W32/Blaster-A 駆除方法と FAQ
現時点で、W32/Blaster-A(別名:W32/Lovsan.worm、W32.Blaster.Worm、WORM_MSBLAST.A)はユーザー環境で感染を拡大しています。ネットワークで Microsoft 社の DCOM RPC セキュリティ脆弱性のあるコンピュータを探すワームで、適切なコンピュータを見つけると、ワームは、Windows システムフォルダに msblast.exe として保存されるワームのコピーを、そのリモートマシンが TFTP を使用して入手するようにします。
1. W32/Blaster-A がネットワークで感染を広げるのを防ぐ方法は?2. W32/Blaster-A の自動除去方法は?
3. W32/Blaster-A の手動除去方法は?
4. どのシステムが感染するのか?
5. コンピュータはどのように感染したか?
6. コンピュータが継続して再起動する。RESOLVE のダウンロード方法は?
7. コンピュータが W32/Blaster-A に感染していないのに、SVCHOST.EXE に関連したエラーが表示されるのはなぜか?
8. InterCheck が RESOLVE の実行を禁止する理由は?
9. Microsoft 社のパッチが見つからない。より簡単な入手方法は?
1. W32/Blaster-A がネットワークで感染を広げるのを防ぐ方法は?
このワームによる影響を最小限に抑えるため、以下の操作を行うことをネットワーク管理者の方に強くお勧めします。
- Microsoft 社のパッチ MS03-026 をダウンロードして適用する
このワームが悪用する脆弱性には修正パッチを適用することができます。この脆弱性の詳細およびパッチのダウンロードはMicrosoft 社のセキュリティ情報 MS03-026 をご覧ください。スタンドアロンコンピュータでは、Windows update より、該当する修正パッチと共にアップデートを行ってください。
ネットワーク管理者の方は、特にプロキシ/ゲートウェイマシンなど、インターネットに接続している PC と社内ネットワークにこのパッチを適用することを強くお勧めします。 - tftp.exe の名前を変更する
ワームは Windows のネイティブプログラムである tftp.exe を使用します。このプログラムがネットワークにあり、私用以外に必要ない場合は、
tftp-exe.old などにファイル名を変更してください。将来使用する正規のプログラムが必要とする場合があるので、ファイルは削除しないでください。 - ファイアウォールにある特定のポートへのトラフィックを阻止する
ネットワーク管理者は以下のポートにて受信トラフィックを阻止するようにしてください:- tcp/69(TFTP プロセスが使用)
- tcp/135(RPC リモートアクセスが使用)
- tcp/4444(接続のためにこのワームが使用)
![[TOP]](/images/arrowtop.gif){kind=small}
2. W32/Blaster-A の自動除去方法は?
Resolve は、一部のウイルス、トロイの木馬、ワームが加えた変更を元に戻すためのソフォスユーティリティセットで、ダウンロード用にサイズは小さくなっています。 このツールは、ウイルスのプロセスを停止させ、変更を加えたレジストリキーをリセットします。個々のクライアントマシンや多数のマシンのあるネットワークにて、現在の感染状態を簡単かつすぐに一掃することが可能です。
RESOLVE を使用して、W32/Blaster-A を Windows 95/98/Me/NT/2000/XP コンピュータより自動的に除去することができます。
Windows 駆除ツール
BLASTGUI はスタンドアロン Windows コンピュータ用の駆除ツールです。次の要領で駆除してください:
- BLASTGUI を開きます。
- 実行します。
- GO ボタンを押します。
複数のコンピュータの駆除を実行する場合は、このツールをダウンロードし、フロッピーディスクに保存して、そこから実行してください。
ワーム除去後、前述のパッチをインストールしてください。
コマンドライン駆除ツール
BLASTSFX は Windows ネットワーク上のシステム管理者用 Resolve コマンドライン駆除ツール BLASTGUI を含む自己解凍型ファイルです。自己解凍型ファイルに添付されているファイルをお読みになってから、プログラムを実行してください。
