シマンテックは SymSubmit でハッシュ値の調査を提供しています。

ハッシュ値のリストは以下の方法で提出できます。

1. https://symsubmit.symantec.com/ にアクセスします。
2. [Not Detected by Symantec」タブを選択します。

3. "Provide an MD5 or SHA-256 hash of a file(s)" ドロップダウンを選択します。

4. "File Hash(s)" フィールドに最大 20 個のハッシュを入力します。注意：ファイルはコンマまたは空白で区切ってください。

5. "Your Details" セクションを入力します。

6. "Submit" を選択します。

7. Symantec 製品がこのファイルを検出しなかった場合や、データがない場合は、送信時にメッセージが表示されます。それ以外の場合は、送信後に検出に関する詳細なレポートがメールで送られてきます。
 

ファイルのハッシュ値を確認する方法の支援が必要な場合は、以下を参照してください: checksum.exe を使ったファイルフィンガープリントリストの作成

検出されたファイルのハッシュを見つける必要がある場合、SEP クライアントから、または Symantec Endpoint Protection Manager (SEPM) からエクスポートされたリスクログから、検出されたファイルの固有のハッシュ値を確認することが可能です。

SEP クライアントでの SHA-256 の表示

1. SEP クライアントインターフェイスを開きます。
2. [ログの表示] をクリックします。
3. [ウイルスとスパイウェアの対策] の横にある [ログの表示] - [リスクログ] をクリックします。
4. 問題のエントリをダブルクリックして [リスクの詳細] を表示します。ハッシュがわかっている場合は、そのハッシュが表示されます。

Symantec Endpoint Protection Manager で SHA-256 を表示する

1. SEPM コンソールを開きます。
2. [監視] - [ログ] を選択します。
3. [ログの種類] を [リスク] としてログを表示します。
4. 生成されたレポートをエクスポートします。
5. エクスポートした csv を表計算ソフトで開きます。SEPM コンソールでは画面に表示されなかった [アプリケーションハッシュ] が含まれています。
6. データを分析するために、コンピュータ名やアプリケーションのハッシュなどでフィルタリングすることができます。

注意：このレポートで表示されるハッシュを使用することは、同じ亜種が組織全体で検知されているかどうかを判断するための非常に粗い方法です。SHA は常に SEP で利用できるわけではなく、マルウェア作成者は異なるパッカーやその他のツールを使用して、同じ脅威に対して異なるハッシュを作成し、ファイル感染型の脅威は常に異なるハッシュになり、ポリモーフィック型の脅威も同様に常に異なるハッシュになります。

しかし、特定の状況下では、この種の分析はセキュリティ管理者にとって非常に有用です。あるコンピュータでまったく同じ Trojan.Horse の亜種が何度も検出されているのか（検出されていないプロセスが継続的に再感染を試みていることを示しています）、それとも Trojan.Horse ファミリーに属する複数の異なる脅威に感染しているのか、あるいは組織内の複数のコンピュータがまったく同じダウンローダーの亜種に遭遇しているのか。どのような Web サイトにアクセスしたのでしょうか？ もしそれがイントラネットの URL であれば、セキュリティ管理者はすぐにその Web サーバーを調べるべきです。