www.reliablesever[.]online へのアクセスが原因と思われます。 1. 端末を特定、Symantec Endpoint Protectionによりフルスキャンを実施した結果、 PUA.DesktopWeatherSvcが検出され、駆除されたが、問題の通信は継続して発生した。 2. 以下のリストにある中の、vSnapshotToolがインストールされていることを確認した。 https://www.virustotal.com/#/file/7db9bd5ac62310e1d4e396a7aad3a9f57b31db489e7cc5844c308c410e0ef44b/relations 3. PC上では、vsnapshot.exe というプロセスが動作していた、またwindows 起動時に しばらくはtools_update.exe というプロセスが動作していた (tools_update.exe が問題の通信を行った可能性がある) 4. C:\Program Files\Tools\update\tools_update.exe、C:\Program Files\vSnapshot\1.0.0.0\vSnapshot.exeに対してSymantec Endpoint Protection によるスキャンを実施したが、やはり問題はなかった。 5. ウイルスバスタークラウド(体験版)をインストールし、上記のファイルのスキャンを実施したところ、 インストール直後は何も検知されなかったが、定義ファイルをアップデートすることでtools_update.exeが駆除された ただし、通信が観測された端末の中でも上記に当てはまらない (tools_update.exe、vSnapshot.exeもインストールされておらず、ウイルスバスターの検知結果も問題がない) といったものも見つかっているため、継続して調査を行なっております。
・vSnapshotToolはその挙動からマルウェアと推定されます。現在、二種類のファイルが確認されております。 https://www.virustotal.com/#/file/6e682e5140c2b8a3710dce0094f955d1212616aff393af927bb3436dc0a67fe5/relations https://www.virustotal.com/#/file/7db9bd5ac62310e1d4e396a7aad3a9f57b31db489e7cc5844c308c410e0ef44b/relations ・tools_update.exeもその挙動からマルウェアと推定されます。 このプログラムをサンドボックスで実行すると、以下のようなアクセスを行いました。 www[.]reliablesever[.]online/cgi-bin-py/global_tools.cgi?ty=act&t=3&len=672&data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www[.]reliablesever[.]online/cgi-bin-py/global_tools.cgi?ty=act&t=3&len=704&data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download[.]reliablesever[.]online/update.dat これらのアクセス先については以下のように、tools_update.exeとの関連性が指摘されています。 https://www.virustotal.com/#/domain/www.reliablesever.online https://www.virustotal.com/#/domain/download.reliablesever.online ただし、このプログラムを検知できるセキュリティソフトが非常に少ないことがわかっております。 https://www.virustotal.com/#/file/9603493ab8c3e4e1cb85f19a547338d00e6d4bd91a468ab1e9a288512309d7ae/detection TrendMicro-HouseCallはVirusTotal向けに提供されているセキュリティソフトであり、市販のものと は異なるため、TrendMicroであっても検知できない可能性があります。