2004年2月13日、お客様からの報告件数が増加したため、Symantec Security Response は、この脅威の危険度を2から3に引き上げました。

W32.Welchia.B.Worm は、W32.Welchia.Worm の亜種です。 感染先コンピュータのOSが中国語版、韓国語版、あるいは英語版の場合、マイクロソフトの Windows Update サイトから「マイクロソフト Workstation サービスのバッファオーバーラン」や「マイクロソフトメッセンジャーサービスのバッファオーバーラン」用の修正パッチをダウンロード、インストールし、その後、コンピュータを再起動しようとします。

また、本ワームは、W32.Mydoom.A@mm および W32.Mydoom.B@mm ワームの駆除を試みます。

W32.Welchia.B.Worm は複数の脆弱性を悪用します。ワームが悪用する脆弱性は以下の通りです。

• TCP ポート 135 を使って DCOM RPCの脆弱性 (マイクロソフト セキュリティ情報 MS03-026 参照) を悪用します。このワームは特に Windows XP が稼動しているコンピュータを標的にします。
  
  
• TCP ポート 80 を使って WebDav の脆弱性 (マイクロソフト セキュリティ情報 MS 03-007 参照) を悪用します。このワームは特に Microsoft IIS 5.0 が稼動しているコンピュータを標的にします。ワームのコードから見て、この脆弱性に対する攻撃は、Windows 2000 システムに影響を与えるほか、Windows NT/XP システムにも影響を与える可能性があります。
  
  
• TCP ポート 445 を使って Workstation サービスのバッファ オーバーランの脆弱性 (マイクロソフト セキュリティ情報 MS 03-049 参照) を悪用します。
  
  
• TCP ポート 445 を使って Locator Service の脆弱性 (マイクロソフト セキュリティ情報 MS 03-001 参照) を悪用します。このワームは、この脆弱性を悪用し、特に Windows 2000 が稼動しているコンピュータを標的にします。
  

Symantec Security Response は、W32.Welchia.B.Worm の感染を除去する駆除ツールを開発しました。

別名: W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associates], WORM_NACHI.B [Trend], Worm.Win32.Welchia.b

種別: ワーム

感染サイズ: 12,800 バイト

影響を受けるシステム: Windows 2000, Windows XP

影響を受けないシステム: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me

CVE識別番号: CAN-2003-0812, CAN-2003-0352, CAN-2003-0109, CAN-2003-0003

対応日(Intelligent Updater)* 2004/02/11(米国時間) 対応日(Live UpdateTM)** 2004/02/11(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 50-999 報告件数: 10 以上 地域感染度: 高 対処レベル: 高 駆除: 普通

危険性評価グラフ 被害状況: 中 ダメージ: 低 感染力: 中

ダメージ

• 発症のタイミング: n/a
  
• 発病症状: n/a
  
  • 大量メール送信: n/a
    
  • ファイル削除: W32.Mydoom.A@mm および W32.Mydoom.B@mm ワーム 関連のファイルを削除する
    
  • ファイル改ざん: n/a
    
  • 秘密情報の漏洩: n/a
    
  • パフォーマンス低下: n/a
    
  • システムの不安定化: 修正パッチが未適用の Windows 2000 コンピュータに感染した場合、RPC サービスの異常終了により、システムが不安定になる。
    
  • 不正アクセス: n/a
    

感染力

• メール件名: n/a
  
• 添付ファイル: n/a
  
• 添付ファイルのタイムスタンプ: n/a
• 添付ファイルのサイズ: n/a
• ポート: TCP 80, 135, 445
  
• 共有ドライブ: n/a
  
• 感染対象: n/a
  

W32.Welchia.B.Worm が実行されると、次のことを行います。

1. "WksPatch_Mutex" というミューテックスを作成することによって、メモリ上でワームが 1 度に 1 つのみ実行されるようにします。
   
   
2. 自分自身を %System%\drives\svchost.exe としてコピーします。
   
   

   ---

   注意:
   • %System% は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
     
     
   • システムには、正規のファイル %System%\svchost.exe が存在します。Windows XP上の svchost.exe は、このワームと同サイズです。

   ---

   
   
3. 次のサービスを作成します。
   
   サービス名: WksPatch
   サービスバイナリ: %System%\drives\svchost.exe
   サービス表示名: <%文字列 1%>< %文字列 2%>< %文字列 3%> の形式で作成されます。
   
   
   1. <%文字列 1%> は、次のいずれかになります。
      
      • System
        
      • Security
        
      • Remote
        
      • Routing
        
      • Performance
        
      • Network
        
      • License
        
      • Internet
        
        
   2. <%文字列 2%> は、次のいずれかになります。
      
      • Logging
        
      • Manager
        
      • Procedure
        
      • Accounts
        
      • Event
        
        
   3. <%文字列 3%> は、次のいずれかになります。
      
   • Provider
     
   • Sharing
     
   • Messaging
     
   • Client
     
     例えば、"Security Logging Sharing" という表示名のサービスが作成される可能性があります。
     
     
4. "RpcPatch"という名のサービスを削除します（存在する場合）。
   
   

