[Security] | ||||||||||||||
Blasterワーム削除ツールを使う
|
||||||||||||||
|
解説 |
2003年に猛威を振るったBlasterワームやNachiワームに対しては、すでにマイクロソフトからセキュリティ・パッチが提供されており、それらを適用しておけば再感染を防ぐことができる。
- Blaster に関する情報(Technet セキュリティ センター)
- RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)
- RPCSS サービスのバッファ オーバーランによりコードが実行される (824146) (MS03-039)
- [MS03-026] RPC インターフェイスのバッファ オーバーランによりコードが実行される
- [MS03-039] RPCSS サービスのバッファ オーバーランにより、攻撃者によって悪質なプログラムが実行される
- Blaster.Worm および Blaster.Worm の亜種に関するウイルスの警告
- Nachi ワームに関するウイルスの警告
だがすでにこれらのワームに感染している場合は、パッチを適用するだけでなく、システムに感染しているワームを取り除く必要がある。このためのツールは、すでに各ウイルス・ベンダから提供されているが、2004年1月になって、マイクロソフトからも提供されるようになった。このツールは、前挙のセキュリティ情報などからもリンクされているので、ツールや情報の入手などが容易であるという特徴がある。
操作方法 |
Blaster/Nachiワームの駆除ツールは以下のページからダウンロードすることができる。
このツールに関する情報は、以下のサポート技術情報で詳しく解説されている。
ツールの利用方法は非常に簡単である。上のダウンロード・センターからWindows-KB833330-JPN.exeというプログラムをダウンロードし、インストールするだけでよい(PC/AT互換機用とNEC PC-9800 シリーズ向けの2種類があるのでどちらか1つをダウンロードする)。なおこのツールを利用する場合は、あらかじめMS03-026に対する修正プログラムを適用しておく必要がある(このツールはすでに感染したワームを除去するだけであり、ワームに対するセキュリティ対策を行うわけではない)。インストールしていない場合は、先にMS03-026をインストールするように促すダイアログが表示され、インストール作業は中断する。
MS03-026未インストール時に表示されるダイアログ |
先にMS03-026の修正プログラムをインストールしていない場合には、このようなダイアログが表示され、インストール作業は中断する。 |
ダウンロードしたプログラムを実行すると、「KB833330 セットアップ ウィザード」が起動し、自動的に駆除ツールblastcln.exeのインストールが行われる(ツールはこの実行ファイル1つだけで構成されている)。画面上は単なるインストール処理の画面が表示されるだけであるが、実際にはインストールの終了後にblastcln.exeの実行も行われている。そのため、ユーザーが明示的に実行させる必要はないし、特に[スタート]メニューにツールが登録されるわけでもない。わざわざインストーラの形式になっているのは、アンインストール作業などを容易にするためである。コントロール・パネルの[アプリケーションの追加と削除(プログラムの追加と削除)]には「Windows Blaster ワーム削除ツール(KB833330)」という項目が追加されるので、必要ならいつでも簡単に削除することができる。
セットアップ・ウィザードの実行 |
ダウンロードしたプログラムを実行すると、ツールのインストールだけでなく、実行も自動的に行われる。これが表示されれば、すでに実行が完了しているので、ログ・ファイルを参照して結果を確認するか、念のためにコマンドプロンプト上で「blastcln.exe /v」と実行しておけばよいだろう。 |
駆除ツールblastcln.exeは、「%WINDIR%\$NtUninstallKB833330$\Blastcln」というフォルダ中にインストールされる(%WINDIR%は、Windowsシステムがインストールされているフォルダ名。デフォルトではC:\winntもしくはc:\windows)。そして、実行結果のログは「%WINDIR%\Debug」フォルダに「Blastcln.log」というファイルが作成され、記録される(実行するたびに追加記録される)。
C:\WINDOWS\Debug>type blastcln.log |
手動で「blastcln.exe /v」として実行すると、このメッセージが画面にも表示され、動作を確認することができる。この例では、最後に「**** No Blaster/Nachi infection found ****」と表示され、Blasterワームに感染していなかったことが分かる。
関連記事(Windows Server Insider) | ||
Windows HotFix Briefings Biweekly(2004年01月09日版) | ||
Opinion「Blasterワームが残した教訓」 | ||
この記事と関連性の高い別の記事
- 「悪意のあるソフトウェアの削除ツール」を利用する(TIPS)
- 「悪意のあるソフトウェアの削除ツール」をWebページから素速く実行する(TIPS)
- オフラインで修正プログラムを入手・適用する(TIPS)
- Windowsで起動時に自動実行される不要なプログラムを「見つける」方法(TIPS)
- セキュリティ・パッチを適用する(1)(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|