新型ウィルス発生!!ご注意下さい
ウィルス ワームサッサー「WORM_SASSER.B」
日本、ヨーロッパ、米国、アジア各地など、世界規模で感染被害が出ています。
| ●ウィルスの特徴 | |
| Windows2000/XPのMS04−011「LSASSの脆弱性(CAN−2003−0533)」と呼ばれるセキュリティホールを利用してワーム活動を行います。このセキュリティホールの修正を行っていないマシンの場合、ネットワーク(ダイヤルアップ)に接続しただけで感染する可能性があります。 MS04−011のセキュリティホールを利用したワーム活動のほか、同セキュリティホールを利用して攻撃対象のコンピュータをリモートコントロールし、自信のコピーを転送後実行します。 このセキュリティホールに対して攻撃を受けたコンピュータは「LSA Shell」のエラーを示すダイアログボックスが表示され、マシンが再起動してしまうことがあります。 |
|
| ●侵入方法 | |
| ワームはセキュリティホールを利用し最終的にはFTPの転送によってコンピュータに侵入します。セキュリティホールが既に修正されているコンピュータに対しては、ワームが自ら侵入することはできません。 また、ワームが利用するセキュリティホールはWindows2000/XPのみのものであるため、それ以外のシステムにワームが自ら侵入することはできません。 *ただし、CD−ROM、フロッピーディスクなどの媒体を介してワームを手作業でコピーした場合には、Windows2000/XP以外のプラットフォームでも活動することができます。 |
|
| ●感染確認方法 | |
| ワームに侵入されたコンピュータではWindowsのシステムフォルダ内に<ランダムな数字>_up.exe(ファイル名例:12345_up.exe)というファイルが作成されます。 ワームが実行されるとシステムに常駐し<WINDOWSフォルダ>内に「AVSERVE2.EXE」というファイル名で自身のコピーを作成します。 |
|
| ●対応方法 | |
| WindowsのUpdateを実施してMS04−011への対応を行うか、以下のURLからMS04−011の修正プログラムをダウンロードして、マシンにインストールしてください。 ワームによりシステム改変が行われた場合、以下の方法でシステムの修復を行う必要があります。 ・主導削除手順 1)セーフモードで起動します。 2)プログラムの自動起動設定を削除します。 Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除して下さい。 場所 HKEY_LOCAL_Machine/Software/Microsoft/Windows/CurrentVersion/Run 値 “avserve2.exe”=<Windowsフォルダ>/avserve2.exe 3)コンピュータを再起動し、通常モードで起動します。、最新のウィルス対策プログラム(エンジン、パターンファイル)を利用してウィルス検索を行い「WORM_SASSER.B」として検出したファイルをすべて「削除」して下さい。 4)Windows検索を使って「WIN2.LOG」を検索し、削除します。 注)WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、 Windows9x/Me/の場合 システムフォルダ=C:/Windows/System WindowsNT/2000の場合 システムフォルダ=C:/WinNT/System32 WindowsXPの場合 システムフォルダ=C:/Windows/System32 です。 |
|
| ウィルス情報の詳細は下記URLよりご確認下さい。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B |
|
その他のウィルス
ウィルス エムエスブラスト「WORM_MSBLAST.A」
このソフトはWindowsのセキュリティホールにより侵入します!
「エムエスブラスト」に感染する恐れのあるパソコン
Windows NT/2000/XP/Server2003で動いているパソコン
*Windows 95/98/98SE/Meの他、MacOSで動作しているパソコン等は感染の恐れはありません。
「エムエスブラスト」の感染を予防するには
「エムエスブラスト」は一旦感染してしまうと、駆除が大変面倒です。
ウィルスチェックソフトを導入し、最新のパターンファイルにてウィルスチェックを実行しておくことが必要です。
また、このウィルスはWindowsの脆弱性(欠陥)を狙って侵入しますので、「Windows Update」を実行しておくことが必要です。これをしないとまた感染する恐れがあります。
●Windows XPの場合
パソコンの画面左下にある「スタートボタン」をクリックし、表示されたメニューにある「すべてのプログラム」を選択、さらに「Windows Update」をクリックします。
●XP以外のWindowsの場合
パソコンの画面左下にある「スタートボタン」をクリックし、表示されたメニューにある「Windows Update」をクリックします。
●Internet Explorer 6 の場合
お使いのプラウザがInternet Explorer6の場合、プラウザからも「Windows Update」を実行できます。プラウザのメニューバーにある「ツール(T)」をクリックし、「Windows Update(U)」選択してください。
| ●ウィルスの特徴 | |
