WORM MSBLAST感染拡大
2003-08-12からの情報によると、この危険度の高いワーム_エムエスブラストは、LoveSan、Blasterとも呼ばれ、多くのコンピューターが急速に感染している。特にお盆休み明け、会社稼働に伴う感染拡大が注目される。 またこのワームは、8月16日にマイクロソフト社のウェブサイトに感染したコンピューターから大量のリクエストを送り、同社のサイトを一時的にマヒさせる様に仕組まれているもよう。
感染対象OSは、Windows2000、XPのセキュリティホールを悪用して、コンピューターに侵入。但し、マイクロソフト社からすでにセキュリティホール対応パッチが7月に出ており、Windows
Update済みのPCは感染しない。 感染は、コンピューターがインターネットに接続しただけで、セキュリティホールの有るコンピューターを次々探し出して侵入する。感染するとPCが再起動するが、ファイルなどの削除は無いようだ。 感染を調べるには、検索で「MSBLAST.EXE」と入力するとファイルが見つかる。しかし、すでにEXEが実行され、レジストリ(注1)の値が変更されているので、削除は簡単に出来ない。アンチウイルスソフトベンダーのWebサイトから駆除ソフトをダウンロードして対応するのが良い。再度の感染防止は、マイクロソフト社のセキュリティホール対応パッチを当てるしかない。
ワームの名称は、各ウイルス対策ソフトウェアベンダーで異なる。 ・トレンド
マイクロ社:WORM_MSBLAST.A,(8/14現在:亜種
.B,.C) ・シマンテック社:W32.Blaster.Worm, ・ネットワーク アソシエイツ社:W32/Lovsan.worm )
マイクロソフト社:「Blasterに関する情報」
http://www.microsoft.com/japan/technet/security/
virus/blaster.asp
(注1):レジストリ(Registry) ・レジストリは、パソコンが正常に動作する様に、必要な設定情報をWindowsの中に記録している。それを記録しているファイルがレジストリ。 ・レジストリは、Windowsにおいて、デバイスドライバ設定からアプリケーション設定まで、コンピュータに関するあらゆる設定情報を集中管理するデータベース。 ・レジストリは、レジストリエディタと呼ばれるソフトでアプリケーションの設定情報内容を変更編集出来る。しかし初心者が不用意に操作すると、Windowsやアプリケーションソフトが動かなくなったり、動作に支障をきたす場合があるので要注意。変更編集する場合は、レジストリのバックアップを取って置き、NGの場合は元に戻す。
MSブラストの感染対処法
1.本当に“ワームMSブラスト”に感染したか、確認下さい。
方法は、スタート → 検索 → 検索欄に MSBLAST.EXE
と入力して検索し、HDD内に存在すれば“感染”です。 感染対処する前の注意事項として、このMSブラストは8月16日以降、マイクロソフト社のUpdateWebサイトを攻撃する仕組みに成っています。従って、インターネット回線を一度外し、PCの日付を15日以前に設定変更して再起動。その後、再接続して作業を進めて下さい。
2.インターネットに接続出来れば、マイクロソフトのセキュリティホール改善ソフト(パッチ)を下記よりダウンロードして、セキュリティホールを修復する。PCが接続出来ない場合は、3.を実行後に2.を実行するが、この時再度“感染する!?”場合は、3.を再度実行する様に成ります。 http://support.microsoft.com/
default.aspx?scid=kb;ja;823980
3.トレンドマイクロ社のMSブラスト無償駆除ソフトでワームを削除する。 (別のメーカーも無償ソフトを出している)。 PCが接続出来ない場合は、別の方法で
auto_tsc.com を入手するしか有りません。 http://www.trendmicro.co.jp/esolution/
solutionDetail.asp?solutionId=4700
4.Windowsが確実にUpdateされたか?確認する。 方法は、スタート → Windows Update
→「インストールの履歴表示」(右図)の項目で、インストールしたパッチが、「成功・失敗」を確認する。失敗の場合は、原因を探り対応が必要です。
記:山下 岩男 (2003-08-14)
|