Windows Defenderでfbnative.exeがPUA:Win32/FusionCoreとして検出される2019年12月20日 00時00分01秒

昨晩、デスクトップPC(DELL Vostro430 Windows10 Pro 64bit)のWindows Defenderの定時スキャンで、file: C:\WINDOWS\system32\fbnative.exeがPUA:Win32/FusionCoreとして警告された。

検出された脅威:PUA:Win32/FusionCore
警告レベル:重大
日付:2019/12/19 22:23
区分:望ましくない可能性のあるソフトウェア
詳細:このプログラムは、望ましくない動作をする可能性があります。
影響を受けた項目:file: C:\WINDOWS\system32\fbnative.exe

調べるとfbnative.exeはEaseUS Todo Backup Freeをインストールしたときに入ったものらしい。

とりあえずfbnative.exeを検疫しておいた。Windows Defenderの定義バーションは1.307.721.0だった。

PUA:Win32/FusionCore(microsoft.com)

それで誤検出かどうか気になっていたのだが、調べても情報がない。

もう1台のPC(レッツノートSX2 Windows10 Pro 64bit)の方もクイックスキャンしてみたら、同じようにfile: C:\WINDOWS\system32\fbnative.exeがPUA:Win32/FusionCoreとして検出されたので検疫した。こちらのWindows Defenderの定義バージョンは1.307.803.0だ。

ところが、最近買ったLet's note SX2(Windows10 Home 64bit)の方では、Windows Defenderの定義バージョン1.307.803.0でC:\WINDOWS\system32\fbnative.exeはPUA:Win32/FusionCoreとして検出されない。定義は同じなのになぜだ?

PUA:Win32/FusionCoreとして検出されたPCの共通点はWindows10 Proということと、EaseUS Todo Backup Free 11.5.02だ。

検出されなかったPCはWindows10 Home 64bitでEaseUS Todo Backup Free 12.0.0.0だ。

fbnative.exeはEaseUS Todo Backup Freeがインストールしたものだから、Windows10がProかHomeかの違いは関係なくて、EaseUS Todo Backup Free 11.5.02のfbnative.exeが怪しいのだろう。ただ、昨日の夜に警告されるまではこのfbnative.exeはPUA:Win32/FusionCoreとしては検出されてはいなかった。

あと、もうひとつ不思議なのは、Windows Defenderの定義バーションが1.307.721.0のDELLのPCの方は定義をアップデートしても「最新です」と言われて1.307.803.0にならないのである。【追記:2019年12月21日】今朝手動でアップデートしたらDELLの方は1.307.855.0になった。【追記ここまで】

誤検出があった場合に最新定義が一旦取り下げられることがある。1.307.803.0は取り下げられたのだろうか。

PC DELL Vostro430 Let's note CF-SX2 Let's note CF-SX2
OS Windows10 64bit Pro Home
Windows Defender 定義 1.307.721.0 1.307.803.0
EaseUS Todo Backup Free Ver. 11.5.02 12.0.0.0
C:\WINDOWS\system32\fbnative.exeへの判定 PUA:Win32/FusionCore 検出なし

そう思っていたら、EaseUSからこのブログの公開しているメールアドレスに怪しいメールが来た(個人名らしきところは伏字にした)。

Haniwa様

お世話になっております。
イーザスソフトウェアのエ●と申します。

お忙しいところ、失礼いたします。

御ブログ上で弊社の製品をご紹介頂きまして感謝しています。

この記事を拝読した後、ちょっとお願いしたいことがございますが、宜しいでしょうか?
http://haniwa.asablo.jp/blog/2019/11/18/9178433

より詳しい内容をお読みになりたい読者様のために、お手数ですが、記事内へ関連製品の公式ページをアンカーテキストにてご追加頂けませんでしょうか?

