Symantec Security Response は、W32.Blaster.Worm の感染を除去する駆除ツールを開発しました。

お知らせ： 初心者ユーザーの方は、FixBlast.exe を使用して W32.Blaster.Worm を駆除する方法をご覧頂くことで、W32.Blaster.Wormの駆除をより簡単に行うことができます。また、印刷用の駆除手順書（PDFファイル）を用意しました。

印刷用の駆除手順書（PDFファイル）

• Windows XP をお使いの方は、こちらからダウンロードしてください。
• Windows 2000 をお使いの方は、こちらからダウンロードしてください。

W32.Blaster.Worm はTCPポート 135を使ってDCOM RPCの脆弱性(マイクロソフト セキュリティ情報MS03-026を参照)を悪用するワームです。このワームは、Windows 2000 と Windows XP のみを標的とします。Windows NT、Windows 2003 Serverにも、（修正パッチを適用していない場合は）DCOM RPCの脆弱性が存在しますが、これらのOSに対して複製するようには設計されていません。このワームはmsblast.exeというファイルを、%WinDir%\system32 ディレクトリにダウンロードし、実行しようとします。大量のメールを送信する機能はありません。

Windowsupdate.com以外のサイトからマイクロソフトの修正パッチをダウンロードする方法については、マイクロソフトのアーティクル "Blaster ワームへの対策 - Windows XP、"Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編"をご覧ください。

感染を予防するために、TCPポート4444へのアクセスをファイアウォール・レベルでブロックしてください。以下のアプリケーションを使用していない場合は、次の該当するポートもブロックしてください。

• TCP ポート 135, "DCOM RPC"
  
• UDP ポート 69, "TFTP"

また、W32.Blaster.Wormは、DCOM RPCの脆弱性を解消する修正プログラムを適用できないようにする目的で、windowsupdate.comに対しサービス拒否攻撃（DoS攻撃）を仕掛けようとします。

この脆弱性に関する詳細な情報と、各シマンテック製品の対応状況につきましては、こちらをご覧ください。

注意：この脅威は、次のウイルス定義ファイル（あるいはそれ以降の定義ファイル）で検知されます。

• ウイルス定義ファイルバージョン: 50811s
  
• シーケンス番号: 24254
  
• 拡張バージョン番号: 8/11/2003 rev. 19
  

別名: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]

種別: ワーム

感染サイズ: 6,176 バイト

影響を受けるシステム: Windows 2000, Windows NT, Windows Server 2003, Windows XP

影響を受けないシステム: Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me

CVE識別番号: CAN-2003-0352(英語)

対応日(Intelligent Updater)* 2003/08/11(米国時間) 対応日(Live UpdateTM)** 2003/08/11(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 1000 以上 報告件数: 10 以上 地域感染度: 高 対処レベル: 中 駆除: 普通

危険性評価グラフ 被害状況: 低 ダメージ: 中 感染力: 中

ダメージ

• 発症のタイミング: 日付が8月以前の場合は16日から月末、8月16日-12月31日の場合は毎日。
  
• 発病症状: windowsupdate.comにサービス拒否攻撃を仕掛ける
  
  • システムの不安定化: コンピュータが異常終了する可能性がある
    
  • 不正アクセス: cmd.exeという非表示のリモートシェルを開く
    

感染力

• ポート: TCP 135, TCP 4444, UDP 69
  
• 感染対象: 修正プログラムが未未適用のDCOM RPC サービスを実行しているコンピュータ
  

W32.Blaster.Wormが実行されると、次のことを行います。

1. コンピュータが既に感染しているのか、そしてそのコンピュータ上でワームが動いているのかをチェックします。もし既に感染しており、ワームが動いている場合、何もしません。
   
   
2. 次の値を
   
   "windows auto update"="msblast.exe"
   
   次のレジストリキーに追加することによって、
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   Windowsの起動時に必ずワームが実行されるように設定します。
   
   
3. IPアドレスを生成し、そのアドレスのコンピュータに感染を試みます。IPアドレスは次のアルゴリズムに基づいて生成されます。
   
   • 40%の確率で、 A.B.C.0の形式のIPアドレスが生成されます。A.B.は、感染元となるコンピュータのIPアドレスの先頭2つの値と同じです。
     
     Cは、感染元となるシステムのIPアドレスの3番目の値に基づいて計算されます。ワームは、40%の確率でCの値が20よりも大きいかどうかを確認します。20より大きい場合は、Cの値から20未満のランダムな値を差し引いた値を使用します。IPアドレスの計算が終わると、ワームは算出されたIPアドレス(A.B.C.0)に該当するコンピュータを探して感染しようとします。
     
