発見日: 2004 年 10 月 11 日
更新日: 2007 年 2 月 13 日 12:36:27 PM
別名: WORM_FUNNER.A [Trend Micro], W32/Funner.worm [McAfee], Win32.Funner.A [Computer Assoc, MSN-Worm.Funner [Kaspersky], W32/Funner-A [Sophos]
種別: ワーム
感染サイズ: 56320, 312,832
影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック アンチウイルス製品のお客様を対象にして記述されています。
- システムの復元機能を無効にします (Windows Me/XP の場合)。
- ウイルス定義を最新版に更新します。
- コンピュータをセーフモードまたは VGA モードで再起動します。
- システム全体のスキャンを実行し、W32.Funner として検出されたファイルをすべて削除します。
- レジストリに行われた変更を元に戻します。
- System.ini ファイルに行われた変更を元に戻します。
- Hosts ファイルからエントリを削除します。
具体的な手順については、以下のセクションをご覧ください。
1. システムの復元オプションを無効にする (Windows Me/XP)
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。システムの復元機能は、Windows Me/XP の機能のひとつで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。
Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。
また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内のリスクが検出されることがあります。
システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。
注意: 駆除作業が完全に終わり、リスクが駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。
システムの復元機能についての詳細および別の無効化方法については、"マイクロソフト サポート技術情報 - 263455 - _RESTORE フォルダにウィルスが発見された場合の対応方法について" をご覧ください。
2. ウイルス定義ファイルを更新する
ウイルス定義ファイルを最新版に更新します。最新版のウイルス定義ファイルは次の 2 通りの方法で入手することができます。
- LiveUpdate を使用して入手する方法
シマンテックの LiveUpdate サーバーにクライアントやサーバーからアクセスし、ウイルス定義ファイルをダウンロードして自動的に更新を行います。LiveUpdate では、最後に LiveUpdate を実行した後に追加・更新された情報のみがダウンロードされます。このため、ダウンロード時のネットワークトラフィックを最小限に抑えることができます。
LiveUpdate のウイルス定義ファイルは、通常は毎週木曜日に定期的に LiveUpdate サーバーにアップロードされます。また、危険度の高いウイルスが発見された場合にも、緊急対応として LiveUpdate サーバーにアップロードされる場合があります。
このウイルスへの対応は、ページ上部に記載の「対応日(LiveUpdate)」欄の日付をご覧ください。
- Intelligent Updater を使用して入手する方法
Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。
Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日) に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。
このウイルスへの対応は、ページ上部に記載の「対応日(Intelligent Updater)」欄の日付をご覧ください。
注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお薦めします。
Intelligent Updater のウイルス定義ファイルは、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。
3. コンピュータをセーフモードまたは VGA モードで再起動する
コンピュータをシャットダウンし、電源を切り、少なくとも 30 秒間待ちます。その後、コンピュータをセーフモードまたは VGA モードで再起動します。
- Windows 95/98/Me/2000/XP をお使いの場合は、コンピュータをセーフモードで再起動してください。具体的な手順については、"コンピュータをセーフモードで起動する方法" をご覧ください。
- Windows NT 4 をお使いの場合は、VGA モードで再起動してください。
4. 感染ファイルを探して削除する
- シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。
- システム全体のスキャンを実行します。
- W32.Funner に感染しているファイルが検出されたら、[削除] をクリックします。
注意: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、"コンピュータをセーフモードで起動する方法" をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。
(ファイルの削除後、コンピュータを通常モードで再起動してください。)
5. レジストリに行われた変更を元に戻す
警告: システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず "レジストリのバックアップ方法" をお読みください。
- [スタート] ボタンを押して、[ファイル名を指定して実行] をクリックします。
- regedit と入力します。
その後、[OK] をクリックします。
- 次のレジストリキーを選択します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- 画面右側で、次の値を削除します。
"MMSystem"="%Windir%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"
- 次のレジストリキーを選択します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- 画面右側で、次の値を削除します。
"Userinit"="userinit32.exe,"
- レジストリエディタを終了します。
- コンピュータを通常モードで再起動します。具体的な手順については、"コンピュータをセーフモードで起動する方法" をご覧ください。
6. System.ini ファイルに行われた変更を元に戻す (Windows 95/98/Me のみ)
Windows 95/98/Me をご使用の場合、以下の手順に従ってください。
- [スタート] ボタンを押して、[ファイル名を指定して実行] をクリックします。
次の文字列を入力します。
edit c:\windows\system.ini
その後、[OK] をクリックします。
(MS-DOS エディタが開きます。)
注意: Windows を上記以外の場所にインストールしていた場合は、パスを適宜置き換えてください。
- このファイルの [boot] セクションで、次の文字列に類似している行を探します。
shell = %System%\Explore.exe
- この行が存在する場合、次の文字列を
Explore.exe
次の内容に変更します。
Explorer.exe
変更後、この行は次のようになります。
shell=Explorer.exe
- Alt > F > S を押します。
- Alt > F > X を押します。
- セクション 7 に進みます。
7. Hosts ファイルからエントリを削除する
注意: Hosts ファイルはすべてのコンピュータ上に存在するわけではありません。また、存在する場合でも、格納先は OS によって異なります。例えば、Windows 98 の場合は C:\Windows フォルダに、Windows 2000 の場合は、C:\WINNT\system32\drivers\etc フォルダに格納されています。また、このファイルのコピーが様々な場所に保存されていることもあります。
お使いの OS に応じて、次の手順を実行してください。
- Windows 95/98/Me/NT/2000
- [スタート] ボタンをクリックし、[検索] をポイントし、[ファイルやフォルダ] をクリックします。
- [探す場所] が (C:) に指定され、[サブフォルダも探す] にチェックが付いていることを確認します。
- [名前] または [含まれる文字列] ボックスに、次のファイル名を入力します。
hosts
- [検索開始] をクリックします。
- 発見したファイルごとに、ファイルを右クリックし、[アプリケーションから開く] をクリックします。
- [これらのファイルを開くときは、いつもこのアプリケーションを使う] チェックボックスの選択を解除します。
- プログラムリストをスクロールし、[Notepad] (メモ帳) をダブルクリックします。
- ファイルが開いたら、"テクニカルノート" セクションの No.8 に記載されている全エントリを削除します。
- Notepad (メモ帳) を閉じ、保存の確認メッセージが表示されたら変更内容を保存します。
- Windows XP
- [スタート] ボタンを押し、[検索] をクリックします。
- [ファイルとフォルダすべて] をクリックします。
- [ファイル名のすべてまたは一部] ボックスに、次のファイル名を入力します。
hosts
- [探す場所] が "ローカル ハードドライブ" または (C:) に指定されていることを確認します。
- [詳細設定オプション] をクリックします。
- [システム フォルダの検索] にチェックを付けます。
- [サブフォルダの検索] にチェックを付けます。
- [検索] をクリックします。
- [検索開始] をクリックします。
- 発見したファイルごとに、ファイルを右クリックし、[プログラムから開く] をクリックします。
- [この種類のファイルを開くときは、選択したプログラムをいつも使う] チェックボックスの選択を解除します。
- プログラムリストをスクロールし、[Notepad] (メモ帳) をダブルクリックします。
- ファイルが開いたら、"テクニカルノート" セクションの No.8 に記載されている全エントリを削除します。
- Notepad (メモ帳) を閉じ、保存の確認メッセージが表示されたら変更内容を保存します。
記述: Hiroshi Shinotsuka
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg