clear clear
Symantec.com logo Security Response
japan
グローバルサイト
製品とサービス
製品の購入
サポート
セキュリティ・レスポンス
ダウンロード
シマンテックについて
サーチ
フィードバック
grey


© 1995-2006 Symantec Corporation.
All rights reserved.
商標について
プライバシーポリシー
日本サイト更新日: 2003年9月3日 18:10
W32.Blaster.Worm 駆除ツール

発見日: 2003年8月11日 (米国時間)
最終更新日: 2003年9月1日 20:13 (米国時間)

バージョン1.0.6.1のW32.Blaster.Worm駆除ツールは、以下のワームとその影響を駆除します。

お知らせ: 初心者ユーザーの方は、FixBlast.exe を使用して W32.Blaster.Worm を駆除する方法をご覧頂くことで、W32.Blaster.Wormの駆除をより簡単に行うことができます。また、印刷用の駆除手順書(PDFファイル)を用意しました。

印刷用の駆除手順書(PDFファイル)

  • Windows XP をお使いの方は、こちらからダウンロードしてください。
  • Windows 2000 をお使いの方は、こちらからダウンロードしてください。

注意事項:

  • W32.Blaster.Worm は、DCOM RPCの脆弱性を利用します。詳細につきましては、マイクロソフト セキュリティ情報MS03-026を参照して下さい(そこから修正パッチをダウンロードすることができます)。修正パッチは、必ずダウンロードし、インストールするようにして下さい。ワームの駆除を始める前に、必ず修正パッチのインストール作業から始めて下さい。以下の駆除方法を利用して感染を防ぐ、あるいは取り除けない場合は、まずは修正パッチをダウンロードし、インストールしてください。
  • Windowsupdate.com以外のサイトからマイクロソフトの修正パッチをダウンロードする方法については、マイクロソフトのアーティクル "Blaster ワームへの対策 - Windows XP、"Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編"をご覧ください。
  • ワームがコンピュータをシャットダウンさせる前に、ワームの活動によって、インターネットに接続すること、修正パッチや定義ファイル、そして駆除ツールをダウンロードすることができなくなる可能性があります。Windows XPをお使いの場合、Windows XPのファイアウォール機能をアクティブにすることで、修正パッチのダウンロードからインストール、ウイルス定義ファイルの取得、および駆除ツールの実行ができるとの報告を受けています。これは、他のファイアウォールをお使いの場合でも機能する方法といえますが、確証はありません。

このツールが行うこと

W32.Blaster.Worm 駆除ツールは、次のことを行います。

  1. W32.Blaster.Wormの有害プロセスを停止させます。
  2. W32.Blaster.Wormのファイルを削除します。
  3. 投下されたファイルを削除します。
  4. ワームが追加したレジストリキーを削除します。

このツールで利用可能なコマンドライン スイッチ

スイッチ 説明
/HELP, /H, /? ヘルプメッセージを表示します。
/NOFIXREG レジストリの修復をオフにします(このスイッチの使用は推奨しません)。
/SILENT, /S サイレントモードをオンにします。
/LOG=<path name> <pathname>で指定した場所にツールの出力内容を保管するためのログファイルを作成します。標準では、FixBlast.logというログファイルが駆除ツールと同じディレクトリに保存されます。
/MAPPED マッピングされているネットワークドライブをスキャンします(このスイッチの使用は推奨していません。)。
/START ツールによるスキャン操作をすぐに強制開始します。
/EXCLUDE=<path> <path>で指定した場所をスキャン対象から除外します(このスイッチの使用は推奨していません)。

注意:/MAPPED スイッチを使用した場合、次の理由により、リモートコンピュータ上のウイルスが完全に駆除されない可能性があります。

  • マッピングドライブのスキャンは、マッピングされているフォルダのみがスキャン対象となります。すなわち、リモートコンピュータの全フォルダがスキャンされるとは限らないため、検出漏れが発生するおそれがあります。
  • マッピングドライブ上でウイルスファイルを検出した場合でも、リモートのコンピュータ上でアプリケーションがそのファイルを使用していた場合、そのファイルを駆除することはできません。

