[WinNT/2K/XP] W32.Blaster ワーム 対策について 2003.08.18

[WinNT/2K/XP] W32.Blaster ワーム 対策について 2003.08.18 / 2003.08.25更新

平素は弊社パーソナルコンピュータ「Renaissanceシリーズ」をご利用頂き、誠にありがとうございます。
以下の文章は、2003年8月上旬より報告されたウイルス (ワーム) に対する対策情報となります。
この新たなワームは一般的に W32.Blaster ワームと呼ばれ、マイクロソフト セキュリティ情報 MS03-026で説明された脆弱性を悪用していることが確認されました。

[ワーム・ウィルス名]

W32.Blaster ワーム 又は、それに属する亜種(RPCSDBOTなど)

[感染が予想されるプラットフォーム]

以下の製品をご利用のお客様は、このワームによる感染の影響を受ける可能性があります。
・Microsoft Windows NT 4.0
・Microsoft Windows 2000
・Microsoft Windows XP
・Microsoft Windows Server 2003
このワームは 2003 年 8 月 11 日に発見されました。すでに
(1)MS03-026 のセキュリティ修正
(2)MS03-007 のセキュリティ修正
プログラムをダウンロードし、インストールしている場合、この脆弱性による影響からは保護されています。

[感染した場合に発生する症状]

Blaster ワーム によりコンピュータが異常終了してしまったり、Office が正しく動作しなくなるなどの問題が発生しています。
また、攻撃のためのデータによりネットワークの帯域を消費し、結果的にネットワーク全体のスループットが低下する恐れがあります。

[感染した場合の復旧に方法ついて WindowsNT/2000の場合]

※このサイトを全て閲覧し、各種注意事項等を考慮した上で作業をおこなってください。

  1. お客様の作られた大切なデータ等のバックアップを行ってください。

  2. ネットワークケーブルを抜きます

  3. 分散 COM (DCOM) を一時的に無効にします
    ※Windows 2000 で DCOM を無効にするには Windows 2000 SP 3 以上の必要があります。
    Windows の DCOM サポートを無効にする方法
    (1)スタートメニューから [ファイル名を指定して実行] を選びます。
    (2)表示されたウインドウの名前テキストボックスに、dcomcnfg と入力し、[OK] ボタンをクリックします。
    (3)[既定のプロパティ] タブを表示し、[このコンピュータ上で分散 COM を有効にする] チェック ボックスがオフの状態で、[OK] ボタンをクリックします。

  4. msblast.exe プログラムを停止します
    (1)Ctrl + Shift キーを押しながら Esc キーを押し、タスクマネージャを実行します。
    (2)次に [プロセス] タブを表示します。
    (3)イメージ名の欄に、"msblast.exe" (*1) プログラムがあれば、そのファイル名をマウスでクリックし、[プロセスの終了] ボタンをクリックします。
    Blaster ワームが動作していない場合には "msblast.exe" (*1) は動作していません。タスクマネージャ右上の [×] ボタンをクリックしタスクマネージャを終了してください。
    ※1 Blaster ワームは現在いくつかの亜種が報告されています。亜種の場合は msblast.exe と表示されず別の名前になります。詳細はウイルス対策ソフトベンダーの Web サイトをご覧ください。
    (4)タスクマネージャーの警告が表示されます。[はい] をクリックします。
    (5)msblast.exe プログラムが消えたことを確認し、[×] ボタンをクリックしタスクマネージャーを終了します。

  5. ネットワークケーブルをコンピュータに接続します。又は、ダイヤルアップにてインターネットに接続します。

  6. MS03-026 を適用します
    (1)次のページにアクセスします。
    MS03-026: RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980)
    修正プログラムの欄よりご利用の Windows 用の修正プログラムをダウンロードします。
    (2)お客様のOSに適した修正モジュールをダウンロードし、実行します。

  7. MS03-007 を適用します
    (1)次のページにアクセスします。
    MS03-007: Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (815021)
    修正プログラムの欄よりご利用の Windows 用の修正プログラムをダウンロードします。
    (2)お客様のOSに適した修正モジュールをダウンロードし、実行します。

  8. ワームを駆除します ウイルス対策ソフトウェア ベンダー各社により提供されている駆除ツールを入手し、駆除を行います。手動で削除をするよりも確実で、安全に駆除をすることができます。これらツールの使用方法については、ウイルス対策ソフトウェア ベンダー各社の紹介ページをご確認ください。
    株式会社シマンテック様提供
    トレンドマイクロ株式会社様提供