| これはワームに分類される「トロイの木馬型」不正プログラムです。一般的に「RPC DCOMバッファオーバーフロー」と呼ばれるWindowsのセキュリティホールを利用してネットワーク上のコンピュータに侵入します。また“windowsupdate.com”に対してネットワーク攻撃を仕掛けるDOSツールとしての活動も行います。 | |
| ●侵入方法 | |
| ソフトは、WindowsのセキュリティホールからTFTPを利用して感染元から感染先に転送後、自動実行されます。但し、Windowsのセキュリティホールが存在しなければ侵入されることはありません。 | |
| ●ウィルス活動 | |
| このセキュリティホールへの攻撃を受けたコンピュータはWindowsが再起動されます。なお、このセキュリティホールはWindows NT/2000/XP/2003Serverのみのものです。Windows 95/98/Meではこのセキュリティホールはありませんのでワームは侵入できません。 | |
| ●感染確認方法 | |
| ワームが侵入した場合にはWindowsのシステムディレクトリにワームのコピーである“MSBLAST.EXE”が作成されます。また、レジストリの値が変更されます。 | |
| ●対応方法 | |
| 検出したファイルは全て削除してください。単体で動作する1個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウィルスバスターなどのウィルス対策製品の機能で「駆除」処理は行えません。製品で「ウィルス発見時の処理」の設定が「ウィルス駆除」になっている場合「駆除できません、隔離成功」などと表示されますが正常な表示です. ワームに侵入され、コンピュータのシステムが改変された場合にはワーム駆除のためにシステムの修復を行う必要があります。レジストリの修復の代わりにトレンドマイクロ社の汎用駆除ツール「トレンドシステムクリーナー」をご使用ください。 また、以下の手順にて手動でも修復は可能です。 手動削除手順 1)不正プログラムの自動起動設定を削除します。 Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください。 場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 値 :"windows auto update" = "MSBLAST.EXE" 2)コンピュータを再起動し、最新のウィルス対策プログラムを利用してウィルス検索を行い「WORM_MSBLAST.A」で検出したファイルをすべて削除してください。 註<Windowsディレクトリ><Windowsのシステムディレクトリ>はWindowsの種類とインストール時の設定などにより異なります。デフォルト設定では、 Windows9x/Me/XPの場合 Windowsディレクトリ=C:/Windows システムディレクトリ=C:/Windows/System WindowsNT/2000の場合 Windowsディレクトリ=C:/WinNT システムディレクトリ=C:/WinNT/System32 注意 このワームはWindowsのセキュリティホールを利用します。セキュリティパッチがインストールされていない限り再感染の可能性がありますので、至急にこちらでセキュリティパッチのインストールを行ってください。 |
|
| ウィルス情報の詳細は下記URLよりご確認下さい。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A |
|
その他の最近の悪質なウィルス
| 1.WORM_SQLP1434.A | |
| ・概要 Microsoft SQLサーバー2000の脆弱性を利用して、サーバーのメモリー中に直接侵入して活動することのできるワーム型不正プログラムです。脆弱性を狙った攻撃により外部から直接メモリー上で不正コードが実行されてしまうため、侵入時にファイルコピーなどは行われません。したがって通常のファイルベースでリアルタイム監視を行うアンチウィルスソフトでは「WORM_SQL1234.A」の侵入は検知できません。脆弱性の対策が行われていないシステムは結果としてダウンしてしまいます。 |
|
| 2.WORM_FRETHEM.K | |
| ・概要 IEのセキュリティホールを悪用し、メールやメールに添付されたファイルを開かなくても、プレビュー機能にて本文を見たり、カーソルを当てるだけでウィルスが活動を開始します。 ウィルスが活動すると、自身のコピーを添付したメールを送信し、広がります。 |
|
| 3.WORM_KLEZ.H | |
| ・概要 感染すると、e−mailの自動送信と共有ドライブへのコピーで増殖、同時に実行可能形式ファイルへのウィルス感染を行う別プログラムも作成します。 ・破壊活動 システム日付が奇数月(1月・3月・5月・7月・9月・11月)の6日に発病し、以下の拡張子のファイルを上書きして破壊します。破壊されたファイルを回復することはできません。 TET,HTM,HTML,WAB,DOC,XLS,CPP,C,PAS,MPEG,MPG,BAK,MP3,JPG |
|
| 4.WORM_BADTRANS.B | |
| 本文が空白で、添付ファイルが二重拡張子のファイル名(<ファイル名>.<拡張子1>.<拡張子2>)のメールで送られてきます。 ワーム活動を行う他、キー入力の内容とそれを行ったユーザー名と時間を記録します。記録した内容は外部に送信される可能性があります。 | |
| ウィルス対策の基本 |
| 1.受信メールに注意しましょう |
