseUS Todo Backup Free 11.5.02がインストールしたC:\WINDOWS\system32\fbnative.exeをチェック掛けてみた。66製品中2製品で検出された。ひとつはMicrosoftでPUA:Win32/FusionCore、もうひとつはRisingでPUA.FusionCore!8.124 (CLOUD)とされた（1年前の同ファイルの検査結果のようだ）。
https://www.virustotal.com/gui/file/0bec842bf35a636d74ff494f71beef0738ebaa61853cc9e9ac816a088cc92248/detection

もう一度現時点での検査をしたら70製品中1製品で検出となった。MicrosoftでPUA:Win32/FusionCoreのみだ。個人的には誤検出ではないかと思うが、Microsoftの対応待ちですな。

あと、Windows Defenderって一回検疫したものを復元するとそれをもう一回検疫することはできないみたいだ。Virusutotalにアップロードするために復元したら検疫できなくなってしまった。スキャンしてもスキャン対象から除外されているようだが除外一覧にはないので除外から除くことができない。なんだかなぁ。仕方ないので拡張子をtxtにしておいた。こんなんでもたもたしている間に拡散とかしたら嫌だなぁ。最初に検疫する前にVirustotalにアップロードすべきなんだろう。