2003年8月19日
Global Net School

ウイルス対策について

ウイルス情報 WORM_MSBLAST.D

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

特 徴:
これは「ワーム」に分類されるトロイの木馬型不正プログラムです。一般的に「RPC DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホールを利用してネットワーク上のコンピュータに侵入します。また、"windowsupdate.com"に対してネットワーク攻撃を仕掛けるDoSツールとしての活動も行います。

このワームが狙うセキュリティホールの詳細に関しましては以下のマイクロソフト社の説明をご参照ください:
[MS03-026] RPC インターフェイスのバッファオーバーランによりコードが実行される
[MS03-007] Windowsコンポーネントの未チェックのバッファにより、Webサーバが侵害される

このセキュリティホールへの攻撃を受けたコンピュータはWindowsが再起動されます。
Windows 95/98/Me ではこのセキュリティホールがありませんのでワームは侵入できません。


・対処方法:
まず、Windowsのセキュリティホールが存在しなければ侵入されることはありません。必ずセキュリティホールの修正を行ってください。
基本的に下記のa.b.のパッチが必要です。


対応方法:

1.Windowsセキュリティパッチダウンロード

a.[MS03-026] RPC インターフェイスのバッファオーバーランによりコードが実行される

Windows2000用 Windows2000-KB823980-x86-JPN.exe
Windows XP用 WindowsXP-KB823980-x86-JPN.exe


b.[MS03-007] Windowsコンポーネントの未チェックのバッファにより、Webサーバが侵害される
※IISが動作している方は必ず必要です。

Windows2000用
※SP4が適用されている方は不要です。 		Q815021_W2K_sp4_x86_JA.EXE
Windows XP用 Q815021_WXP_SP2_x86_JPN.exe


セキュリティホールが存在する状態ではワームに再侵入される可能性が高く、攻撃を受けるとコンピュータが再起動してしまうので駆除手順が有効に行えない場合があります。
セキュリティホールのアップデートが行えない場合にはネットワークから切断するか、Safeモードにて以下の駆除手順を行ってください。

「Windowsをセーフモードで起動する方法」


ワームに侵入され、コンピュータのシステムが改変された場合にはワーム駆除のためにシステムの修復を行う必要があります。
汎用駆除ツール「トレンド システム クリーナ」にてこのワームのシステム改変の修復に対応いたしました。
上記のレジストリ修復の代わりに「トレンド システム クリーナ」をご使用ください。使用方法は以下をご参照ください。


2.トレンド システム クリーナの使用方法
トレンドマイクロ システム クリーナ実行方法

  1. 以下の「トレンドマイクロ システム クリーナ」自動ツールをダウンロードします。
    トレンドマイクロ システム クリーナ自動ツール(auto_tsc.EXE)ダウンロード(ダウンロードできない場合は右クリックして「リンクを名前をつけて保存」でファイル保存して下さい。)
    上記リンクをクリックすると、[ファイルのダウンロード」メッセージが表示されます。
    「このプログラムをディスクに保存する」を選択し、デスクトップなど任意の場所に保存します。

  2. ダウンロードしたファイル(auto_tsc.com)をフロッピーディスクなどにコピーし、ウイルスに感染したコ
    ンピュータ上にて実行してください。フロッピーディスクなどから直接ダブルクリックで実行して構いま
    せん。

  3. 自己解凍が開始され、コマンド プロンプト(黒い画面)が開き、システムの修復処理が自動的に行わ
    れます。

  4. コマンドプロンプト画面が閉じる、またはタイトルバーに完了と表示されれば処理終了です。
    自動的に画面が閉じない場合は、閉じるボタンで終了してください。


参考1:
このツールを実行すると、"デスクトップ\auto_tsc"フォルダが作成されます。処理内容を記録したログファイル "実行した日付.log"(例"20020914.log")" が "デスクトップ\auto_tsc\report"フォルダに作成されます。(同じ日に2回以上実行した場合、追記されます。)このファイルをテキストエディタなどで開いて処理内容を確認することもできます。
 
以上でトレンドマイクロ システム クリーナで対応済みのシステム修復は完了します。その後コンピュータを再起動し、ウイルス検索を実行してください。ウイルス検索を行わない限りウイルス本体の駆除、削除は行われません。ご注意ください。

注意:ウイルスによってはコンピュータを再起動することでウイルス駆除、および削除に失敗する場合もございます。つまりコンピュータを再起動をせずにウイルス検索を行う必要があるウイルスも存在します。お使いのコンピュータからウイルスが発見された場合には、必ずウイルス情報をご参照のうえ適切な対応を行なってください。


3.ウイルスバスターアップデート

1)ウイルスバスターを最新の検索エンジン・パターンファイルにアップデートしてください。
2)ウイルス対策製品の「手動検索」にてシステム全体を検索してください。

ウイルス対策製品がない場合
トレンドマイクロホームページより、「オンラインスキャン」にてコンピュータのウイルスチェックを実行してください。
「オンラインスキャン」URL:http://www.trendmicro.co.jp/hcall/index.asp

ウイルスが発見された場合にはすべて削除してください。
再度ウイルスチェックを実行し、ウイルスが発見が発見されない状態であればお使いのコンピュータ上の安全が保たれていると判断できます。





K.E