ワーム除去後、前述のパッチをインストールしてください。
その他のプラットフォーム
上記以外のプラットフォームで W32/Blaster-A を駆除するには、ワームの除去方法をご覧ください。
3. W32/Blaster-A の手動除去方法は?
Windows 95/98/Me や Windows NT/2000/XP にある W32/Blaster-A を手動で除去する場合:
- Microsoft 社のパッチ MS03-026 を適用し、可能な限り前述の操作を実行したことを確認してください。
- 「CTRL」-「ALT」-「DELETE」キーを同時に押します。
- Windows NT/2000/XP 環境では「タスクマネージャ」を選択して、「プロセス」タブをクリックします。
- リストより msblast.exe というプロセスを探します。
- プロセスをクリックしてハイライト表示します。
- 「プロセスの終了」(Windows 95/98/Me 環境では「タスクの終了」)ボタンをクリックします。
- タスクマネージャを閉じます。
Windows system フォルダ(通常 Windows や WINNT のサブフォルダ)にファイル msblast.exe があるかを探し、存在する場合は削除してください。
Windows NT/2000/XP 環境では、さらに以下のレジストリ値を変更する必要があります。この操作は Windows 95/98/Me では任意です。レジストリの編集に関する警告をご覧ください。
- 「スタート」-「ファイル名を指定して実行」をクリックし、 'Regedit' と入力して「Enter」キーを押してレジストリエディタを開きます。
- レジストリを編集する前にバックアップを作成してください。 ご不明の点は、ネットワーク管理者にご相談ください。Windows レジストリを正しく編集しなかった場合、システムに問題が起きることがあります。
- 以下の HKEY_LOCAL_MACHINE キーを探します:
HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥Run
右側ペインで以下の値が存在する場合、それを選択して削除します:
windows auto update = msblast.exe
- レジストリエディタを閉じます。
コンピュータを再起動して、システムからワームの形跡がなくなるまで、上の操作を繰り返してください。
ここでの操作を実行しても、なお W32/Blaster-A を除去できない場合は、テクニカルサポートまでお問い合わせください。
他の OS 環境で W32/Blaster-A を除去する場合は、ワームの除去方法をご覧ください。
4. どのシステムが感染するのか?
- Windows NT/2000/XP コンピュータは感染する可能性があります。
- W32/Blaster-A ファイルが手動で実行された場合、Windows 95/98/Me コンピュータが感染する恐れがあります。
- W32/Blaster-A は、Apple 社製クライアントマシン、Unix、および他のプラットフォーム(PDA とゲームコンソールを含む)には感染できません。
W32/Blaster-A ファイルをコンピュータで発見した場合、それは感染コンピュータによってドロップ(作成)されたか、ローカルに実行されたことになります。
5. コンピュータはどのように感染したか?
W32/Blaster-A は、インターネットとローカルネットワークに、 Microsoft 社の DCOM RPC セキュリティ脆弱性があるかを探します。 適切なコンピュータを見つけると、ワームのコピーをそのリモートマシンが TFTP を使用して入手するようにします。 ワームのコピーは、Windows システムフォルダに msblast.exe として保存され、コンピュータの再起動時にワームが実行されるよう、そのコンピュータのレジストリは変更されます。
6. コンピュータが継続して再起動する。RESOLVE のダウンロード方法は?
コンピュータが W32/Blaster-A に感染している場合、しばしば、「Windows must now restart because the Remote Procedure Call (RPC) Terminated Unexpectedly」というようなメッセージを表示して数分ごとに再起動する場合があります。 この場合、必要なパッチやファイルをダウンロードすることができません。
Windows XP コンピュータがこのように再起動しないようにするには、「スタート」-「ファイル名を指定して実行」を選択し、以下のように入力してください:
shutdown -a
シャットダウンが中断されます。以降、前述の指示に従って、自動、または手動で駆除を実行することができるようになります。
可能な限り、RESOLVE W32/Blaster-A 自己解凍型ファイルを別のコンピュータにダウンロードしてください。フロッピーディスクに保存して、感染コンピュータにて実行してください。
別のコンピュータにダウンロードできない場合は、以下のようにして、分散 COM を無効にして再起動が行われないようにしてください。
Windows XP の場合:
- 「スタート」-「ファイル名を指定して実行」を選択し、以下のように入力します:
dcomcnfg.exe.
- 「コンソールルート」-「コンポーネントサービス」を選択します。
- Computers サブフォルダを開きます。
- 「マイコンピュータ」-「プロパティ」を右クリックします。
- 「既定のプロパティ」ページタブをクリックします。
- 「分散 COM を有効にする」を選択から外し、「適用」をクリックし、「OK」をクリックします。
- コンピュータを再起動します。
該当するパッチや IDE ファイルを適用後、各オプションを通常の状態に戻してください。
Windows NT/2000 の場合:
- 「スタート」-「ファイル名を指定して実行」を選択し、以下のように入力します:
dcomcnfg.exe.
- 「既定のプロパティ」ページタブをクリックします。
- 「このコンピュータで分散 COM を有効にする」を選択から外し、 「適用」をクリックし、「OK」をクリックします。
- コンピュータを再起動します。
該当するパッチや IDE ファイルを適用後、各オプションを通常の状態に戻してください。
Windows 95/98/Me の場合:
クリーンブートを行うか、DOS モード(Windows 95/98 の場合)より W32/Blaster-A IDE と共に SWEEP を実行して駆除を行います。
ファイアウォールを使用するか、「ファイルとプリンタの共有」を無効にして、コンピュータが以降感染しないようにします。
7. コンピュータが W32/Blaster-A に感染していないのに、SVCHOST.EXE に関連したエラーが表示されるのはなぜか?
W32/Blaster-A がセキュリティレベルの低いコンピュータに感染しようとした場合、感染に成功しなかった場合でも、svchost サービスは作動しなくなります。これによって、他のソフトウェアにて多様な問題が発生します。
これを修正する場合は、Microsoft セキュリティ情報 MS03-026 にあるパッチを適用して、svchost を再開始してください。
8. InterCheck が RESOLVE の実行を禁止する理由は?
InterCheck クライアントは、W32/Blaster-A 用 IDE ファイルがインストールされると、RESOLVE 駆除ツールがワームファイルにアクセスすることを禁止します。
Windows NT/2000/XP 環境の場合:
- ローカルアドミニストレータとしてログインします。
- タスクバーで「スタート」-「プログラム」-「Sophos Anti-Virus」を選択します。
- 「IC クライアント」ページタブを選択します。
- 「STOP」ボタンをクリックします。
- RESOLVE を実行します。
- ワーム除去後、「IC クライアント」ページタブで「GO」ボタンをクリックします。
Windows 95/98/Me 環境の場合:
- W32/Blaster-A IDE(BLASTERA.IDE)を BLASTERA.TXT に名前を変更します。
- ローカルでコンピュータを再起動します。(ログインウィンドウが表示されたら「Esc」キーを押します。)
- RESOLVE を実行します。
- ワーム除去後、IDE ファイル名を BLASTERA.IDE に戻して、再起動してください。
9. Microsoft 社のパッチが見つからない。より簡単な入手方法は?
コンピュータに管理者権限でログインしている場合は、代わりに Windows Update からパッチをダウンロードすることもできます。
Windows Update はご使用のコンピュータをクエリし、使用する必要があると考えるパッチをリストアップします。「重要な更新」とされているものは最も重要です。なお、W32/Blaster-A が悪用する脆弱性用の修正パッチの参照番号は823980です。
Internet Explorer の古いバージョンをご使用の場合は、ダウンロードが推奨されているファイルのサイズが非常に大きい場合があります。インターネットへの接続が遅い場合は、コンピュータ雑誌の付録 CD などから Internet Explorer をアップデートして、その後、Windows Update を使用された方が操作が簡単となる場合があります。
注: Windows Update には、Internet Explorer バージョン 5 以降が必要となります。