  9. 手順 3.で設定した対策を、元の状態に戻します。分散COMを有効にします。
    (1)スタートメニューから [ファイル名を指定して実行] を選びます。
    (2)表示されたウインドウの名前テキストボックスに、dcomcnfg と入力し、[OK] ボタンをクリックします。
    (3)[既定のプロパティ] タブを表示し、[このコンピュータ上で分散 COM を有効にする] チェック ボックスがオンの状態で、[OK] ボタンをクリックします。

[感染した場合の復旧に方法ついて WindowsXP]

※このサイトを全て閲覧し、各種注意事項等を考慮した上で作業をおこなってください。

  1. お客様の作られた大切なデータ等のバックアップを行ってください。

  2. ネットワークケーブルを抜きます

  3. インターネット接続ファイアウォールを有効にします
    (1)[スタート] メニューから [コントロールパネル] を開き、[ネットワークとインターネット接続] を選択します。
    (2)続いて [ネットワーク接続] をクリックしてください。
    (3)使用しているネットワーク接続設定を選択して、[ネットワークタスク] の [この接続の設定を変更する] をクリックします。
    (4)[詳細設定] タブをクリックして、[インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する] という項目のチェックをオンにします。

  4. msblast.exe プログラムを停止します
    (1)Ctrl + Shift キーを押しながら Esc キーを押し、タスクマネージャを実行します。
    (2)次に [プロセス] タブを表示します。
    (3)イメージ名の欄に、"msblast.exe" (*1) プログラムがあれば、そのファイル名をマウスでクリックし、[プロセスの終了] ボタンをクリックします。
    Blaster ワームが動作していない場合には "msblast.exe" (*1) は動作していません。タスクマネージャ右上の [×] ボタンをクリックしタスクマネージャを終了してください。
    ※1 Blaster ワームは現在いくつかの亜種が報告されています。亜種の場合は msblast.exe と表示されず別の名前になります。詳細はウイルス対策ソフトベンダーの Web サイトをご覧ください。
    (4)タスクマネージャーの警告が表示されます。[はい] をクリックします。
    (5)msblast.exe プログラムが消えたことを確認し、[×] ボタンをクリックしタスクマネージャーを終了します。

  5. ネットワークケーブルをコンピュータに接続します。又は、ダイヤルアップにてインターネットに接続します。

  6. MS03-026 を適用します (1)次のページにアクセスします。
    MS03-026: RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980)
    修正プログラムの欄よりご利用の Windows 用の修正プログラムをダウンロードします。
    (2)お客様のOSに適した修正モジュールをダウンロードし、実行します。

  7. MS03-007 を適用します
    (1)次のページにアクセスします。
    MS03-007: Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (815021)
    修正プログラムの欄よりご利用の Windows 用の修正プログラムをダウンロードします。
    (2)お客様のOSに適した修正モジュールをダウンロードし、実行します。

  8. ワームを駆除します ウイルス対策ソフトウェア ベンダー各社により提供されている駆除ツールを入手し、駆除を行います。手動で削除をするよりも確実で、安全に駆除をすることができます。これらツールの使用方法については、ウイルス対策ソフトウェア ベンダー各社の紹介ページをご確認ください。
    株式会社シマンテック様提供
    トレンドマイクロ株式会社様提供

  9. 手順 3.で設定した対策を、元の状態に戻します。
    (1)[スタート] メニューから [コントロールパネル] を開き、[ネットワークとインターネット接続] を選択します。
    (2)続いて [ネットワーク接続] をクリックしてください。
    (3)使用しているネットワーク接続設定を選択して、[ネットワークタスク] の [この接続の設定を変更する] をクリックします。
    (4)[詳細設定] タブをクリックして、[インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する] という項目のチェックをオフにします。

[その他の推奨する対策]

その他のセキュリティー対策としまして、WindowsUpdateの実行をお勧めいたします。
又、ファイアーウォール・ルーター等の導入をお勧めいたします。

[修正などにおける注意事項]

作業を行われる前に、必ず大切なデータ等のバックアップを行ってから、セキュリティー対策を行ってください。
現在の環境等においては、WindowsUpdate及び、修正モジュールの適応によって、起動しない若しくは、予期されない不具合が発生する可能性もございます。

[マイクロソフト社が提供する詳細情報]

より詳しい情報がマイクロソフト社より提供されております。詳しくは、
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
をご覧ください。

[ウイルス対策ソフトウェアベンダー各社からも情報]

ウイルス対策ソフトウェアベンダー各社からも、本ワームに関する情報が公開されておりますので併せてご参照ください。
株式会社シマンテック様提供
トレンドマイクロ株式会社様提供

[Renaissanceのページに戻る] [トップページに戻る]
Copyright © 1986,2003 COM-IN HIROSHIMA,INC All rights reserved.