Drive Genius の Clamscan によって macOS Ventura の 書類フォルダから Win.Malware.Neshta-9985781-0 が検出されました。
でた、$WinPEDriver$ フォルダの中の IntelCpHeciSvc.exe がマルウェア感染!
…て、それってもしかして以前 Apple の Boot Campアシスタント.app のメニューバーからダウンロードしたものじゃね?
macOS Ventura インストール時に以前の環境からの「移行」をおこなっており、その時、前に BootCamp.app を使ってダウンロードしておいた「Windowsサポートソフトウェア」のフォルダも macOS Ventura 環境にコピーされています。
その中にある $WinPEDriver$ フォルダの中の IntelCpHeciSvc.exe が Win.Malware.Neshta-9985781-0 に感染ってことみたいなんですけど。
ほんとうなのかなあ?
もしほんとうだったら嫌でよすねえ、これ。
だけど、これってまた ClamAV® の誤検知なんじゃね?
また、っていうのは、このあいだも WindowsSupport/BootCamp/Drivers/NVidia/NVidiaGraphics64/Display.Driverフォルダの中のファイルがマルウェア感染だ!っていうアラートをうじゃうじゃ表示したことがあるのが Drive Genius の DrivePulse なので、どうも ClamAV を利用してるっぽい Drive Genius の Clamscan での既存の書類への警告はイマイチ信用しきれないんですよね。
ClamAV® は、トロイの木馬、ウイルス、マルウェア、その他の悪意のある脅威を検出する、オープンソースで提供されているクロスプラットフォームのアンチウイルスエンジンです。
そもそも Boot Campアシスタント.app は Apple が用意しているものだし、Windowsサポートソフトウェアだって Apple のサーバーからダウンロードされたものだし、この.exe の出どころは intel だし、いくらなんでもマルウェアをそのままダウンロードとかさせないでしょ普通。
で、やっぱり ClamAV Signature Publishing Notice (署名公開通知) の中には、Win.Malware.Neshta-9985781-0 はあります。
Boot Campアシスタント.app
macOS Monterey から macOS Ventura へと macOS が新しくなって、Boot Campアシスタント.app のバージョンも変わっています。
macOS Monterey のときの Boot Campアシスタント.app のバージョンは 6.1.0 (6321.240.1) で、macOS Ventura の Boot Campアシスタントのバージョンは 6.1.0 (6331.60.2) となっており、どうやら新しくなっているみたいですね。
じゃあ、新しいほうの Boot Campアシスタント.app を立ち上げた時のメニューバーにあるアクションからダウンロードすることができる「Windowsサポートソフトウェア」はどうなっているのか?
それもまた感染ファイル入りなのか、それとも、そうではなく違うファイルが入っているのか?
どうなんじゃろ?
…てことで、macOS Ventura の新しい Boot Campアシスタント.app のメニューバーのアクションから「Windowsサポートソフトウェア」をダウンロードして…
感染ファイルだとされる既存のファイルと、今回新たにダウンロードしてみた IntelCpHeciSvc.exe を比較してみたところ…
IntelCpHeciSvc.exe、279 KB、最終変更日: 2013年12月12日 木曜日 9:05:38
ファイルを比較しても、情報を見る、で表示してみても、どちらもまったく一緒のもので、その中身も同一のものでしたね。
IntelCPHECISvc が何かというと Intel® Content Protection HECI Service の略で、IntelCpHeciSvc.exe ファイルは Intel Corporation の Intel® HD Graphics の構成要素で、怪しいものではないんです。
これらの件について、intel のコミュニティでもいろいろ言われているみたいですね。
で、Intel Customer Support Technician の David G によると、Intel からのものであるため警告は誤検知だって言ってますね。
最終変更日 2013年ってもう 10年前の書類ですけど、Mac の機種や BootCamp環境によっては、いまもこれが必要だったりする感じですね、この頃の intelMac をまだ現役で使っているマックユーザーはどのくらいいるんでしょうか?
でも Macpro5,1 の Xeon にとっては件の HD Graphics なんてはじめから必要のないものだったりします。
もし、その機種にとって必要なもの一式だけが入ってダウンロードされる仕組みの「Windowsサポートソフトウェア」だったらモアベターだったんですけどね。
ていうか、インテル® インテグレーテッド・グラフィックス用グラフィックス・ドライバーのインストール時に問題が生じる場合の対話型ウィザード、インテル® グラフィックス・ドライバー用インストール・トラブルシューティング・ウィザード みたいなものまでいちいち用意してくれているとか親切ですね。
…てことで、疑わしいアクティビティを監視することは大事だけど、これは誤検知なんでしょう。
次のデータベースの更新では解消されているはず?、しらんけど。
そんじゃあね〜…(´・ω・`)
でた、$WinPEDriver$ フォルダの中の IntelCpHeciSvc.exe がマルウェア感染!
