現在地 HOME > 掲示板 > IT1 > 202.html ★阿修羅♪ |
|
私が下で報告しましたウィルスは↓でクエスチョンさんが投稿されている、”MSブラスト”と同じものです。クエスチョンさんの投稿記事では、Windowsのアップデイトを行なっていれば感染しないということですが、私のPCは感染しました。
このウィルスは相当蔓延しているようですので、マイクロソフトのサイトから、ウィルス情報を転載いたします。
これに感染しますと、PCがシャットダウンしますので感染前に印刷しておかれた方が良いと考えます。(シジミ)
________________________________________
Blaster に関する情報
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/blaster.asp
公開日 : 2003 年 8 月 12 日
はじめに
本ワームの感染が行われてしまう条件
影響を受ける恐れのある製品
本ワームへの対策
対策による影響
回避策
(以上下記)
よくある質問と回答
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/blstfaq.asp
--------------------------------------------------------------------------------
はじめに
日本時間 2003 年 8 月 12 日 午前 2 時頃より Blaster ワームと呼ばれる Windows を対象としたウイルス感染による被害が発生しました。弊社では、このワームによる影響からお客様の環境を守るため、情報を公開いたします。(別名に WORM_MSBLAST.A, W32.Blaster.Worm, W32/Lovsan.worm 等があります)
本ワームは Windows OS に対して、TCP135 ポート (Microsoft RPC) に対して MS03-026 の脆弱性を悪用した攻撃データを送信します。 MS03-026 の脆弱性の対策が行われていない Windows OS は、攻撃をうけ”感染”し、自らが攻撃者となり他のシステムに対して "感染" 活動を開始します。
本ワームは、"感染" 活動を行うことが目的であり、 Windows OS の書き換えやデータの破壊は確認されていません。しかしながら、感染活動により、Windows OS の一部が異常終了または再起動することがあります。また、攻撃のためのデータによりネットワークの帯域を消費し、結果的にネットワーク全体のスループットが低下する恐れがあります。
弊社 STPP パートナーであるウイルス対策ソフトウェアベンダー各社からも、本ワームに関する情報が公開されておりますので併せてご参照ください。
インターネット セキュリティ システムズ株式会社
http://www.isskk.co.jp/support/techinfo/general/MS_Blast.html
「Microsoft Windows RPC の脆弱点」をつく攻撃を予防するには
http://www.isskk.co.jp/security_center/147/solution.html
RealSecure Desktop Protector (無償予防ツール)
http://www.isskk.co.jp/security_center/147/solution.html
株式会社シマンテック
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.html
W32.Blaster.Worm 駆除ツール (無償駆除ツール)
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html
トレンドマイクロ株式会社
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
トレンドマイクロ システム クリーナ ver. 3.0(TSC) (無償駆除ツール)
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
日本ネットワークアソシエイツ株式会社
http://www.nai.com/japan/security/virL.asp?v=W32/Lovsan.worm
AVERTウイルス駆除ツールStinger(スティンガー)(無償駆除ツール)
http://www.nai.com/japan/security/stinger.asp
本ワームの感染が行われてしまう条件
RPC インターフェイスのバッファ オーバーランによりコードが実行される(823980) のセキュリティ修正プログラムを適用していない場合
かつWindows が使用している TCP 135 ポートをインターネットとの接続を行っているルーターもしくはファイアウォールで遮断していない場合
影響を受ける恐れのある製品
Microsoft Windows NT:
Microsoft Windows NT Server 4.0
Microsoft Windows NT Server, Enterprise Edition 4.0
Microsoft Windows NT Server 4.0, Terminal Server Edition
Microsoft Windows 2000:
