Windows TIPS

［Security］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ Blasterワーム削除ツールを使う → 解説をスキップして操作方法を読む デジタルアドバンテージ 2004/01/10 　 対象OS Windows 2000 SP2 Windows 2000 SP3 Windows 2000 SP4 Windows XP Windows XP SP1

■ 2003年に猛威を振るったBlasterやNachiワームは、適切な修正プログラムを適用しておけば防ぐことができる。 ■ だがすでに感染してしまった場合は、まず修正プログラムを適用するだけでなく、ワームそのものをシステムから削除する必要がある。 ■ Blasterワームを削除するためのツールがマイクロソフトから提供されているので、これを実行すればよい。

　

解説

　2003年に猛威を振るったBlasterワームやNachiワームに対しては、すでにマイクロソフトからセキュリティ・パッチが提供されており、それらを適用しておけば再感染を防ぐことができる。

• Blaster に関する情報（Technet セキュリティ センター）
• RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)
• RPCSS サービスのバッファ オーバーランによりコードが実行される (824146) (MS03-039)
• [MS03-026] RPC インターフェイスのバッファ オーバーランによりコードが実行される
• [MS03-039] RPCSS サービスのバッファ オーバーランにより、攻撃者によって悪質なプログラムが実行される
• Blaster.Worm および Blaster.Worm の亜種に関するウイルスの警告
• Nachi ワームに関するウイルスの警告

　だがすでにこれらのワームに感染している場合は、パッチを適用するだけでなく、システムに感染しているワームを取り除く必要がある。このためのツールは、すでに各ウイルス・ベンダから提供されているが、2004年1月になって、マイクロソフトからも提供されるようになった。このツールは、前挙のセキュリティ情報などからもリンクされているので、ツールや情報の入手などが容易であるという特徴がある。

操作方法

　Blaster／Nachiワームの駆除ツールは以下のページからダウンロードすることができる。

• ダウンロード・センター Windows-KB833330-JPN.exe（Windows Blaster ワーム駆除ツール）

　このツールに関する情報は、以下のサポート技術情報で詳しく解説されている。

• Windows 2000またはWindows XPを実行するコンピュータからBlasterワームまたはNachiワームを駆除するツールについて

　ツールの利用方法は非常に簡単である。上のダウンロード・センターからWindows-KB833330-JPN.exeというプログラムをダウンロードし、インストールするだけでよい（PC/AT互換機用とNEC PC-9800 シリーズ向けの2種類があるのでどちらか1つをダウンロードする）。なおこのツールを利用する場合は、あらかじめMS03-026に対する修正プログラムを適用しておく必要がある（このツールはすでに感染したワームを除去するだけであり、ワームに対するセキュリティ対策を行うわけではない）。インストールしていない場合は、先にMS03-026をインストールするように促すダイアログが表示され、インストール作業は中断する。

MS03-026未インストール時に表示されるダイアログ

先にMS03-026の修正プログラムをインストールしていない場合には、このようなダイアログが表示され、インストール作業は中断する。

　ダウンロードしたプログラムを実行すると、「KB833330 セットアップ ウィザード」が起動し、自動的に駆除ツールblastcln.exeのインストールが行われる（ツールはこの実行ファイル1つだけで構成されている）。画面上は単なるインストール処理の画面が表示されるだけであるが、実際にはインストールの終了後にblastcln.exeの実行も行われている。そのため、ユーザーが明示的に実行させる必要はないし、特に［スタート］メニューにツールが登録されるわけでもない。わざわざインストーラの形式になっているのは、アンインストール作業などを容易にするためである。コントロール・パネルの［アプリケーションの追加と削除（プログラムの追加と削除）］には「Windows Blaster ワーム削除ツール（KB833330）」という項目が追加されるので、必要ならいつでも簡単に削除することができる。

セットアップ・ウィザードの実行

ダウンロードしたプログラムを実行すると、ツールのインストールだけでなく、実行も自動的に行われる。これが表示されれば、すでに実行が完了しているので、ログ・ファイルを参照して結果を確認するか、念のためにコマンドプロンプト上で「blastcln.exe /v」と実行しておけばよいだろう。

　駆除ツールblastcln.exeは、「%WINDIR%\$NtUninstallKB833330$\Blastcln」というフォルダ中にインストールされる（%WINDIR%は、Windowsシステムがインストールされているフォルダ名。デフォルトではC:\winntもしくはc:\windows）。そして、実行結果のログは「%WINDIR%\Debug」フォルダに「Blastcln.log」というファイルが作成され、記録される（実行するたびに追加記録される）。

C:\WINDOWS\Debug>type blastcln.log Microsoft Blaster/Nachi removal tool started on Fri Jan 08 18:05:44 2004 Checking 89 services. Checking 33 processes. Checking startup registry keys. Checking known Blaster/Nachi filenames. **** No Blaster/Nachi infection found **** Microsoft Blaster/Nachi removal tool stopped.

　手動で「blastcln.exe /v」として実行すると、このメッセージが画面にも表示され、動作を確認することができる。この例では、最後に「**** No Blaster/Nachi infection found ****」と表示され、Blasterワームに感染していなかったことが分かる。

	関連記事（Windows Server Insider）
		Windows HotFix Briefings Biweekly（2004年01月09日版）
		Opinion「Blasterワームが残した教訓」

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）