…て、それってもしかして以前 Apple の Boot Campアシスタント.app のメニューバーからダウンロードしたものじゃね?
macOS Ventura インストール時に以前の環境からの「移行」をおこなっており、その時、前に BootCamp.app を使ってダウンロードしておいた「Windowsサポートソフトウェア」のフォルダも macOS Ventura 環境にコピーされています。
その中にある $WinPEDriver$ フォルダの中の IntelCpHeciSvc.exe が Win.Malware.Neshta-9985781-0 に感染ってことみたいなんですけど。
ほんとうなのかなあ?
もしほんとうだったら嫌でよすねえ、これ。
だけど、これってまた ClamAV® の誤検知なんじゃね?
また、っていうのは、このあいだも WindowsSupport/BootCamp/Drivers/NVidia/NVidiaGraphics64/Display.Driverフォルダの中のファイルがマルウェア感染だ!っていうアラートをうじゃうじゃ表示したことがあるのが Drive Genius の DrivePulse なので、どうも ClamAV を利用してるっぽい Drive Genius の Clamscan での既存の書類への警告はイマイチ信用しきれないんですよね。
ClamAV® は、トロイの木馬、ウイルス、マルウェア、その他の悪意のある脅威を検出する、オープンソースで提供されているクロスプラットフォームのアンチウイルスエンジンです。
そもそも Boot Campアシスタント.app は Apple が用意しているものだし、Windowsサポートソフトウェアだって Apple のサーバーからダウンロードされたものだし、この.exe の出どころは intel だし、いくらなんでもマルウェアをそのままダウンロードとかさせないでしょ普通。
で、やっぱり ClamAV Signature Publishing Notice (署名公開通知) の中には、Win.Malware.Neshta-9985781-0 はあります。
Boot Campアシスタント.app
macOS Monterey から macOS Ventura へと macOS が新しくなって、Boot Campアシスタント.app のバージョンも変わっています。
macOS Monterey のときの Boot Campアシスタント.app のバージョンは 6.1.0 (6321.240.1) で、macOS Ventura の Boot Campアシスタントのバージョンは 6.1.0 (6331.60.2) となっており、どうやら新しくなっているみたいですね。
じゃあ、新しいほうの Boot Campアシスタント.app を立ち上げた時のメニューバーにあるアクションからダウンロードすることができる「Windowsサポートソフトウェア」はどうなっているのか?
それもまた感染ファイル入りなのか、それとも、そうではなく違うファイルが入っているのか?
どうなんじゃろ?
…てことで、macOS Ventura の新しい Boot Campアシスタント.app のメニューバーのアクションから「Windowsサポートソフトウェア」をダウンロードして…
感染ファイルだとされる既存のファイルと、今回新たにダウンロードしてみた IntelCpHeciSvc.exe を比較してみたところ…
IntelCpHeciSvc.exe、279 KB、最終変更日: 2013年12月12日 木曜日 9:05:38
ファイルを比較しても、情報を見る、で表示してみても、どちらもまったく一緒のもので、その中身も同一のものでしたね。
IntelCPHECISvc が何かというと Intel® Content Protection HECI Service の略で、IntelCpHeciSvc.exe ファイルは Intel Corporation の Intel® HD Graphics の構成要素で、怪しいものではないんです。
これらの件について、intel のコミュニティでもいろいろ言われているみたいですね。
で、Intel Customer Support Technician の David G によると、Intel からのものであるため警告は誤検知だって言ってますね。
最終変更日 2013年ってもう 10年前の書類ですけど、Mac の機種や BootCamp環境によっては、いまもこれが必要だったりする感じですね、この頃の intelMac をまだ現役で使っているマックユーザーはどのくらいいるんでしょうか?
でも Macpro5,1 の Xeon にとっては件の HD Graphics なんてはじめから必要のないものだったりします。
もし、その機種にとって必要なもの一式だけが入ってダウンロードされる仕組みの「Windowsサポートソフトウェア」だったらモアベターだったんですけどね。
ていうか、インテル® インテグレーテッド・グラフィックス用グラフィックス・ドライバーのインストール時に問題が生じる場合の対話型ウィザード、インテル® グラフィックス・ドライバー用インストール・トラブルシューティング・ウィザード みたいなものまでいちいち用意してくれているとか親切ですね。
…てことで、疑わしいアクティビティを監視することは大事だけど、これは誤検知なんでしょう。
次のデータベースの更新では解消されているはず?、しらんけど。
そんじゃあね〜…(´・ω・`)