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Edition
Microsoft Windows 2000 Powered
Microsoft Windows XP:
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Media Center Edition
* Microsoft Windows XP Media Center Edition の日本語版は発売されていません。
Microsoft Windows XP 64-bit Edition
* Microsoft Windows XP 64-bit Edition は、一般に販売されている Microsoft Windows XP とは異なる製品です。
Microsoft Windows XP Embedded
* Microsoft Windows XP Embedded は、一般に販売されている Microsoft Windows XP とは異なる製品です。
Microsoft Windows Server 2003:
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Web Edition
影響を受けない製品
Microsoft Windows 98
Microsoft Windows 98 Second Edition (SE)
Microsoft Windows Millennium Edition (Me)
本ワームへの対策
本ワームの対策は、Windows の修正プログラム MS03-026 の適用する必要がございます。対策後、感染している場合は、別途駆除の作業が必要となります。
以下の手順では、MS03-026 の修正プログラムの適用方法について解説しています。
Step 1: 影響を受ける Windows か確認する
コマンドによる確認方法
ver
コマンドを実行するとWindows の種類ごとに 以下のような結果が表示されます。Service Pack の適用状況などにより Version の下四桁は変化することがあります。
Windows 実行結果 影響の有無
Windows 98, 98se C:\>ver
Windows 98 [Version 4.10.2222]
無 (対策の必要はありません)
Windows Me C:\>ver
Windows Millennium [Version 4.90.3000]
無 (対策の必要はありません)
Windows NT C:\>ver
Windows NT Version 4.0
有 (対策が必要です)
Windows 2000 C:\>ver
Microsoft Windows 2000 [Version 5.00.2195]
有 (対策が必要です)
Windows XP C:\>ver
Microsoft Windows XP [Version 5.1.2600]
有 (対策が必要です)
Windows XP C:\>ver
Microsoft Windows [Version 5.2.3790]
有 (対策が必要です)
Step 2: 影響の有無を確認する
手動による確認
--------------------------------------------------------------------------------
Windows NT 4.0
[スタート] - [コントロールパネル] - [アプリケーションの追加と削除]をクリックします。
”アプリケーションの追加と削除のプロパティ”が表示されます。
[インストールと削除] タブを選択
プロパティ内のリストボックス内に以下の項目がある場合は、対策済みです。
Windows NT 4.0 Hotfix [See Q823980 for more information]
見つからない場合は、対策が必要です。 Step 3 に進んでください。
Windows 2000
[スタート] - [コントロールパネル] - [アプリケーションの追加と削除]をクリックします。
”アプリケーションの追加と削除のプロパティ”が表示されます。
[プログラムの変更と削除] をクリックします。
「現在インストールされているプログラム」の一覧に以下の項目がある場合は、対策済みです。
Windows 2000 ホットフィックス - KB823980
見つからない場合は、対策が必要です。 Step 3 に進んでください。
Windows XP
[スタート] - [コントロールパネル] - [プログラムの追加と削除]をクリックします。
”アプリケーションの追加と削除のプロパティ”が表示されます。
[プログラムの変更と削除] をクリックします。
「現在インストールされているプログラム」の一覧に以下の項目がある場合は、対策済みです。
Windows XP Hotfix - KB823980
見つからない場合は、対策が必要です。 Step 4 に進んでください。
Windows Server 2003
[スタート] - [コントロールパネル] - [プログラムの追加と削除]をクリックします。
”アプリケーションの追加と削除のプロパティ”が表示されます。
[プログラムの変更と削除] をクリックします。
「現在インストールされているプログラム」の一覧に以下の項目がある場合は、対策済みです。
Windows Server 2003 ホットフィックス - サポート技術情報 (KB) 823980