     その後、上記で計算したIPアドレスの0の部分に1を加え、そのアドレスに該当する他のコンピュータを探して攻撃しようとします。この操作をIPアドレスの0の部分が254に達するまで繰り返し行います。
     
     
   • 60%の確率で、完全にランダムなIPアドレスを使用します。
     
     
4. DCOM RPCの脆弱性を悪用することのできるTCPポート 135にデータを送信します。このワームは、Windows XP攻撃用とWindows 2000攻撃用の2通りのデータのうちいずれか一方を送信します。Windows XPデータが送信される確率は80%、Windows 2000データが送信される確率は20%です。
   
   注意
   
   • これは、ローカルサブネットが、TCPポート 135への要求で飽和状態になることを意味します。
   • W32.Blaster.Wormは、Windows NT、Windows 2003 にまで感染を広げる能力はありませんが、修正パッチを適用していない場合、ワームが脆弱性の利用を試みた結果として、これらのOSを異常終了させてしまう可能性があります。また、このワームをWindows NT、Windows 2003 上に手動で置き、実行することで、実行・拡散します。
     
   • 攻撃データの組み立て手法がランダムなため、送信されるデータが不適切なものであった場合、コンピュータが異常終了することがあります。不適切なデータが送信された結果、svchost.exeがエラーを生成することにより、（不適切なデータが送信されたことが）明らかになることがあります。
     
   • RPCサービスがクラッシュした場合、Windows XPやWindows 2003サーバでは、まず最初にコンピュータを再起動します。この機能を無効にするためには、後述の駆除方法セクションを参照してください。
     
5. TCP ポート 4444で待機するリモートシェルcmd.exeを作成します。そのcmd.exeには隠しファイル属性が設定されています。 これにより、攻撃者は、感染したシステムに対してリモートコマンドを発行することができます。
   
   
6. UDP ポート 69で接続を待機します。DCOM RPCの脆弱性を利用して接続することができたコンピュータからの接続要求を受信すると、そのコンピュータに対しMsblast.exeを送信し、実行するためのコマンドを送信します。
   
   
7. このワームは現在の日付の「月」が1月-8月の場合はその月の16日から月末まで、9月-12月の場合は毎日発病し、Windows Updateのwebサイトにサービス拒否(DoS)攻撃を仕掛けようとします。しかし、このワームがDoS攻撃に成功するのは以下の状況を満たした場合に限ります。
   • 発症期間中に感染した、あるいは、再起動されたWindows XP上でワームが動作している場合。
     
   • 発症期間中に感染し、感染後一度も再起動されていないWindows 2000上でワームが動作している場合。
     
   • 発症期間中に感染し、感染後に再起動されたWindows 2000上でワームが動作しており、かつ、そのコンピュータに現在ログインしているユーザが管理者権限を持っている場合。
     
     
8. DoS トラフィックには、次の特徴があります。 　

• windowsupdate.comのポート80でSYN flood状態。
  
• HTTPパケットを毎秒50個ずつ送信しようとする。　
• 各パケットのサイズは40バイト。
• windowsupdate.comのエントリがDNS上に見つからない場合、宛先アドレスに255.255.255.255を使用する。
  

このDoSトラフィックに固有のTCPとIPヘッダーの特徴は以下の通りです。 　

• IP identification = 256
  
• Time to Live = 128
  
• Source IP address = a.b.x.y ( a.b はホストIPの先頭2つの値、x.yはランダムな値。a.bもランダムな値の場合もあります。）　
• Destination IP address = "windowsupdate.com" のdns変換値。　
• TCP Source port 1000 - 1999　
• TCP Destination port = 80　
• TCP Sequence number 下位バイト2つは常に0に設定されている。上位バイト2つはランダム。　
• TCP Window size = 16384

DoSによる負荷を緩和する
2003年8月15日、マイクロソフトは、windowsupdate.com のDNSレコードを除去しました。これにより、ワームのDNSを悪用する機能が、マイクロソフトのWindows Update機能自体に影響を与えることはありませんが、ネットワーク管理者は、次の推奨策を利用することで、サービス拒否攻撃（DoS）によるネットワーク負荷を緩和することができます：

• windowsupdate.comを特定の社内IPアドレスに再ルーティングしてください。これにより、syn flood攻撃を捕獲する「盗聴サーバー」を有する場合、感染したコンピュータに警告が通知されます。
• ルータに詐称対策（アンチスプーフィング）ルールを設定してください。これにより、大半のパケットがネットワークの外部に送信されることを阻止することができます。uRPFまたは送出側のACLを使用すると非常に効果的です。
  
  

Symantec Client Security
2003年8月15日,、Symantecは、LiveUpdateを通じて、 W32.Blaster.Wormの活動を検出する IDSシグネチャをリリースしました。