EaseUS Todo Backup Free
https://jp.easeus.com/backup-software/free.html

EaseUS Partition Master Free
https://jp.easeus.com/partition-manager-software/free.html

ご多忙の中ご無理申し上げまして大変恐縮でございますが、ご検討頂けば幸いに存じます。

何卒よろしくお願い申し上げます。

EaseUS logo あなたの生活をもっとカンタンに!
-2004年設立ー

E●/エ●| 海外事業部担当
e●@easeus.com
jp.easeus.com
事業内容:
データ復旧 | パーティション管理 | データバックアップ | ユーティリティ

なんというタイミングでしょう。このメールが来なかったらこの記事は書かなかっただろう。書くとしても誤検出かどうかもう少し待ってから書いただろう。なんかあやしいけど情報がないしどうしたもんだろうというときにいきなり女性名(名字なし)でそのメーカーからの一方的なメール。たまたまだろうとは思うが怪しすぎるだろう(笑)。

私は普段からお勧めできるものの場合はなるべくリンクを貼って被リンク先の検索順位が上がるように配慮している。リンクがないというのはそういうことだ。ちゃんととメーカーや製品名は書いてあるんだから、どうしても使いたい人は検索して安全なところから自分の責任でダウンロードすればよいのだ。フリーで多くの人が使っているソフトウェアなんだけれども、なんかちょっと怪しいところがあるんだよね。それは先の記事中に書いた。

こういう依頼をしてくるのと別部門の仕事だとは思うが、自社製品がインストールした実行ファイルが「重大」ランクの「望ましくない可能性のあるソフトウェア」PUA:Win32/FusionCoreとされていることの説明をすべきなんじゃないのかなぁ。誤検出の可能性はあるけれども。もしWindows Defenderの新しい定義でスキャンして検出されないということがあれば追記するつもりだ。

【追記】
VirustotalでVostro430のEaseUS Todo Backup Free 11.5.02がインストールしたC:\WINDOWS\system32\fbnative.exeをチェック掛けてみた。66製品中2製品で検出された。ひとつはMicrosoftPUA:Win32/FusionCore、もうひとつはRisingPUA.FusionCore!8.124 (CLOUD)とされた(1年前の同ファイルの検査結果のようだ)。
https://www.virustotal.com/gui/file/0bec842bf35a636d74ff494f71beef0738ebaa61853cc9e9ac816a088cc92248/detection

もう一度現時点での検査をしたら70製品中1製品で検出となった。MicrosoftPUA:Win32/FusionCoreのみだ。個人的には誤検出ではないかと思うが、Microsoftの対応待ちですな。

あと、Windows Defenderって一回検疫したものを復元するとそれをもう一回検疫することはできないみたいだ。Virusutotalにアップロードするために復元したら検疫できなくなってしまった。スキャンしてもスキャン対象から除外されているようだが除外一覧にはないので除外から除くことができない。なんだかなぁ。仕方ないので拡張子をtxtにしておいた。こんなんでもたもたしている間に拡散とかしたら嫌だなぁ。最初に検疫する前にVirustotalにアップロードすべきなんだろう。

コメント

_ ノーネームしたん ― 2019年12月24日 14時11分42秒

誤検出でしょうかねぇ…、
別のPCに入ってますが未検出です。

_ サタンのおぢさん ― 2019年12月25日 15時24分35秒

今年のHaniwa氏へのプレゼントは、
「未来永劫猫糞を受け入れる運命」
です、
嫌でも受け取ってください…。

_ Haniwa ― 2019年12月25日 19時09分51秒

■ ノーネームしたん様
誤検出だと思いたいのですが、MSはもう1年も前からPUA認定してるようです。
Potentially Unwanted Application (PUA) ですからグレーなのでしょうが、「重大」ランクですからね。
EaseUS Todo Backup Free 12.0.0.0だと検出されないようなので、バージョンアップしてみるのも手かもしれませんね。検疫されたままでも全然困っていませんが。

■ サタンのおぢさん様
ああ、ことしも左端じゃなくてサタンのおぢさんが来られる季節となってしまったのですね(泣)。

>「未来永劫猫糞を受け入れる運命」

こ、これは将来猫糞処理会社を興して億万長者になるというお告げでしょうか!(違

>嫌でも受け取ってください…。

将来猫糞が希少資源を含むとされ、ハニワニワが採掘場として坪単価数億円となるとか…(違

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※投稿には管理者が設定した質問に答える必要があります。

名前:
メールアドレス:
URL:
次の質問に答えてください:
私がよく言う「ニコンはレンズの○○環を無くすな」の○○とは?ツイッター@Haniwa_Japan参照

コメント:

トラックバック

Google
WWW を検索 haniwa.asablo.jp を検索
asahi-net.or.jp/~sp5j-hys/ を検索