Blaster ワームに感染した場合の対策について | パナソニックパソコンサポート

ページの先頭です。

本文へ
サイト情報へ

パナソニックパソコンサポート

パソコンサポートトップ > セキュリティ情報 > Blaster ワームに感染した場合の対策について

ここから本文です。

【緊急のお知らせ】

Blaster ワームに感染した場合の対策について

2003年 8月14日公開
2003年 8月18日更新

平素はPanasonic PCをご愛用いただき、誠にありがとうございます。

標記の件、既に各メディアなどでも報じられておりますが、Microsoft Windows の脆弱性( MS03-026 )を悪用したワーム「Blaster（ブラスター）」による被害が急増しております。

以下に、感染した場合の対処方法と感染していない場合の予防方法をご案内致しますので、早々にご確認下さいますようお願い申し上げます。

【Blaster ワームの特徴】
Blasterワームの特徴は、現在のところ、ネットワークを通じて MS03-026 の対策が行われていないコンピューターを探し、「msblast.exe」等のファイルをコンピュータに送り込み実行します。

【Blaster ワームに感染していた場合に発生する現象】
Windows起動後、「RPCサービスが異常終了したため、Windowsを再起動する必要があります」というメッセージが表示され、Windowsの再起動が繰り返されます。

【Blaster ワームに感染する恐れのあるWindows】
・ Microsoft Windows 2000
・ Microsoft Windows XP

【他対応が必要なWindows】
・ Microsoft Windows NT
Microsoft Windows NT4.0 脆弱性(MS03-026)の対応が必要です。Windows Updateを行って下さい。

【感染しているか確認する方法（Windows2000/XP共通）】

まず始めに、コンピューターをネットワークから切り離して下さい。

具体的には、
・有線LANで接続している場合は、LANケーブルを本体から外す。
・無線LANで接続している場合は、無線LANを無効にする。
・モデムを使用してダイアルアップで接続している場合は、接続を切断し、モジュラーケーブルも抜く。
・ADSLモデム、FTTH回線終端装置、CATVケーブルモデム、ダイアルアップルーター、ブロードバンドルーターなどの電源も全て落とす。
と言う方法で実行して下さい。

次の手順でレジストリを確認して下さい。
なお、レジストリの操作を誤ると、システムが正常に動作しなくなります。下記に書かれている以外の操作は絶対に行わないで下さい。

(1)	[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に [名前] ボックスに「regedit」と入力して［OK］をクリックします。
(2)	レジストリエディタが起動しますので、ウインドウの左側にツリー表示されている [HKEY_LOCAL_MACHINE] をダブルクリックし、表示された [SOFTWARE] をダブルクリックします。次に［Microsoft］をダブルクリックし、次に[Windows] をダブルクリックし、[CurrentVersion] をダブルクリックして [Run] をクリックします。
(3)	ウインドウの右側に　windows auto update:REG_SZ:msblast.exe と書かれた項目が有れば、Blasterワームに感染している可能性があります。また、Windows起動後、「RPCサービスが異常終了したため、Windowsを再起動する必要があります」というメッセージが表示され、Windowsの再起動が繰り返されると言った現象が発生している場合も、Blasterワームに感染している可能性があります。

【Blasterワームに感染していない場合（Windows NT／Windows2000／XP共通）】
Blasterワームに感染していないと確認されても、 MS03-026 の対策をしていなければ感染の危険にさらされます。
下記の手順で、「セキュリティ問題の修正プログラム 823980」が適用されているかご確認下さい。

(1)	[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に [名前] ボックスに「appwiz.cpl」と入力します。

(2)	インストールされているアプリケーションの一覧が表示されるので、その中で「Windows XP(or 2000) Hotfix(or ホットフィックス) - KB823980」が、存在していれば、「セキュリティ問題の修正プログラム 823980」が適用されていることになります。

●「セキュリティ問題の修正プログラム 823980」が適用されていた場合 Blasterワームに感染する心配はありませんが、Windows Updateを実行し「重要な更新とService Pack」で表示されるアップデートプログラムを全て適用するようにして下さい。（現在、マイクロソフト（株）のホームページが大変混雑してしている模様です。ダウンロード時間が異常に長い場合などは、時間をおいて、再度接続してください）また、ウイルス監視・駆除ソフトウェアを導入されている場合は、パターンファイルや検索エンジンなどを最新版にアップデートしておくことを強くお勧め致します。