このような理由により、(/MAPPEDスイッチを使用せずに) 駆除ツールを全コンピュータ上で個別に実行することを推奨します。


インターネット接続を回復する、コンピュータのシャットダウンを回避する
Windows 2000/XPでは、多くの場合、リモートコントロールプロシジャ(RPC)サービスの設定を変更することで、インターネットへの接続を可能にし、コンピュータのシャットダウンを回避することができます。次の手順を踏んでください:

  1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします([ファイル名を指定して実行]ダイアログボックスが表示されます)。

  2. SERVICES.MSC /S と入力します。

    その後、[OK]をクリックします。(サービスウィンドウが開きます)

  3. 右側の画面で、"Remote Procedure Call (RPC)" を探します。


    注意:"Remote Procedure Call (RPC) Locator"というサービスがありますが、これら2つのサービスは異なります。


  4. "Remote Procedure Call (RPC)"を選択後、右クリックし、プロパティを開きます。

  5. 回復タグをクリックします。

  6. ドロップダウンリストを使用し、「最初のエラー」、「次のエラー」、「その後のエラー」の値を"サービスを再起動する"に変更します。

  7. 適用をクリックし、次にOKをクリックします。


    注意:ワームの駆除後、これらの設定は必ず元に戻してください。


ツールの入手方法と使用方法

注意:

  • Windows 2000/XP上でこのツールを実行する場合は、管理者権限でログオンしておく必要があります。
  • MS Exchange 2000 サーバーをご利用の場合、コマンドライン(EXCLUDEスイッチ)から駆除ツールを走らせることで、Mドライブをスキャン対象から外したいとお考えになるかもしれません。この作業を行う/行わないに関わらず、駆除ツールを実行する前に、必ずMドライブ上の全てのデータのバックアップをとってください。この手順の必要性につきましては、マイクロソフト サポート技術情報 - 299046 "予定表アイテムがユーザーのフォルダから削除される "をご覧ください。

  1. 下記のサイトからFixBlast.exe ファイルをダウンロードします。
    http://securityresponse.symantec.com/avcenter/FixBlast.exe
  2. ファイルをダウンロードフォルダもしくはWindowsデスクトップなど都合のよい場所(できれば未感染のリムーバブル メディア)に保存します。
  3. デジタル署名の信憑性をチェックするには、後述の「デジタル署名の確認方法」のセクションを参照してください。
  4. ツールを実行する前に、稼動中のプログラムを全て閉じます。
  5. Windows XPシステム上で作業している場合、システムの復元機能をオフにしてください。詳しくは、後述の「Windows XPのシステム復元オプション」をご覧ください。

    注意:Windows XPを使用している場合にシステム復元機能を有効にしたまま駆除ツールを実行すると、Windowsによって外部のプログラムによるシステムの復元の改変操作が妨げられるため、駆除に失敗し、駆除ツールが行うワーム駆除操作がすべて失敗する可能性があります。

  6. FixBlast.exe ファイルをダブルクリックして実行します。
  7. Start ボタンを押して、駆除を開始させます。

    注意:駆除の開始後、"the tool was not able to remove one or more files, run the tool in Safe mode. (駆除ツールは、1つまたは1つ以上のファイルを除去することが出来ませんでした。セーフモードで駆除ツールを実行してください)"というメッセージが表示された場合、コンピュータをシャットダウンし、電源を切り、そして30秒間そのままにしておいてください。30秒後、コンピュータをセーフモードで立上げ、再度、駆除ツールを実行してください。Windows NT以外の全ての32ビットOSは、セーフモードで再起動させることができます。詳しくは、"Windows XPをセーフモードで起動する方法"、"Windows 2000 をセーフモードで起動する方法"をご覧ください。

  8. コンピュータを再起動します。
  9. 駆除ツールを再度実行し、システムがクリーンな状態になったか確認します。
  10. Windows XPをご使用の場合は、この時点でシステム復元機能をオンに戻します。
  11. LiveUpdateを実行し、ウイルス定義を最新版に更新します。

駆除処理が終わると、お使いのコンピュータがW32.Blaster.Wormに感染していたかどうかを示すメッセージが表示されます。ワームの駆除に成功した場合、次の結果が表示されます。

  • Total number of the scanned files. (スキャンされたファイル数)
  • Number of deleted files. (削除されたファイル数)
  • Number of terminated viral processes. (停止された有害プロセスの数)
  • Number of fixed registry entries.(復元されたレジストリ項目)


