Windows TIPS
[Security]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

Blasterワーム削除ツールを使う

解説をスキップして操作方法を読む

デジタルアドバンテージ
2004/01/10
 
対象OS
Windows 2000 SP2
Windows 2000 SP3
Windows 2000 SP4
Windows XP
Windows XP SP1
2003年に猛威を振るったBlasterやNachiワームは、適切な修正プログラムを適用しておけば防ぐことができる。
だがすでに感染してしまった場合は、まず修正プログラムを適用するだけでなく、ワームそのものをシステムから削除する必要がある。
Blasterワームを削除するためのツールがマイクロソフトから提供されているので、これを実行すればよい。
 
解説

 2003年に猛威を振るったBlasterワームやNachiワームに対しては、すでにマイクロソフトからセキュリティ・パッチが提供されており、それらを適用しておけば再感染を防ぐことができる。

 だがすでにこれらのワームに感染している場合は、パッチを適用するだけでなく、システムに感染しているワームを取り除く必要がある。このためのツールは、すでに各ウイルス・ベンダから提供されているが、2004年1月になって、マイクロソフトからも提供されるようになった。このツールは、前挙のセキュリティ情報などからもリンクされているので、ツールや情報の入手などが容易であるという特徴がある。


操作方法

 Blaster/Nachiワームの駆除ツールは以下のページからダウンロードすることができる。

 このツールに関する情報は、以下のサポート技術情報で詳しく解説されている。

 ツールの利用方法は非常に簡単である。上のダウンロード・センターからWindows-KB833330-JPN.exeというプログラムをダウンロードし、インストールするだけでよい(PC/AT互換機用とNEC PC-9800 シリーズ向けの2種類があるのでどちらか1つをダウンロードする)。なおこのツールを利用する場合は、あらかじめMS03-026に対する修正プログラムを適用しておく必要がある(このツールはすでに感染したワームを除去するだけであり、ワームに対するセキュリティ対策を行うわけではない)。インストールしていない場合は、先にMS03-026をインストールするように促すダイアログが表示され、インストール作業は中断する。

MS03-026未インストール時に表示されるダイアログ
先にMS03-026の修正プログラムをインストールしていない場合には、このようなダイアログが表示され、インストール作業は中断する。

 ダウンロードしたプログラムを実行すると、「KB833330 セットアップ ウィザード」が起動し、自動的に駆除ツールblastcln.exeのインストールが行われる(ツールはこの実行ファイル1つだけで構成されている)。画面上は単なるインストール処理の画面が表示されるだけであるが、実際にはインストールの終了後にblastcln.exeの実行も行われている。そのため、ユーザーが明示的に実行させる必要はないし、特に[スタート]メニューにツールが登録されるわけでもない。わざわざインストーラの形式になっているのは、アンインストール作業などを容易にするためである。コントロール・パネルの[アプリケーションの追加と削除(プログラムの追加と削除)]には「Windows Blaster ワーム削除ツール(KB833330)」という項目が追加されるので、必要ならいつでも簡単に削除することができる。

セットアップ・ウィザードの実行
ダウンロードしたプログラムを実行すると、ツールのインストールだけでなく、実行も自動的に行われる。これが表示されれば、すでに実行が完了しているので、ログ・ファイルを参照して結果を確認するか、念のためにコマンドプロンプト上で「blastcln.exe /v」と実行しておけばよいだろう。

 駆除ツールblastcln.exeは、「%WINDIR%\$NtUninstallKB833330$\Blastcln」というフォルダ中にインストールされる(%WINDIR%は、Windowsシステムがインストールされているフォルダ名。デフォルトではC:\winntもしくはc:\windows)。そして、実行結果のログは「%WINDIR%\Debug」フォルダに「Blastcln.log」というファイルが作成され、記録される(実行するたびに追加記録される)。

C:\WINDOWS\Debug>type blastcln.log
Microsoft Blaster/Nachi removal tool started on Fri Jan 08 18:05:44 2004
Checking 89 services.
Checking 33 processes.
Checking startup registry keys.
Checking known Blaster/Nachi filenames.
**** No Blaster/Nachi infection found ****
Microsoft Blaster/Nachi removal tool stopped.

 手動で「blastcln.exe /v」として実行すると、このメッセージが画面にも表示され、動作を確認することができる。この例では、最後に「**** No Blaster/Nachi infection found ****」と表示され、Blasterワームに感染していなかったことが分かる。End of Article

関連記事(Windows Server Insider)
  Windows HotFix Briefings Biweekly(2004年01月09日版)
  Opinion「Blasterワームが残した教訓」
     
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間