●「セキュリティ問題の修正プログラム 823980」が適用されていない場合。 Blasterワームに感染する危険性が高いです。早急にWindows Updateを実行して修正プログラムを適用して下さい。 WindowsUpdateの手順はこちらをご参照下さい。 Blasterワームが悪用するMS03-026の問題については、下記URLをご参照下さい。 Windows Update情報 MS03-026

【Blasterワームに感染していた場合の対処方法】
Blasterワームに感染していることが判った場合は、下記の手順で対処します。
この作業は、ネットワークから切り離した状態で実施します。

下記の手順を実行して下さい。

１．レジストリからキーを削除する（Windows2000／XP共通）

(1)	[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に [名前] ボックスに「regedit」と入力して[OK]をクリックします。
(2)	レジストリエディタが起動しますので、ウインドウの左側にツリー表示されている [HKEY_LOCAL_MACHINE] をダブルクリックし、表示された [SOFTWARE] をダブルクリックします。次に［Microsoft］をダブルクリックし、次に[Windows] をダブルクリックし、[CurrentVersion] をダブルクリックして [Run] をクリックします。
(3)	ウインドウの右側に表示されている windows auto update:REG_SZ:msblast.exe をダブルクリックし、[文字の編集] ダイアログボックスを開きます。
(4)	[値のデータ] ボックスからすべての文字列を削除し、[OK] をクリックします。
(5)	レジストリエディタの画面に戻りますので、右上の「×」印をクリックして、レジストリエディタを終了します。

２．「DCOMサービス」の設定内容を変更します。・ Windows2000の場合・ Windows XPの場合
	【Windows2000】の場合
(1)	[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に [名前] ボックスに「Dcomcnfg.exe」と入力し、[OK] をクリックします。 ※画面はWindowsXPのものですがご了承下さい。
(2)	[分散 COM の構成のプロパティ] ダイアログボックスの [既定のプロパティ] タブをクリックします。次に [このコンピュータ上で分散 COM を有効にする] チェックボックスをオフにし、［OK］をクリックします。

	【Windows XPの場合】
(1)	[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に [名前] ボックスに「Dcomcnfg.exe」と入力し、[OK] をクリックします。
(2)	[コンポーネント Service] ダイアログボックスの画面左側に表示されている [コンポーネントサービス] をダブルクリックします。次に、表示された [コンピュータ] をダブルクリックし、[マイコンピュータ] を右クリックして [プロパティ] をクリックします。
(3)	[既定のプロパティ] タブをクリックし、[このコンピュータ上で分散 COM を有効にする] チェックボックスをオフにし、［OK］をクリックします。

次に、ネットワークに再度接続し、Windows Updateサイトから修正プログラムのインストールを行います。 ●CF-R1シリーズ、CF-A3シリーズ、CF-L2シリーズ、CF-B5シリーズをお使いのお客様は、Windows Updateを実施する際に下記の点をご確認下さい。
【CF-R1，CF-A3，CF-L2，CF-B5シリーズ Windows Update時の注意点】 Windows XPサービスパック1aを導入されていない場合、サービスパック1aのインストールが先に行われますが、インストール後、Windowsが正常に起動しなくなる場合があります。 Windows Updateを実行する前に、下記の手順でサービスパック1aが導入済みか確認して下さい。確認方法［スタート］－［コントロールパネル］－［パフォーマンスとメンテナンス］－［システム］をクリックし「システムのプロパティ」を表示させ、「全般」のタブより記載内容を確認して下さい。・Windows XPサービスパック1a導入済みの場合　「Microsoft Windows XP Professional Version 2002 Service Pack 1」と表示されます。・Windows XPサービスパック1aを導入していない場合　「Microsoft Windows XP Professional Version 2002」と表示されます。 ●サービスパック1aを導入されていない場合の対処方法下記URLの内容を確認してサービスパック1aを導入してから、再度Windows Updateを実行し、個々の問題の修正プログラムをインストールして下さい。　法人向けPC Windows XP サービスパック1a サポート情報　 http://askpc.panasonic.co.jp/s/wxp/sp1.html 　個人向けPC Windows XP サービスパック1a サポート情報　 http://askpc.panasonic.co.jp/r/windows/servicepack/xp/sp1.html

３．Windows Updateを実行して修正プログラムをインストールする
(1)	インターネットに接続し、Windows Updateサイト（ http://windowsupdate.microsoft.com/ ）へアクセスします。【お知らせ】ダウンロード時間が異常に長い場合など、マイクロソフト（株）のホームページが混雑している様子の際は、時間をおいて、再度接続してください

(2)	[Windows Update へようこそ] 画面が表示されたら、[更新をスキャンする] をクリックします。更新のスキャンが終了したら、画面左側にある [重要な更新と ServicePack] をクリックし、「セキュリティ問題の修正プログラム 823980」が選択されていることを確認してから、[更新の確認とインストール] をクリックします。（その他に表示されている重要な更新も、同時にインストールしておきましょう）

(3)	[選択した更新の合計] 画面が表示されたら、[今すぐインストール] をクリックします。修正プログラムのインストールが始まったら、画面の指示にしたがってインストールを進めます。

【お知らせ】 Windows Updateサイトが混雑のためアクセス出来ない場合は、下記より単体ファイルとしてダウンロード出来ますので以降の手順にて実施して下さい。・ Windows2000の場合・ Windows XPの場合
【Windows2000の場合】
(1)	Microsoft TechNet（MS03-026 に関する情報）にアクセスする。（上の文字列をクリックして下さい）
(2)	Windows2000用の修正プログラムの項目から「PC/AT互換機」をクリックする。
(3)	［ファイルのダウンロード］ダイアログボックスが表示されますので、［保存］をクリックし、任意の場所に保存します。
(4)	ダウンロードされた Windows2000-KB823980-x86-JPN.exe をダブルクリックして実行して下さい。以降の操作は画面の指示に従って下さい。

【Windows XPの場合】
(1)	Microsoft TechNet（MS03-026 に関する情報）にアクセスする。（上の文字列をクリックして下さい）
(2)	Windows XP用の修正プログラムの項目から「32bit Edition」をクリックする。
(3)	［ファイルのダウンロード］ダイアログボックスが表示されますので、［保存］をクリックし、任意の場所に保存します。
(4)	ダウンロードされた WindowsXP-KB823980-x86-JPN.exe をダブルクリックして実行して下さい。以降の操作は画面の指示に従って下さい。



４．「DCOMサービス」の設定内容を元に戻します。修正プログラムのインストールが完了したら、下記の手順で「DCOMサービス」の設定を戻します。・ Windows2000の場合・ Windows XPの場合

	【Windows2000】の場合
(1)	[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に [名前] ボックスに「Dcomcnfg.exe」と入力し、[OK] をクリックします。 ※画面はWindowsXPのものですがご了承下さい。
(2)	[分散 COM の構成のプロパティ] ダイアログボックスの [既定のプロパティ] タブをクリックします。次に [このコンピュータ上で分散 COM を有効にする] チェックボックスをオンにし、［OK］をクリックします。

	【Windows XPの場合】
(1)	[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に [名前] ボックスに「Dcomcnfg.exe」と入力し、[OK] をクリックします。
(2)	[コンポーネント Service] ダイアログボックスの画面左側に表示されている [コンポーネントサービス] をダブルクリックします。次に、表示された [コンピュータ] をダブルクリックし、[マイコンピュータ] を右クリックして [プロパティ] をクリックします。
(3)	[既定のプロパティ] タブをクリックし、[このコンピュータ上で分散 COM を有効にする] チェックボックスをオンにし、［OK］をクリックします。
以上で感染した場合の対処は完了です。


【参考情報】
各ウイルス駆除ソフトメーカー様より、Blasterワーム専用の駆除ツールが公開されておりますので、参考までにご案内致します。なおこれらの駆除ツールの使用方法については、提供元のメーカー様にご確認下さいますようお願い致します。（Blasterワームの名称は、ウイルス駆除ソフトメーカー様により異なる場合があります）

●	株式会社シマンテック W32.Blaster.Worm に関する情報 http://www.symantec.com/region/jp/avcenter/venc/data/w32.blaster.worm.html W32.Blaster.Worm 駆除ツール http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html

●	トレンドマイクロ株式会社 WORM_MSBLAST.A に関する情報 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A トレンドマイクロシステムクリーナ ver. 3.0（TSC) http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700

●	マカフィー株式会社 W32/Lovsan.worm に関する情報 http://www.mcafee.com/japan/security/virL.asp?v=W32/Lovsan.worm.a AVERTウイルス駆除ツール　Stinger（スティンガー） http://www.mcafee.com/japan/security/stinger.asp

マイクロソフト（株）の公開している情報ページ
●	絵で見るセキュリティ情報 http://www.microsoft.com/japan/security/bulletins/ms03-026e.mspx

●	マイクロソフトサポート情報：Blaster ワームに感染した場合の対策について http://support.microsoft.com/default.aspx?scid=kb;ja;826977

●	マイクロソフトセキュリティ情報センター http://www.microsoft.com/japan/security/sicinfo.mspx