デジタル署名の確認方法
FixBlast.exe はデジタル認証されています。シマンテックでは Security Response のダウンロードページから直接ダウンロードして入手したものだけを使用することを推奨します。デジタル認証の署名をチェックするには、以下の手順にしたがってください。

  1. http://www.wmsoftware.com/free.htmをクリックします。
  2. Chktrust.exeファイルをFixBlast.exe と同じフォルダ(例:C:\Downloadsなど)にダウンロードします
  3. ご使用のOSに応じて、次のいずれかの操作を実行します。

    • [スタート] ボタンをクリックし、[プログラム]-[MS-DOSプロンプト]を選択します。  
    • [スタート] ボタンをクリックし、[プログラム]-[アクセサリ]-[コマンド プロンプト]を選択します。

  4. FixBlast.exeと Chktrust.exeが保存されているフォルダに移動し、次のコマンドを入力し、Enterキーを押します。

    chktrust -i FixBlast.exe

    例えば、C:\Downloads フォルダに保存している場合は、下記のようにコマンドを入力してください(1行入力するごとにEnterキーを押してください)。

    cd\
    cd downloads
    chktrust -i FixBlast.exe

    デジタル認証が正当なものである場合、次のメッセージが表示されます。

    "W32.Blaster.Worm Removal Tool"は2003/09/02 7:17に署名されて次から配布されています。インストールして実行しますか?

    Symantec Corporation

    注意:

    • 日時はセットしているタイムゾーンによって変わります。上記はタイムゾーンを(GMT+9:00)東京、大阪、札幌に設定してある場合です。
    • 夏時間を設定してある場合はさらに一時間早く表示されます。
    • このメッセージ ダイアログが表示されない場合、次の2通りの原因が考えられます。

      • そのツールがシマンテックから配布されたものではない。ツールがシマンテックのWebサイトからダウンロードした正規のツールだという確信がない限り、そのファイルは使用しないでください。
      • そのツールはシマンテックから配布された正規のツールであるけれども、お使いのOSがSymantec Corporationからの内容を常に信頼するように設定されていた場合。詳しくは、ドキュメント"Chktrust.exe で発行者の認証ダイアログが表示されるように設定する方法"をご覧ください。

  5. [はい]をクリックして、ダイアログボックスを閉じます。
  6. exit と入力し、Enterキーを押します。 これでMS-DOSプロンプトが終了します。


Windows XPのシステム復元オプション
Windows XPをお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows XPの機能の一つで、標準では有効に設定されています。この機能は、Windowsがコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが_RESTOREフォルダ内に作成されている可能性があります。

Windowsは、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは_RESTOREフォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時にRestoreフォルダ内の脅威が検出されることがあります。

システムの復元機能を無効にする方法については、Windowsのマニュアルか、あるいは下記のドキュメントをご覧ください。

駆除ツールをフロッピーディスクから実行するには

  1. FixBlast.exe が入っているフロッピーディスクをフロッピードライブに挿入します。

  2. [スタート] - [ファイル名を指定して実行]を選択します。

  3. 下記の通り入力して、OKをクリックします。

    a:\FixBlast.exe

    注意:
    • a:\FixBlast.exeにはスペースを入れないでください。
    • Windows Meをお使いの方で、システムの復元機能を有効にしたままこのツールを実行すると警告メッセージが表示されます。その場合、システムの復元オプションを無効にして実行を続けるか、駆除ツールの実行を終了するかを選択してください。

  4. Startボタンをクリックして駆除ツールを実行します。

  5. Windows Meをお使いの方は、この時点でシステムの復元機能を有効な状態に戻してください。

改編履歴:

2003年9月1日:亜種FまでのW32.Blaster.Wormに対応したバージョン1.0.6.1を掲載しました。
2003年8月20日:Exchangeサーバ上で駆除ツールを実行する際の注意点を追加しました。
2003年8月14日:W32.Blaster.C.Worm をサポートした ヴァージョン 1.0.4 を掲載しました。
2003年8月13日:W32.Blaster.B.Worm をサポートした ヴァージョン 1.0.2 を掲載しました。