見つからない場合は、対策が必要です。 Step 4 に進んでください。
Step 3: サービスパックの確認
Windows NT と Windows 2000 をお使いの場合は、修正プログラムを適用する前に Service Pack を適用する必要があります。現在適用している Service Pack は、以下の手順で確認できます。
デスクトップ上の「マイコンピュータ」を選択し、右クリックします。
[プロパティ] をクリックします。
[全般] タブをクリックします。
「システム:」の欄の記載を確認します。 Service Pack の記述が無い場合は、Service Pack が適用されていません。
Windows NT 4.0
Windows NT をお使いの場合は、Service Pack 6a を適用する必要があります。Service Pack 6a は、以下から入手可能です。
Windows NT 4.0 Service Pack 6a
Service Pack の適用前に、リリースノート および、FAQ をお読みください。
Windows 2000
Windows 2000 をお使いの場合は、Service Pack 3 または 4 を適用する必要があります。Service Pack は、以下から入手可能です。できる限り最新の Service Pack を適用することをお勧めします。
Windows 2000 Service Pack 3
Windows 2000 Service Pack 4
Service Pack の適用前に、各Service Packのページに記載の「詳細情報」をお読みください。
Step 4: セキュリティ修正プログラムの入手と適用
MS03-026 を適用することで本ワームの感染を防ぐことができます。以下の手順で入手することができます。
http://www.microsoft.com/japan/technet/security/bulletin/ms03-026ov.asp に接続します。
お使いの Windows の修正プログラムをダウンロードします。
ここでは、例としてデスクトップにファイルを保存します。
Step 5: ネットワークの切断
対策中の再感染を防止するために、ネットワークを以下の手順で切断します。
サーバー本体から、LAN ケーブル、電話線 や 無線 LAN のアダプタ(カード)をはずします。
ADSL, CATV 等のブロードバンドルーターやモデムの電源も合わせて切ってください。
本体から、ネットワークにつながっていないことを確認します。
Step 4 でシャットダウンした場合は、ネットワークに接続していないことを確認して電源を入れます。
注意:一部 ADSL, CATVのモデムは、電話の機能を持っている場合があります。 その場合は、電源を切っている間モデムを経由した通話が行えない可能性があります。
Step 6: 対策
再度感染しないために、セキュリティ修正プログラムを以下手順で適用します。
Windows NT 4.0
Step 4 で入手したセキュリティ修正プログラムをダブルクリックします。
自動的にファイルの展開と適用が開始されますので、"Windows NT Hotfix セットアップ"が表示されるまで待ちください。
"Windows NT Hotfix セットアップ" ダイアログに以下のメッセージが表示されます。
Windows NT 4.0は、正常に更新されました。 フロッピー ディスク ドライブからディスクを取り出し、[OK] をクリックしてコンピューターを再起動してください。
システムのコンポーネントを変更または追加する場合は、もう一度 hotfix をインストールしてください。
[OK] をクリックし、システムを再起動してください。
注意: 再起動しませんと修正プログラムの適用が終了しません。再起動前は、本ワームの影響を受ける状態ですので、必ず再起動をお願いします。
Windows 2000/Windows Server 2003
Step 4 で入手したセキュリティ修正プログラムをダブルクリックします。
「KB23980 のセットアップウィザード」 が表示されますので、[次へ] をクリックします。
使用許諾契約が表示されます。 内容をご確認の上、[同意します] を選択し、 [次へ] をクリックします。
同意いただけない場合は、本守勢プログラムを適用することはできません
インストールが開始されますので、しばらくお待ちください。 環境により時間がかかる場合があります。
セットアップウィザードの完了が表示されます。 [完了] をクリックし、システムを再起動してください。
注意: 再起動しませんと修正プログラムの適用が終了しません。再起動前は、本ワームの影響を受ける状態ですので、必ず再起動をお願いします。
Step 7: Blaster ワームの感染の確認
Ctrl + Alt + Delete キーを同時に押し、Windows のセキュリティを開きます。
[タスクマネージャ] をクリックします。
[プロセス]タブをクリックします。
一覧からの上部にある [イメージ名] ボタンをクリックし、アルファベット順の表示にします。
"msblast.exe" を探します。存在する場合は、ワームに感染しています。 Step 8 に進み、駆除を行ってください。
存在しない場合は、Step 9 に進み、ネットワークに復帰します。
タスクマネージャを終了します。
Step 8: Blaster ワームの駆除現段階では、まだネットワークに接続しないでください。
ワームの実行を停止します。
Ctrl + Alt + Delete キーを同時に押し、Windows のセキュリティを開きます。
[タスクマネージャ] をクリックします。
[プロセス]タブをクリックします。
一覧からの上部にある [イメージ名] ボタンをクリックし、アルファベット順の表示にします。
"msblast.exe" を選択します。
[プロセスの終了] をクリックします。
”タスクマネージャの警告”が表示されます。 [OK] ボタンをクリックしてウインドウを閉じます。
タスクマネージャを終了します。
ワームを削除する
[スタート] - [ファイル名を指定して実行]を開きます。
名前に cmd を入力します。
[OK] ボタンをクリックします。
cmd.exe (コマンド プロンプト) が開きます。
以下のコマンドを入力し、ENTER または RETURN キーを押し、実行します。
cd %windir%\system32
以下のコマンドを入力し、ENTER または RETURN キーを押し、実行します。この操作により、ワームが削除されますが、実行前に入力に間違いが無いか十分に確認をお願いします。
delete MSBLAST.EXE
ワームが存在しなかった場合にコマンド実行後に次のメッセージが表示される場合があります。 この場合は、コンピューター上にワームが存在しないことを意味します。
MSBLAST.EXE が見つかりませんでした。
cmd.exe (コマンド プロンプト) を閉じます。
レジストリを削除する
[スタート] - [ファイル名を指定して実行]を開きます。
名前に regedit を入力します。
[OK] ボタンをクリックします。
レジストリ エディタ が開きます。
以下のレジストリキーを開きます。
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
右側の一覧から "windows auto update" の項目を選択します。
右クリックのメニューを表示し、[削除] をクリックします。
"値の削除の確認"が表示されます。
[はい] をクリックします。
レジストリ エディタ を閉じます。
Step 9: ネットワークの回復とシステムの開始
Step 5 で切断した LAN ケーブルなどを、すべて接続します。
Step 5 で電源を切ったブロードバンドルーターやモデムの電源を入れます。
注意:ご家庭等で LAN を構築されている方(複数台をネットワークで接続している方) は、全てのコンピュータの対策が完了してから、インターネットに接続してください。
対策による影響
本体策による特別な影響はございません
回避策を実施することによる影響については、各回避策の欄をご覧ください。
回避策
以下の回避策は、全て実施する必要はありません。 環境や使用している機能に合わせてもっとも適切な回避策を選択してください。
回避策 1: ポートをブロックする
ファイアウォールまたは境界ルーター等で以下のポートを使用した通信を遮断、外部からの感染を防止します。
ポートの通信を遮断する場合は、外から内 (In-bound) と 内から外 (Out-bound) の両方を遮断してください。 Out-bound を閉じることで、社内から本ワームの活動がインターネットに広がることを防止します。
関連するポート
TCP/UDP 135 (DCE endpoint resolution/Microsoft RPC)
TCP 139 (NETBIOS Session Service)
TCP 445 (microsoft-ds)
TCP 593 (HTTP RPC Endpoint Mapper)
本回避策による影響
TCP/UDP 135 (DCE endpoint resolution)
DCOM を使用したアプリケーションが使用できない場合があります。境界ルーターで対策した場合、社内 LAN での使用に問題はありません。
TCP 139 (NETBIOS Session Service)
ファイル・プリンタ共有および、ユーザー認証が行えない場合があります。また、境界ルーターで対策した場合、社内 LAN での使用に問題はありません。
TCP 445 (microsoft-ds)
Wファイル・プリンタ共有および、ユーザー認証が行えない場合があります。また、境界ルーターで対策した場合、社内 LAN での使用に問題はありません。
TCP 593 (HTTP RPC Endpoint Mapper)
RPC Over HTTP 機能が使用できません。
注意:社内 LAN を接続する拠点間のルーターで対策する場合は、回避策を実施することで、拠点間の通信が行えなくなることがあります。 VPN 等で接続されている場合は問題ありません。
回避策 2: インターネット接続ファイアウォールを使用する
Windows XP および Windows Server 2003 は、「インターネット接続ファイアウォール」を使用することができます。
インターネット接続ファイアウォールを有効にすることで、規定の状態でインターネットなどの外部からの RPC 接続が遮断されます。本機能を有効にするには、以下の設定を行います。
[スタート] - [コントロールパネル] - [ネットワーク接続] を開きます。
各接続を選択し、右クリックによりメニューを表示します。 メニューのプロパティをクリックします。
[詳細設定] タブを選択します
「インターネット接続ファイアウォール」の「インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する] をオンにします。
接続のプロパティを [OK] ボタンをクリックして閉じます。
接続が複数ある場合は、手順 2 - 5 を繰り返します。
より詳細な情報は、以下のサポート技術情報 をご覧ください。
283673 [HOW TO] Windows XP でインターネット接続ファイアウォール機能を有効にする方法
317530 [HOWTO] Windows Server 2003 でインターネット接続ファイアウォールを有効にする方法
本回避策による影響
ローカル エリア接続 (LANとの接続) に対して本設定を行うと、ファイル共有・プリンタ共有などが行えなくなることがあります。
詳細は、以下のサポート技術情報 をご覧ください。
298804 インターネット接続ファイアウォール機能をオンにするとインターネットの参照やファイルの共有ができなくなる
インターネット等の外部に向けて WWW サーバーなどを公開している場合は、別途設定が必要です。
詳細は、以下のサポート技術情報 をご覧ください。
307554 インターネット接続ファイアウォールでポートを手動構成する必要のあるプログラム
308127 Windows XP のインターネット接続ファイアウォールで手動でポートを開く方法
さらに、インターネット接続ファイアウォールの情報が必要な場合は、こちら をご覧ください。
回避策 3: IPSEC によりポートをフィルタする
Windows 2000, Windows XP, Windows Server 2003 は、「IPSec (IP セキュリティ ポリシー)」を使用することができます。
ファイアウォールまたは境界ルーター等で以下のポートを使用した通信を遮断、外部からの感染を防止します。
本機能を有効にすることで、影響を受けるポートの通信をフィルタすることができます。 また、本機能の設定は、比較的容易にグループポリシーオブジェクト (GPO) などを使用して配布することが可能です。
本機能の設定方法は、以下のサポート技術情報をご覧ください。
313190 [HOWTO] Windows 2000 で IPSec の IP フィルタ一覧を使用する方法
813878 IPSec を使用して特定のネットワーク プロトコルとポートをブロックする方法
関連するポート
回避策 1 をご覧ください。
本回避策による影響
回避策 1 をご覧ください。
回避策 4: COM Internet Services (CIS) または RPC over HTTP を無効にする
COM Internet Services (CIS) または RPC over HTTP は、インターネットを経由して COM を利用するための機能です。本機能は、規定の状態で無効です。
現在、有効に設定されている場合に、再度、無効に設定することで TCP 593 および 80 を経由した感染を防止すること可能です。 しかしながら、この回避策と併用して他の影響を受けるポートへの対策も必要です。
本機能の設定方法は、以下のサポート技術情報 および 開発者向け情報をご覧ください。
282261 [HOWTO] サーバー側で COM インターネット サービス (CIS) を構成する
Platform SDK: Remote Procedure Call (RPC), RPC over HTTP Security
本回避策による影響
インターネットを経由した COM を利用することができなくなります。
注意:VPN 等で接続されている場合は問題ありません。
回避策 5: DCOM を無効にする
分散COM (DCOM) は、コンピュータ間でネットワークを通じて COM オブジェクトを利用できる機能です。本機能は、規定の状態で有効です。
DCOM を無効にするには、以下の設定を行います。
[スタート] - [ファイル名を指定して実行] から Dcomcnfg.exe と入力し、[OK] ボタンをクリックします。
Windows XP または Windows Server 2003 を実行している場合には、以下の手順が追加で必要です。
コンソール ルート下の [コンポーネント サービス] ノードをクリックします。
[コンピュータ] サブフォルダを開きます。
ローカル コンピュータでは、[マイコンピュータ] 上で右クリックし、[プロパティ] を選択します。
リモート コンピュータでは、[コンピュータ] フォルダ上で右クリックし、[新規作成] ‐ [コンピュータ] を選択します。コンピュータ名を入力します。そのコンピュータ名の上で右クリックし、[プロパティ] を選択します。
[既定のプロパティ] タブをクリックします。
[このコンピュータ上で分散 COM を有効にする] チェック ボックスをオン (またはオフ) にします。
そのコンピュータのプロパティをさらに設定する場合、[適用] ボタンをクリックし、DCOM を有効 (または無効) にします。そのほかの場合、[OK] ボタンをクリックし、変更を適用し、Dcomcnfg.exe を終了します。
本回避策による影響
ネットワークを通じた COM オブジェクトの利用が行えなくなります。 それにり、管理コンソール、リモート管理、アプリケーションサーバーの動作に影響が出る可能性があります。