Symantec Gateway Security

• 2003年8月12日：Symantec は、Symantec Gateway Security 1.0 用のアップデートをリリースしました。
  
• シマンテックのフル・アプリケーション・インスペクション方式のファイアウォール技術はこのワームが悪用するマイクロソフトの脆弱性に対応し、標準では、前述のすべてのTCPポートを遮断するように設定されています。最大限のセキュリティ効果が得られるよう、第三世代のフル・アプリケーション・インスペクション技術がDCOMトラフィックがHTTPチャネルを介してトンネリングするのを感知してブロックすることで、他のほとんどのネットワーク・フィルタリング・ファイアウォールでは実現できていない一段階上の保護体制を提供します。

Symantec Host IDS
2003年8月12日：Symantec は、Symantec Host IDS 4.1 用のアップデートをリリースしました。

Intruder Alert
2003年8月12日：Symantec は、Intruder Alert 3.6 W32_Blaster_Worm Policy(英語)をリリースしました。

Symantec Enterprise Firewall
シマンテックのフル・アプリケーション・インスペクション方式のファイアウォール技術が標準で上記すべてのTCPポートを遮断することで、W32.Blaster.wormを撃退します。

Symantec ManHunt
Symantec ManHunt のプロトコル異常検出技術は、この脆弱性の悪用に関連する活動を"ポートスウィープ"として検出します。

ManHunt 2.2 をお使いのお客様は、W32.Blaster.Wormの検出に、次のシグネチャーを適用することができます。

W32 Blaster Worm DDOS Attempt
alert ip any any -> any any (msg:"W32 Blaster Worm DDoS Attempt"; ip_proto:6; id:256; content:"|00 50|"; offset:2; depth:2; content:"|02|"; offset:13; depth:1; content:"|00 00|"; offset:6; depth:2;)

注意：変数は、製品の環境設定にあわせる必要があります。

Enterprise Security Manager
Symantec Security Response は、7月17日に、この脆弱性に対するSecurity Response ポリシーを発表しています。

以下のシマンテック製品をお使いの場合には、次のように設定することで、この脅威に対するリスクを最小限に抑えることができます。

Symantec Enterprise Firewall 標準では、TCPポート135, 4444およびUDPポート69はブロックするように設定されています。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

W32.Blaster.Worm 駆除ツールを使った方法
Symantec Security Responseは、W32.Blaster.Worm 専用の駆除ツールを開発しました。この脅威を最も容易に駆除する方法は、このツールを実行することです。 初心者ユーザーの方は、FixBlast.exe を使用して W32.Blaster.Worm を駆除する方法をご覧頂くことで、W32.Blaster.Wormの駆除をより簡単に行うことができます。

手動による駆除
駆除ツールの代替方法として、この脅威を手動でも駆除することができます。以下の手順は、Symantec AntiVirusおよびNorton AntiVirus製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。

1. インターネットへの接続を回復します。
2. 有害なプロセスを停止します。
   
3. ウイルス定義を最新版に更新します。
   
4. システム全体のスキャンを実行し、W32.Blaster.Wormとして検出されたファイルをすべて削除します。
   
5. ワームによってレジストリに行われた変更を元に戻します。
6. DCOM RPCの脆弱性を解消するためにマイクロソフト社の修正パッチを入手・適用します。
   

具体的な手順については、以下のセクションをご覧ください。

1. インターネット接続を回復する

Windows 2000/XPでは、多くの場合、リモートコントロールプロシジャ（RPC）サービスの設定を変更することで、コンピュータをシャットダウンさせることなく、インターネットへの接続を可能にします。次の手順を踏んでください:

1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします（[ファイル名を指定して実行]ダイアログボックスが表示されます）。
   
   
2. SERVICES.MSC /S と入力します。
   
   その後、[OK]をクリックします。（サービスウィンドウが開きます）
   
   
3. 右側の画面で、"Remote Procedure Call (RPC)" を探します。
   
   

   ---

   
   注意："Remote Procedure Call (RPC) Locator"というサービスがありますが、これら2つのサービスは異なります。
   
   

   ---

4. "Remote Procedure Call (RPC)"を選択後、右クリックし、プロパティを開きます。
   
   
5. 回復タグをクリックします。
   
   
6. ドロップダウンリストを使用し、「最初のエラー」、「次のエラー」、「その後のエラー」の値を"サービスを再起動する"に変更します。
   
   
7. 適用をクリックし、次にOKをクリックします。
   
   

   ---

   
   注意：ワームの駆除後、これらの設定は必ず元に戻してください。
   
   

   ---

2. 有害なプロセスを停止する

有害なプロセスを停止するには:

