W32/Apology-B 駆除方法
Sophos Anti-Virus によって、W32/Apology-B ウイルスがマシンにあることが報告された。どう対処すればよいか?
感染ファイルがメールの添付ファイルで、それが起動済みでない場合は、そのメールを削除してください。このウイルスの解析情報にウイルスが使用する添付ファイル名の一覧があります。
Sophos Anti-Virus を使用してウイルス検索を実行し、ウイルスが感染を広げていないことを確認してください。
ウイルスが既に感染を広げている場合は、SWAPOL 駆除ツールを使用する必要があります。
SWAPOL を入手する
SWAPOL は、W32/Apology ウイルスファミリー用の駆除ツールです。
Sophos Anti-Virus CD がない場合は、以下のアイテムをソフォス web サイトからダウンロードする必要があります:
- SWAPOL 自己解凍型ファイルをダウ ンロードして、C:¥(ルートディレクトリ)に保存してください。
- 緊急SAV 配布(DOS)自己解凍型ファイルをダウンロードして、C:¥(ルートディレクトリ)に保 存してください。
Windows 95/98/Me と Windows NT/2000 では、ウイルスの駆除方法は異なります。
Windows 95/98/Me 環境で、W32/Apology-B を駆除する
ダウンロードした自己解凍型ファイルを使用する
自己解凍型ファイルは、Windows で安全に使用することができます。(なお、最高のセキュリティレベルで使用する場合は、16 ビット(DOS)モードで、C:¥SOPHTEMP ディレクトリに解凍してください。)
Windows のデスクトップで、「マイコンピュータ」をダブルクリックし、C: をダブルクリックしてください。C:¥ フォルダに、APOL.EXE とESDZ.EXE プログラムがあるはずです。
APOL.EXE とESDZ.EXE をそれぞれダブルクリックして、C:¥SOPHTEMP ディレクトリに解凍してください。
次に、マシンを16 ビット(DOS)モードで再起動します。
最もお勧めできる方法は、CD ドライブにアクセスできる、ウイルス感染していないシステムディスクを使って、マシンをクリーンブートすることです。(Windows Me 環境では、起動ディスクやシステムCD を使ってのクリーンブート以外に方法はありません。)
Windows 95/98 を使用しており、クリーンブートディスクがない場合は、Windows 95/98 のタスクバーより、「スタート」-「シャットダウン」を選択して、「MS-DOS モードで再 起動する」を選択してください。
注:マシンは必ず MS-DOS モードで再起動してください。 MS-DOS コマンドプロンプトのウィンドウ(DOS ボックス)を開く操作では不十分です。
マシンは、MS-DOS モードで再開始します。
以下のように入力して、C:¥SOPHTEMP ディレクトリを表示してください:
これで、コマンドプロンプトからSWAPOL を使用する準備ができました。
Sophos Anti-Virus CD からファイルをコピーし、使用する
16 ビット(DOS)モードで、マシンを再起動します。
最もお勧めできる方法は、CD ドライブにアクセスできる、ウイルス感染していないシステムディスクを使って、マシンをクリーンブートすることです。
クリーンブートディスクがない場合は、Windows 95/98 のタスクバーより、「スタート」-「シャットダウン」を選択して、「MS-DOS モードで再起動する」を選択してください。マシンは、MS-DOS モードで再開始します。
注:マシンは必ず MS-DOS モードで再起動してください。 MS-DOS コマンドプロンプトのウィンドウ(DOS ボックス)を開く操作では不十分です。
マシンは、MS-DOS モードで再開始します。
マシンが、16 ビットモードでCD ドライブにアクセスできることを確認してください。(Windows 95 の中にはアクセスできないものもあります。)アクセスできない場合は、Windows に戻って、作業フォルダを作成し、CD のファイルをそこにコピーしてください。安全性は低くなりますが、ここでの操作には十分と考えられます。
コマンドプロンプトで、以下のように入力して、作業ディレクトリを作成してください:
MD C:¥SOPHTEMP
CD C:¥SOPHTEMP
そして、C:¥SOPHTEMP ディレクトリに、Sophos Anti-Virus CD の¥TOOLS¥ESD ディレクトリから SWEEP.EXE、VDL.DAT、DOS4GW.EXE ファイルをコピーし、¥TOOLS¥UTILS ディレクトリから APOLSFX.EXE をコピーしてください:
COPY D:¥DOS¥DOS4GW.EXE
COPY D:¥DOS¥VDL.DAT
COPY D:¥TOOLS¥UTILS¥APOLSFX.EXE
APOLSFX.EXE
D: は CD ドライブです。これで、コマンドプロンプトからSWAPOL を使用する準備ができました。
DOS プロンプトで SWEEP.EXE を実行して、SWAPOL 用のレポートファイルを作成します。
以下のコマンドを実行してください:
SWEEP *: -ALL -F -LANG=ENG -P=C:¥SOPHTEMP¥INFECTED.REP
SWEEP.EXE は、C:¥SOPHTEMP ディレクトリの INFECTED.REP にレポートを作成します。
レポートファイルを使用する
次のコマンドを使用して、SWAPOL にこのレポートファイルの内容を把握させます:
各感染ファイルに対して、SWAPOL は、駆除を実行する前に確認メッセージを表示します。
‘Y’を押すと、SWAPOL は駆除を試みます。ファイルの駆除に成功すると、以下のメッ セージが表示されます:
これでウイルスは完全に削除され、このファイルはクリーンな状態になりました。
SWAPOL の実行を終えたら、駆除できなかったファイルを検索するため、もう一度 SWEEP.EXE をコマンドラインより実行してください:
感染ファイルが残っている場合は、それを削除し、オリジナルのメディアや未感染のマシンより、元のファイルと置き換えてください。
Windows NT/2000 環境で、W32/Apology-B を駆除する
W32/Apology-B は、Windows NT/2000 環境では迅速に感染を広げませんが、感染したク ライアントファイルやバックドアコンポーネントMTX_.EXE が存在する場合があります。
MTX_.EXE を削除するためには、まず、それを終了します。Ctrl+Alt+Del キーを押し、「タスクマネージャ」をクリックしてください。ページタブ「プロセス」を選択し、MTX_ をハイライト表示して、「プロセスの終了」をクリックしてください。これによって、MTX_.EXE のロックが解除されます。その後、「タスクマネージャ」を終了して、MTX_.EXE を削除してください。
感染しているWindows 95/98/Me クライアントマシンは、前述の手順に従って、16 ビットモードで駆除するようにしてください。Windows 95/98/Me マシンがサーバーにログオンしておらず、Windows NT/2000 サーバーにある感染ファイルのロックが解除されている状態で、サーバーでSWAPOL を実行してください。
Windows NT/2000 環境で、SWAPOL を使用する
Windows NT/2000 環境では、コマンドプロンプトのウィンドウでSWAPOL を実行できます。
SWEEP は、一度に一つのハードドライブでのみ作動するため、各ドライブを個別に検索する必要があります。
SWAPOL 用にレポートファイルを作成するため、コマンドプロンプトで SWEEP.EXE を実行します。
C: がハードドライブの場合、以下のようなコマンドを実行してください:
SWEEP C: -ALL -F -LANG=ENG -P=C:¥SOPHTEMP¥INFECTC.REP
SWEEP.EXE は、C:¥SOPHTEMP ディレクトリのINFECTC.REP にレポートを作成します。
ドライブD: では、C: をD: で置き換え、INFECTC をINFECTD で置き換えて、上記のコマンドラインを使用してください。レポートは、INFECTD.REP ファイルに作成されます。
レポートファイルを使用する
次に、以下のコマンドを使用して、SWAPOL にレポートファイルの内容を把握させます:
各感染ファイルに対して、SWAPOL は、駆除を実行する前に確認メッセージを表示します。
‘Y’を押すと、SWAPOL は駆除を試みます。ファイルの駆除に成功すると、以下のメッセージが表示されます:
これでウイルスは完全に削除され、このファイルはクリーンな状態になりました。
INFECTD.REP や、その他のハードドライブに対応するレポートファイルに対して、この操作を繰り返してください。
SWAPOL の実行を終えたら、駆除できなかったファイルを検索するため、もう一度各ドイブに対して、コマンドラインで SWEEP.EXE を実行してください:
感染ファイルが残っている場合は、それを削除し、オリジナルのメディアや未感染のマンより、元のファイルと置き換えてください。
詳細情報
駆除方法の詳細については、SWAPOL.EXE と同じディレクトリにある JREADSWP.TXT を参照してください。