| ・見知らぬ相手から届いたメールに添付ファイルがついている場合は、非常に危険性が高いですので、決して開かないようにしましょう。 特にファイル名に“.exe”が付いている場合(例えば、Readme.exe)は、決して開かないで下さい。 ・また、知っている相手からのメールでも、本文が英語であったり、何も書いてなかったりする場合は、ウィルスに感染しているものですので、注意して下さい。(「この人からのメールなら大丈夫だ」などとはくれぐれも思わないで下さい) ・また、今回流行しているウィルスは、Outlook Expressでプレビューしただけで感染します。 Outlook Expressをご利用の方は、プレビュー機能を止めるために以下の設定変更を行って下さい。 <Outlook Expressのプレビュー機能の止め方> 1 Outlook Expressを起動して下さい。 2 上部メニューの「ツール」→「オプション」を選択して下さい。 3 オプション画面が表示されますので、「読み取り」のタブを選んで下さい。 4 「メッセージの読み取り」の項目で、「プレビューウインドウで表示するメッセージを自動的にダウンロードする」のチェックを外して下さい。 |
| 2.最新のワクチンソフトをインストールし、ウィルス検査を行いましょう |
| 今すぐウィルスチェック用ソフトを手に入れたい方は、以下のサイトをご覧下さい。また、体験版も用意されています。 株式会社シマンテック 主な製品名:NortonAntiVirus URL http://www.symantec.com/region/jp/ トレンドマイクロ株式会社 主な製品名:ウィルスバスター URL http://www.trendmicro.co.jp/ 日本ネットワークアソシエイツ株式会社 主な製品名:VirusScan URL http://www.nai.com/japan/ (注)ただし、これらのウィルスチェック用ソフトをインストールしただけでは、次々に生まれてくる新しいウィルスには対応できません。 定期的に、最新の対策用ワクチンをダウンロードして対処する必要があります。 |
| 3.Internet Explorerを最新版にアップグレードする |
| Internet Explorer 5.5以前のバージョンでは、ホームページを見ただけでウィルスに感染する場合もあり、また、Outlook Expressのセキュリティも甘いので、ウィルスに感染しやすいです。 Internet Explorer6.0にアップグレードすることをお勧めします(Windows95をご使用の方は、Internet Explorer5.5SP2が最新版となります)。以下のサイトから無償でダウンロードできます。 ただし、アップグレード後も、E−mailの添付ファイルによる感染は防げませんので、上記1.2の点にご注意下さい。 Internet Explorer6.0をダウンロード http://www.microsoft.com/japan/ie/downloads/ie6/ 重要:Internet Explorer6.0をセットアップする場合は、必ずOutlook Expressを含む標準構成以上でセットアップして下さい。 Windows95をお使いの客様 Internet Explorer5.5SP2をダウンロード http://www.microsoft.com/downloads/release.asp?ReleaseID=32082 |
| 4.万一のウィルス被害に備えるためデータのバックアップを行う |
| 万一のウィルス被害に対処するため、日頃からデータのバックアップを取る習慣をつけることが大事です。CD−R、CD−RW、MO,ZIPなどの保存用ドライブを活用しましょう。 HDDの増設も有効です。 また、アプリケーションプログラムのオリジナル(FDもしくはCD)は大切に保管しておきましょう。万一、ウィルスによりハードディスクの内容が破壊されても、再インストールすることで復旧できるからです。 |
| 5.ウィルスの兆候を見逃さず、ウィルス感染の可能性が考えられる場合はウィルス検査を行うこと |
| ウィルスの兆候には以下のようなものがあります。 1.システムが使用中に突然止まる。 2.システムが起動できない。 3.ファイルがなくなる。見知らぬファイルが作成されている。 4.プログラムのサイズや作成日付などがオリジナルと異なる。 5.不自然なディスクアクセスがある。 6.ユーザーの意図しないメール送信が行われる。 7.直感的にいつもと何かが違うと感じる。 8.ワードやエクセルで文書ファイルを扱うときに、不審なダイアログボックスが表示される。文書ファイルの内容が勝手に変更される。マクロの表示や編集が出来ない。ユーザーの意図しない印刷が行われる。 |
| 6.ウィルス感染の可能性のあるファイルを扱うときは、マクロ機能の自動実効は行わないこと |
| マイクロソフト社のワードとエクセルで作成されたファイルのマクロウィルス感染件数が激増しています。この対策として、文書ファイルを開くときにマクロ機能を無効にするなどの搭載されているセキュリティ機能を活用し感染を防止することが可能です。 |
| 7.外部から持ち込まれたFD及びダウンロードしたファイルはウィルス検査ご使用すること |
| インターネットからファイルをダウンロードした場合は、ウィルス検査を行ってから実行する習慣をつけましょう。圧縮形式のファイルの場合は、解凍後にウィルス検査を行うこと。ただし、解凍前にウィルス検査を行うことができるワクチンソフトもあります。 尚、ユーザーに被害を与えるプログラム(ワクチンで検出されないトロイの木馬など)が潜んでいる場合があるので、信頼できないサイトからのファイルのダウンロード及び実行は避けましょう。 |