|
日本サイト更新日: 2004年6月11日 19:31
W32.Sasser 駆除ツール
発見日: 2004年5月1日 (米国時間)
最終更新日: 2004年6月11日 14:57
Symantec Security Response は、次の W32.Sasser の感染を除去する駆除ツールを開発しました。
W32.Sasser ワーム は、Windows 95/98/Me コンピュータ上でも動作することに注意してください (ただし感染活動は行いません)。Windows 95/98/Me システムは、このワームに感染することはないものの、脆弱なシステムに接続するために、ワームによって利用される可能性があります。その場合、このワームは大量のリソースを消費するため、このワームの駆除ツールも含め、様々なプログラムが正常に動作できなくなる可能性があります。(Windows 95/98/Me コンピュータ上で駆除ツールを使用する際には、必ずセーフモードでツールを実行してください。)
注意: 本ワームの実行により、LSASS.EXE ファイルがクラッシュすることがあります。その結果、システムを再起動する必要があります。本駆除ツールは、再起動が完了した後でのみ、正常に実行させることができます。
このツールが行うこと
W32.Sasser 駆除ツール は次のことを行います。
- W32.Sasser の有害プロセスを終了します。
- W32.Sasser のファイルを削除します。
- ワームがレジストリに追加した項目を削除します。
このツールで利用可能なコマンドライン スイッチ
| スイッチ |
説明 |
| /HELP, /H, /? |
ヘルプメッセージを表示します。 |
| /NOFIXREG |
レジストリの修復をオフにします(このスイッチの使用は推奨しません)。 |
| /SILENT, /S |
サイレントモードをオンにします。 |
| /LOG=<path name> |
<pathname> で指定した場所にツールの出力内容を保管するためのログファイルを作成します。標準では、FxSasser.log というログファイルが駆除ツールと同じディレクトリに保存されます。 |
| /MAPPED |
マッピングされているネットワークドライブをスキャンします(このスイッチの使用は推奨していません。)。 |
| /START |
ツールによるスキャン操作をすぐに強制開始します。 |
| /EXCLUDE=<path> |
<path> で指定した場所をスキャン対象から除外します(このスイッチの使用は推奨していません)。 |
| /NOFILESCAN |
ファイルシステムのスキャンをオフにします。 |
注意:/MAPPED スイッチを使用した場合、次の理由により、リモートコンピュータ上のウイルスが完全に駆除されない可能性があります。
- マッピングドライブのスキャンは、マッピングされているフォルダのみがスキャン対象となります。すなわち、リモートコンピュータの全フォルダがスキャンされるとは限らないため、検出漏れが発生するおそれがあります。
- マッピングドライブ上でウイルスファイルを検出した場合でも、リモートのコンピュータ上でアプリケーションがそのファイルを使用していた場合、そのファイルを駆除することはできません。
このような理由により、(/MAPPED スイッチを使用せずに) 駆除ツールを全コンピュータ上で個別に実行することを推奨します。
/EXCLUDE スイッチは、単一のパスに対してのみ動作します。複数のパスに対しては動作しません。このスイッチの代替方法として、/NOFILESCAN スイッチを使用し、その後、AntiVirus で手動スキャンを実行する方法があります。これにより、駆除ツールがレジストリを変更することが可能になります。その後、最新版のウイルス定義を使用して、AntiVirus によるコンピュータの完全スキャンを実行してください。これらの一連のステップを実行することで、ファイルシステムをクリーンな状態に戻すことができます。
以下は、単一ドライブをスキャン対象から除外したい場合に使用可能なコマンドラインの一例です。
>"C:\Documents and Settings\user1\Desktop\FxSasser.exe" /EXCLUDE=M:\ /LOG=c:\FxSasser.txt
上記の代わりに、下記のコマンドラインを使用してもかまいません。この場合、ファイルシステムのスキャンはスキップされますが、ワームによってレジストリに行われた変更は修復されます。その後、通常通りの方法で、スキャン対象を指定し、システムのスキャンを実行してください。
>"C:\Documents and Settings\user1\Desktop\FxSasser.exe" /NOFILESCAN /LOG=c:\FxSasser.txt
注意:
- 不等号 (>) の部分はパスには含まれません。
- ログファイルの名前は、任意に指定することが可能です。上記に記載のファイル名はこの例の説明目的で使用されているだけです。
ツールの入手方法と使用方法
注意: Windows NT 4.0/2000/XP 上でこのツールを実行する場合は、管理者権限でログオンしておく必要があります。
注意: (ネットワーク管理者の方へ) MS Exchange 2000 Server をご利用の場合、コマンドライン(EXCLUDE スイッチ)から駆除ツールを実行することで、M ドライブをスキャン対象から外すことを推奨します。詳細につきましては、マイクロソフト サポート技術情報 - 298924 "[XADM] Exchange 2000 のドライブ M をバックアップまたはスキャンしてはいけない"をご参照ください。
- 下記のサイトからFxSasser.exe ファイルをダウンロードします。
http://securityresponse.symantec.com/avcenter/FxSasser.exe
- ファイルをダウンロードフォルダもしくは Windows デスクトップなど都合のよい場所か、あるいは、未感染のリムーバブル メディア)に保存します。
- デジタル署名の信憑性をチェックするには、後述の「デジタル署名の確認方法」のセクションを参照してください。
- ツールを実行する前に必ず、動作中のプログラムをすべて終了してください。
- ネットワークに接続して作業している場合、あるいはインターネットに常時接続している場合は、コンピュータとネットワーク、またはコンピュータとインターネットとの接続を切ってください。
