Blaster ワームへの対策 ‐ Windows XP 編

Blaster ワームへの対策 ‐ Windows XP 編

低帯域幅での表示をオンにする

公開日: 2003年8月13日 | 最終更新日: 2004年1月7日

Blaster (MSBlaster) ワームに感染した場合の復旧の方法について

～非常に危険な亜種が発見されました～
2003 年 8 月 18 日に Blaster ワームの非常に危険な亜種が確認されました。この新種の Blaster ワームは、マイクロソフトの次の 2 つの脆弱性を使用しています。 MS03-007: Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (815021) MS03-026: RPC インターフェイスのバッファオーバーランによりコードが実行される (823980) この対策ページの [手順 5-2. MS03-007 を適用します] の手順を追加しました。 8 月 18 日以前に、すでにこのページをご覧いただき、対策を行われたお客様は、手順 5-2. MS03-007 を適用しますのみを行ってください。

～非常に危険な亜種が発見されました～

2003 年 8 月 18 日に Blaster ワームの非常に危険な亜種が確認されました。この新種の Blaster ワームは、マイクロソフトの次の 2 つの脆弱性を使用しています。

この対策ページの [手順 5-2. MS03-007 を適用します] の手順を追加しました。

8 月 18 日以前に、すでにこのページをご覧いただき、対策を行われたお客様は、手順 5-2. MS03-007 を適用しますのみを行ってください。

2003 年 8 月 12 日に被害を与え始めた Blaster ワームによりコンピュータが異常終了してしまったり、Office が正しく動作しなくなるなどの問題が発生しています。このワームは、 MS03-026 として既に修正されているセキュリティ上の弱点を悪用しています。そのため、Windows Update などを利用して、事前に対策を行うことが望まれます。

この資料では、このワームに感染した際の復旧方法についてまとめます。
対処のシナリオとしては、以下のような手順となります。

ネットワークケーブルを抜きます
インターネット接続ファイアウォールを有効にします
msblast.exe プログラムを停止します
ネットワークケーブルをコンピュータに接続します
5-1. MS03-039 (MS03-026) を適用します

5-2. MS03-007 を適用します
ワームを駆除します
手順 1.で設定した対策を、元の状態に戻します
コンピュータを安全にお使いいただくために

ページのトップへ

Windows XP をお使いの方

1. ネットワークケーブルを抜きます

電源投入前に、コンピュータのネットワークケーブルを抜いてください。これにより、インターネットなどのネットワークから攻撃を受けないようにします。
ダイアルアップ接続の場合には、電話回線の接続を切断します。

		LAN ケーブルを抜きます。コンピュータの裏面には左図のような (メーカーにより若干異なります) LAN ケーブルのポートを示すマークがあります。(ダイヤルアップの場合には電話回線を切断します。)
		LAN ケーブルを抜く際は、ツメ (左図赤枠内の部分) をつまんだ状態で抜きます

2. インターネット接続ファイアウォールを有効にします

Windows XP には、インターネット接続ファイアウォールが搭載されています。この機能を使うことにより、ワームによる攻撃を防ぐことができます。

		[スタート] メニューから [コントロールパネル] を開き、[ネットワークとインターネット接続] を選択します。左のような画面が表示されない場合は、次の手順に進んでください。
		続いて [ネットワーク接続] をクリックしてください。(下のような画面表示の場合もあります。) このような画面表示の場合は、[ネットワーク接続] をダブルクリックしてください。
		使用しているネットワーク接続設定を選択して、[ネットワークタスク] の [この接続の設定を変更する] をクリックします。注意 : 左図では [LAN または高速インターネット] 内の「ローカルエリア接続」が選択されていますが、接続方法によって異なりますので、ご注意ください。ここではインターネットを接続するために使用されているネットワーク接続を選択してください。たとえば、モデムを使ってインターネットに接続されている場合のネットワーク接続は [ダイヤルアップ] 内に表示されます。
		[詳細設定] タブをクリックして、[インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する] という項目のチェックをオンにします。

3. msblast.exe プログラムを停止します

既に Blaster ワームに感染している場合、msblast.exe (*1) とその亜種が動作していますので、このプログラムを停止します。
停止するプログラムは、最初に発見された Blaster ワームが作成するプログラムです。亜種やその他のコンピュータウイルスへの対策は、コンピュータを安全にお使いいただくためにをご覧ください。

task1

green_arrow_sml

Ctrl + Shift キーを押しながら Esc キーを押し、タスクマネージャを実行します。

次に [プロセス] タブを表示します。

イメージ名の欄に、"msblast.exe" (*1) プログラムがあれば、そのファイル名をマウスでクリックし、[プロセスの終了] ボタンをクリックします。

注意 : Blaster ワームが動作していない場合には "msblast.exe" (*1) は動作していません。タスクマネージャ右上の [×] ボタンをクリックしタスクマネージャを終了してください。タスクマネージャを終了させた後は、4. ネットワークケーブルをコンピュータに接続します へ進んでください。

(*1) Blaster ワームは現在いくつかの亜種が報告されています。亜種の場合は msblast.exe と表示されず別の名前になります。

その亜種
既に Blaster ワームとその亜種に感染している場合、下記のいずれかが動作していますので、”msblast.exe” とこれらのプログラムを停止します。

Nstask32.exe
Penis32.exe
Teekids.exe
Winlogin.exe
Win32sockdrv.dl
Yuetyutr.dll

詳細はウイルス対策ソフトベンダーの Web サイトをご覧ください。

task2

green_arrow_sml

タスクマネージャーの警告が表示されます。[はい] をクリックします。

task3

green_arrow_sml

msblast.exe プログラムが消えたことを確認し、[×] ボタンをクリックしタスクマネージャーを終了します。

4. ネットワークケーブルをコンピュータに接続します

いよいよセキュリティ修正プログラムの適用を行いますので、ネットワークに接続してください。
ダイアルアップの場合は、ダイアルアップネットワークを使用してネットワークに接続します。

5-1. MS03-039 (MS03-026) を適用します

Blaster ワームが悪用する MS03-026 のセキュリティ修正プログラムを入手してインストールします。

MS03-026 の修正を含む MS03-039 が公開されました。ここでは MS03-039 のインストール手順を説明しています。

MS03-039 セキュリティ修正プログラム		左のリンクをクリックし、MS03-039 のセキュリティ修正プログラムをダウンロードします。
		保存をクリックします。
		デスクトップをクリックし、保存をクリックします。
		右の画面が表示され修正プログラムがダウンロードされます。ダウンロード時間の目安は以下のとおりです。ダイヤルアップ約 3 分程度ブロードバンド (ADSL、CATV、BFLTES) 約 1 分程度
		デスクトップ上に修正プログラムが保存されます。この修正プログラムをダブルクリックし実行します。メモ : 修正プログラムのインストールが完了したら、このファイルは削除しても構いません。
		修正プログラムを実行すると次の画面が表示されます。 [次へ] をクリックします。
		[同意します] をクリックし、[次へ] をクリックします。
		右の画面が表示され、修正プログラムがインストールされます。
		[完了] をクリックすると再起動が要求されますので再起動を実行します。

5-2. MS03-007 を適用します

Blaster ワームの亜種が悪用する MS03-007 のセキュリティ修正プログラムを入手してインストールします。

MS03-007 セキュリティ修正プログラム

green_arrow_sml

左のリンクをクリックし、MS03-007 のセキュリティ修正プログラムをダウンロードします。

Microsoft.com Japan サイトの左側のメニューから [ダウンロード] をクリックし、ダウンロードセンターに進みます。ダウンロードの検索のキーワードに "815021" と入力し検索を実行します。

"Windows XP セキュリティ修正プログラム : IIS 経由のリモート攻撃を可能にする ntdll.dll の脆弱性" をクリックし、セキュリティ修正プログラムを入手することができます。

		保存をクリックします。
		デスクトップをクリックし、保存をクリックします。
		左の画面が表示され修正プログラムがダウンロードされます。ダウンロード時間の目安は以下のとおりです。ダイヤルアップ約 3 分程度ブロードバンド (ADSL、CATV、BFLTES) 約 1 分程度
		デスクトップ上に修正プログラムが保存されます。この修正プログラムをダブルクリックし実行します。メモ : 修正プログラムのインストールが完了したら、このファイルは削除しても構いません。
		修正プログラムを実行すると次の画面が表示されます。 [次へ] をクリックします。
		[同意します] をクリックし、[次へ] をクリックします。
		左の画面が表示され、修正プログラムがインストールされます。
		[完了] をクリックすると再起動が要求されますので再起動を実行します。

6. ワームを駆除します

ウイルス対策ソフトウェアをお使いのお客様は、最新のウイルス定義ファイルをダウンロードして、スキャンと駆除を行ってください。

ウイルス対策ソフトウェアをお持ちでないお客さまは、弊社のダウンロード　センターから　Windows Blaster ワーム駆除ツール (KB833330) Windows XP および Windows 2000 向けを入手することができます。手動で削除するよりも確実で、安全に駆除をすることができます。

このツールの詳細についてはサポート技術情報 833330 をご覧下さい。

Windows Blaster ワーム駆除ツール (KB833330) Windows XP および Windows 2000 向け		注 : 2005 年 2 月 8 日、マイクロソフトは Blaster ワーム駆除ツールを Microsoft Windows 悪意のあるソフトウェアの削除ツールに置き換えました。悪意のあるソフトウェアの削除ツールの関連情報を参照するには、こちらをクリックしてください。
		保存をクリックします。
		デスクトップをクリックし、保存をクリックします。
		デスクトップ上に修正プログラムが保存されます。この修正プログラムをダブルクリックし実行します。メモ : 修正プログラムのインストールが完了したら、このファイルは削除しても構いません。
		駆除ツールを実行すると次の画面が表示されます。 [次へ] をクリックします。
		[同意します] をクリックし、[次へ] をクリックします。
		左の画面が表示され、駆除ツールが実行されます。
		[完了] をクリックします。駆除ツールが正しく実行された場合、この画面が表示されます。完了後、再起動を実行する必要はありません。

また、ウイルス対策ソフトウェアベンダー各社により提供されている駆除ツールを入手し、駆除を行うことも可能です。これらツールの使用方法については、ウイルス対策ソフトウェアベンダー各社の紹介ページをご確認ください。

注意 : 修正プログラムインストール後の再起動により msblast.exe が再度起動され、ネットワークに接続できないことがあります。そのときは、手順 3 をご覧になり、再度 msblast.exe のプロセスを停止してください。

株式会社シマンテック
http://www.symantec.co.jp
- W32.Blaster.Worm 駆除ツール (無償駆除ツール)
  http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html
- W32.Welchia.Worm 駆除ツール (無償駆除ツール)
  http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.removal.tool.html
トレンドマイクロ株式会社提供
http://www.trendmicro.com/jp/home/personal.htm
- トレンドマイクロシステムクリーナ ver. 3.0（TSC) (無償駆除ツール)
  http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
  Blaster ワームおよび亜種に対応
日本ネットワークアソシエイツ株式会社
http://www.nai.com/japan/
- AVERTウイルス駆除ツールStinger（スティンガー）(無償駆除ツール)
  http://www.nai.com/japan/security/stinger.asp
  Blaster ワームおよび亜種に対応
株式会社ラック
http://www.lac.co.jp
- Blaster ワーム対策ツール
  http://www.lac.co.jp/business/sns/intelligence/report/download/download.html

7. インターネット接続ファイアウォールを無効にして、元の設定の状態に戻します

メモ : インターネット接続ファイアウォールを有効にしていると、オンラインゲームなどのソフトウェアが動作しなくなる場合があります。しかし、インターネット接続ファイアウォールは、コンピュータを安全に使用していただくのに非常に有効な機能です。インターネット接続ファイアウォールを有効にしたままで、何も問題が発生していない場合は、インターネット接続ファイアウォールを有効のままでお使いいただくことを、マイクロソフトは強くお勧めします。

注意 : 実際の画面表示と異なる場合があります。お客様の環境にあわせて設定を行ってください。

		[スタート] メニューから [コントロールパネル] を開き、[ネットワークとインターネット接続] を選択します。
		続いて [ネットワーク接続] をクリックしてください。
		現在のネットワーク接続設定を選択して、[ネットワークタスク] の [この接続の設定を変更する] をクリックします。
		[詳細設定] タブをクリックして、[インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する] という項目のチェックをオフにします。
		左の図のような警告が表示されるので、[はい] をクリックします。

8. これで対策は終了です

できれば、Windows Update を使用して、そのほかのセキュリティ修正プログラムも可能な限りインストールすることをお勧めいたします。

また、Windows XP の Service Pack 1 の適用は、可能な限り行ってください。Windows XP Service Pack 1 は、ここから入手できます。

コンピュータを安全にお使いいただくために
Blaster ワームの対策はこれで終了ですが、コンピュータウイルスには亜種と呼ばれるものがあり、お客様のコンピュータが他のウイルスに感染していないとは限りません。残念ながら、コンピュータウイルスは日々作成され、進化しています。感染を防ぐために、ウイルス対策プログラムをご利用いただくことを強くお勧めします。コンピュータを安全にお使いいただくため、こちらのページをご覧いただき、ぜひ実践してください。

コンピュータを安全にお使いいただくために

Blaster ワームの対策はこれで終了ですが、コンピュータウイルスには亜種と呼ばれるものがあり、お客様のコンピュータが他のウイルスに感染していないとは限りません。

残念ながら、コンピュータウイルスは日々作成され、進化しています。感染を防ぐために、ウイルス対策プログラムをご利用いただくことを強くお勧めします。

コンピュータを安全にお使いいただくため、こちらのページをご覧いただき、ぜひ実践してください。

ページのトップへ

プロファイル (個人情報) の管理 | お問い合わせ先 | TechNet の情報を無料ニュースレターで入手 | 日本での個人情報の取り扱い | サイトマップ