先日、うちの本番環境WHS(EPSON SV110h)でちょっと実験したいことが
あって、コマンドプロンプトからnetstatをみていました。
すると、TCP 1042 がなぜかESTABLISHED になっていて、しかも通信先が
どうやら海外のフリーだかのストレージサイトっぽい感じです。
「ウィルスか???対策ソフトもWHSには入れていたのにいつの間に…(>_<)」
と半泣きになりながら、ネットで TCP 1042を検索してみると、やはりバックドアを
開くのに利用されますだのと書かれています。
しばらくみていると、他のポートも使って試行している様な感じ。
ForeFrontでWHSの許可されているスタートアップをみたら、全く身に覚えのない韓国語のIME
が起動していたり(結果的にこれは正常だったのですが)。
慌ててウィルス対策ソフトで完全スキャンを始め、通信しているアプリはどれだ・・・と
必死で探し始めました。クライアントPCに感染してたり、いや逆にクライアントPCが感染源か
などとも考え、クライアント側も調べ始めたり。
結論はどうやらAdd-inのAutoExitがアップデートの有無を自動チェックにいっていただけの
ようです(^_^;) 見慣れないドメインに対して勝手に通信されているとすぐウィルスかと思って
しまいましたが杞憂の様でした…。すぐアップデートの有無のチェックボックスを外したのは
言うまでもありません。
久しぶりに相当肝を冷やした経験でした。
コメント