- Windows Me/XP システム上で作業している場合、システムの復元機能をオフにしてください。詳しくは、後述の「Windows Me/XPのシステムの復元オプション」をご覧ください。
注意:Windows Me/XP をお使いのお客様は、このステップを絶対に省略しないでください。
- 次のいずれかを実行します。
- FxSasser.exe ファイルをダブルクリックして実行します。
- Start ボタンを押して、駆除を開始させます。
- コンピュータを再起動します。
- 駆除ツールを再度実行し、システムがクリーンな状態になったか確認します。
- Windows Me/XP をご使用の場合は、この時点でシステム復元機能をオンに戻します。
- LiveUpdateを実行し、ウイルス定義を最新版に更新します。
注意:WindowsMe/XP を使用している場合にシステム復元機能を有効にしたまま駆除ツールを実行すると、Windows によって外部のプログラムによるシステムの復元の改変操作が妨げられるため、駆除に失敗し、駆除ツールが行うワーム駆除操作がすべて失敗する可能性があります。
駆除処理が終わると、お使いのコンピュータが W32.Sasser に感染していたかどうかを示すメッセージが表示されます。ワームの駆除に成功した場合、次の結果が表示されます。
- Total number of the scanned files. (スキャンされたファイル数)
- Number of deleted files. (削除されたファイル数)
- Number of repaired files (修復されたファイル数)
- Number of terminated viral processes. (停止された有害プロセスの数)
- Number of fixed registry entries.(復元されたレジストリ項目)
デジタル署名の確認方法
FxSasser.exe はデジタル認証されています。シマンテックでは Security Response のダウンロードページから直接ダウンロードして入手したものだけを使用することを推奨します。デジタル認証の署名をチェックするには、以下の手順にしたがってください。
- http://www.wmsoftware.com/free.htm をクリックします。
- Chktrust.exe ファイルを FxSasser.exe と同じフォルダ(例:C:\Downloadsなど)にダウンロードします
- ご使用の Windows のバージョンに応じて、次のいずれかの操作を実行します。
- Windows 95/98/NTの場合: [スタート] ボタンをクリックし、[プログラム]-[MS-DOSプロンプト] を選択します。
- Windows Me/XP/2000の場合:[スタート] ボタンをクリックし、[プログラム]-[アクセサリ]-[コマンド プロンプト] を選択します。
- FxSasser.exe と Chktrust.exe が保存されているフォルダに移動し、次のコマンドを入力し、Enter キーを押します。
chktrust -i FxSasser.exe
例えば、C:\Downloads フォルダに保存している場合は、下記のようにコマンドを入力してください( 1 行入力するごとに Enter キーを押してください)。
cd\
cd downloads
chktrust -i FxSasser.exe
デジタル認証が正当なものである場合、次のメッセージが表示されます。
"W32.Sasser.Worm Removal Tool" は 2004/05/11 7:45 に署名されて次から配布されています。インストールして実行しますか?
Symantec Corporation
注意:
- 日時はセットしているタイムゾーンによって変わります。上記はタイムゾーンを(GMT+9:00)東京、大阪、札幌に設定してある場合です。
- 夏時間を設定してある場合はさらに一時間早く表示されます。
- このメッセージ ダイアログが表示されない場合、次の 2 通りの原因が考えられます。
- そのツールがシマンテックから配布されたものではない。ツールがシマンテックの Web サイトからダウンロードした正規のツールだという確信がない限り、そのファイルは使用しないでください。
- そのツールはシマンテックから配布された正規のツールであるけれども、お使いの OS が Symantec Corporation からの内容を常に信頼するように設定されていた場合。詳しくは、ドキュメント "Chktrust.exe で発行者の認証ダイアログが表示されるように設定する方法" をご覧ください。
- [はい] をクリックして、ダイアログボックスを閉じます。
- exit と入力し、Enter キーを押します。(これで MS-DOS プロンプトが終了します。)
システムの復元オプション (Windows Me/XP)
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。
Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。
また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。
システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。
システムの復元機能についての詳細および別の無効化方法については、Microsoft
Knowledge Base article :_RESTORE フォルダにウィルスが発見された場合の対応方法について ID: Q263455をご覧ください。
改編履歴:
2004年6月10日:
- バージョン 1.0.4 に W32.Sasser.G の駆除機能を追加しました。
2004年5月10日:
- W32.Sasser.E.Worm の駆除をサポートした バージョン 1.0.4 を掲載しました。
2004年5月3日:
- W32.Sasser.D.Worm の駆除をサポートした バージョン 1.0.3 を掲載しました。
2004年5月2日:
- W32.Sasser.C.Worm の駆除をサポートした バージョン 1.0.2 を掲載しました。
- W32.Sasser.B.Worm の駆除をサポートした バージョン 1.0.1 を掲載しました。
|