1. Ctrl+Alt+Deleteキーを同時に押します。　
2. [タスクマネージャ]をクリックします。　
3. [プロセス]タブをクリックします。　
4. リスト最上部のイメージ名をダブルクリックしてプロセスをアルファベット順に並ベ替えます。　
5. リストをスクロールして、msblast.exeを探します。　
6. 該当するファイルを発見したら、それをクリックして[プロセスの終了]をクリックします。　
7. タスクマネージャを閉じます。
   
   

3. ウイルス定義を更新する

ウイルス定義ファイルはすべて、Symantec Security Responseによる完全品質保証テストを通過した後で弊社サーバーにアップロードされています。最新版のウイルス定義は次の2通りの方法で入手できます。

初心者ユーザーの方
LiveUpdate^TMは、ウイルス定義ファイルを最も簡単に入手いただける方法です: W32.Blaster.Worm を検知するウイルス定義ファイルは、2003年8月11日よりLiveUpdateサーバを通じて入手することができます。最新のウイルス定義ファイルを入手するために、メイン画面上にある「LiveUpdateボタン」をクリックしてください。LiveUpdateを実行する際に、"Norton AntiVirus Virus Definitions（Norton AntiVirus ウイルス定義ファイル）"のみが選択されていることを確かめてください。その他の製品アップデートは、後から入手することができます。

システム管理者の方／上級ユーザーの方
Intelligent Updater^TMを使用してウイルス定義をダウンロードする方法。Intelligent Updater^TMを通じて配布しているウイルス定義ファイルは、Symantec Security Response（シマンテック・セキュリティ・レスポンス）による完全な品質保証検査を通過後、米国時間の平日（月曜日〜金曜日）に随時、更新、アップロードされています。Intelligent Updater^TMによるウイルス定義ファイルは、Symantec Security ResponseのWebサイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義がIntelligent Updaterを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater）」欄の日付をご覧ください。

Intelligent Updaterのウイルス定義は、こちらからダウンロードいただけます。Intelligent Updater^TM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください。

4. 感染ファイルを探して削除する

1. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
   
   • 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"すべてのファイルをウイルススキャンする手順"をご覧ください。
     
   • 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
     
2. システム全体のスキャンを実行します。
   
3. W32.Blaster.Worm に感染しているファイルが検出されたら、[削除]をクリックします。
   
   

5. レジストリに行われた変更を元に戻す

注意：システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法」をお読みください。

1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。（[ファイル名を指定して実行]ダイアログボックスが表示されます。）
   
2. regeditと入力します。
   
   　 その後、[OK]をクリックします。（レジストリ エディタが開きます。）
   
   
3. 次のレジストリキーを選択します。
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   
4. 画面右側で次の値を削除します。
   
   "windows auto update"="msblast.exe"
   
   
5. レジストリエディタを終了します。

6. DCOM RPCの脆弱性を解消するためマイクロソフト社の修正パッチを入手・適用する

W32.Blaster.Wormは、お客様のコンピュータに感染する目的で、TCPポート 135を使い、DCOM RPCを悪用します。また、W32.Blaster.Wormは、お客様のコンピュータを利用して、windowsupdate.comに対しサービス拒否攻撃（DoS攻撃）を仕掛けようとします。この問題を解消するためには、マイクロソフト社の修正パッチを適用することが重要です。修正パッチは、(マイクロソフト セキュリティ情報MS03-026から入手することができます。

改編履歴（米国時間）：

2004年2月26日

• 危険度を3から2に引下げました。

2003年10月8日

• 危険度を4から3に引き下げました。

2003年8月20日

• Symantec Client Security用の情報を掲載しました。

2003年8月19日

• Symantec ManHunt 2.2用の情報を掲載しました。

2003年8月18日

• 印刷用の駆除手順書へのリンクを追加しました。
• 初心者ユーザー向けの駆除手順へのリンクを掲載しました。

2003年8月17日

• 緊急対策セミナーへのリンクを掲載しました。

2003年8月15日

• DoS攻撃の緩和策を追加しました。

2003年8月14日

• サービス拒否攻撃（DoS攻撃）の緩和策を掲載しました。
• サービス拒否攻撃（DoS攻撃）の症状を更新しました。
• サービス拒否攻撃（DoS攻撃）トラフィックに関する情報を追加しました。
  

2003年8月13日

• 駆除方法セクションの駆除順序を大幅に変更しました。
• ダウンロードされる場所（ディレクトリ）を追加しました。
• テクニカルノートの構成を変更しました。
• Windowsの復元機能セクションを削除しました。
  

2003年8月12日

• 報告件数の増加により、危険度を3から4に引き上げました。
  
• 別名を追加しました。
  
• テクニカルノートを更新しました。
• リモートプロシジャコール（RPC）設定の変更方法を追加しました。