web-dev-qa-db-ja.com

ExpressVPNは隠しトラッカーまたはスパイウェアを使用していますか?

ExpressVPNをインストールしましたが、Malwarebytesアンチマルウェアから奇妙な警告が出続けます。

最初の奇妙な事実は、再起動後でもXVPND.exeが常に実行されていることです。起動時にExpressVPNが自動起動しないように設定しました。システムトレイアイコンはまったくありません。まず第一に、そのファイルが実行され、ポート2015(TCP)でリッスンしている理由を誰かが手掛かりを持っていますか?

2つ目は、XVPND.exeが悪意のあるIPアドレスに接続するというMalwarebytesアンチマルウェアから警告を受け続けます(例:199.19.94.101)。そのIPを調べると、カナダのeコマースサービス、Yesup ecommerce Solutions Inc.に属しているようです。

.exeを監視して、他にどのような接続が行われているか、どのように(Windowsで)実行するかに関する提案がありますか?

7
private

私はExpressVPNで働いています。いいえ、これはマルウェアではありません。何が起こっているのかを次に示します。

  1. Windows用のExpressVPNアプリは、UIと「エンジン」の2つの部分で構成されています。 UIは通常のWindowsアプリとして実行されます。エンジン(xvpnd.exe)はWindowsサービスとして実行され、VPNの制御を担当します。この設計の1つの利点は、アプリがクラッシュしてもVPNが影響を受けないこと、およびVPNキルスイッチが起動時にできるだけ早く開始できることです。
  2. アプリとエンジンはhttpを使用して相互に通信します。これが、ポート2015でエンジンがリッスンしている理由です。重要:エンジンはローカルネットワークにのみバインドします。外部トラフィックはそのポートに到達できません。
  3. ユーザーがVPNに接続すると、エンジンは、どのVPNエンドポイントが最も信頼性が高く、最も速いVPN接続を提供する可能性が高いかをテストする責任があります。これは、UDPパケットをさまざまなVPNサーバーのIPアドレスに送信することによって行われます。言及したIP(199.19.94.101)は、「カナダ-トロント」VPNサーバーの場所に属しています。
  4. ここでバグが発生した可能性があります。このエンジンは、ロケーションに接続しようとしているときにのみVPNサーバーをテストすることになっています。再現したのは、エンジンが関係なくVPNサーバーをテストしていた場合です。私たちのチームは調査中であり、根本的な原因を特定したら修正します。問題を提起してくれてありがとう。
  5. 私たち自身はまだ警告をMalwarebytesで再現できていませんが、詳細については連絡します。当面は、以下の手順に従ってExpressVPNの除外を追加できます。 https://support.malwarebytes.org/customer/portal/articles/1835329-how-do-i-stop-malwarebytes-anti-malware -from-blocking-scanning-a-file-or-program-that-i-trust-?b_id = 6438
9
David Lang