   ---

   注意: W32.Welchia.Worm が、このサービスを作成します。
   

   ---

   
   
5. 次のレジストリキーをチェックすることで、W32.Mydoom.A@mm および W32.Mydoom.B@mm の存在を確認します。
   • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
     
   • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
     
     
6. （ステップ5にていずれかのキーが見つかった場合）次の操作を実行することによって、W32.Mydoom.A@mm および W32.Mydoom.B@mm ワームの駆除を試みます。
   
   
   1. 次のファイルを削除します。
      
      • %System%\ctfmon.dll
        
      • %System%\Explorer.exe
        
      • %System%\shimgapi.dll
        
      • %System%\TaskMon.exe
        
        
   2. 次のレジストリキーから、値 "Taskmon" を削除します。
      
      HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      
      
   3. 次のレジストリキーの値を
      
      HKEY_LOCAL_MACHINE\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
      
      次の内容に戻します。
      
      @="%SystemRoot%\System32\webcheck.dll"
      
      
   4. HOSTS ファイルを次のテキストで上書きします。
      
      #
      #
      
      127.0.0.1 localhost
      
      
7. ランダムな IP アドレスを生成し、それらの IP アドレスに脆弱性を悪用するデータを送信し、システムへの感染を試みます。
   
   • DCOM RPC の脆弱性を悪用するために、TCP ポート 135 にデータを送信します。
   • WebDav の脆弱性を悪用するために、TCP ポート 80 にデータを送信します。
   • Workstation サービス の脆弱性を悪用するために、TCP ポート 445 にデータを送信します。
   • Locator service の脆弱性を悪用するために、TCP ポート 445 にデータを送信します。
     
     
8. ランダムに選択した TCP ポート上で Web サーバを実行することによって、脆弱なシステムが攻撃側のコンピュータから WksPatch.exe ファイルをダウンロードし、実行できるようにします。
   
   
9. 感染先のコンピュータのOSが日本語版の場合、IIS の Virtual Roots および %Windir%\Help\\IISHelp\common フォルダ上で次の拡張子を持つファイルを探します。
   
   • .shtml
     
   • .shtm
     
   • .stm
     
   • .cgi
     
   • .php
     
   • .html
     
   • .htm
     
   • .asp
     

     ---

     注意： Virtual Roots および IIS のヘルプフォルダは、マイクロソフト社の IIS サーバの1部としてインストールされています。

     ---

     
     
10. ステップ9で発見したファイルを次の .htm ファイルで上書きします。
    
    
    
    
    
11. 感染先のコンピュータの OS バージョンが中国語版、韓国語版、英語版のいずれかに該当する場合、マイクロソフトの Windows Update Web サイトから次のうちいずれかの修正プログラムをダウンロードしてインストールし、その後、コンピュータを再起動します。
    
    • download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
      /WindowsXP-KB828035-x86-CHS.exe
      
    • download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
      /WindowsXP-KB828035-x86-KOR.exe
      
    • download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a/WindowsXP-KB828035-x86-ENU.exe
      
    • download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
      /Windows2000-KB828749-x86-CHS.exe
      
    • download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
      /Windows2000-KB828749-x86-KOR.exe
      
    • download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
      /Windows2000-KB828749-x86-ENU.exe
      
      
12. 修正プログラムをインストールし、次にコンピュータを再起動します。
    
    
13. 2004年6月1日、あるいは、起動後 120 日間経過するか、いずれか早い時期になると、自動的に終了します。
    

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

駆除ツールを使った方法
Symantec Security Responseは、W32.Welchia.B.Worm の感染を除去する駆除ツールを開発しました。この脅威を最も容易に駆除する方法は、このツールを実行することです。

手動による駆除方法
駆除ツールの代替方法として、この脅威を手動でも駆除することができます。以下の手順は、Symantec AntiVirus およびNorton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。

1. システムの復元機能を無効にします（Windows XP の場合）。
   
2. ウイルス定義を最新版に更新します。
   
3. コンピュータをセーフモード、あるいは VGA モードで再起動します。
   
4. システム全体のスキャンを実行し、W32.Welchia.B.Worm として検出されたファイルをすべて削除します。
   
   

• Windows Me のシステムの復元機能を有効/無効にする方法
  
• Windows XP のシステムの復元機能を有効/無効にする方法
  

• LiveUpdate を実行する方法。LiveUpdate^TM は、ウイルス定義ファイルと製品アップデートを最も手軽に入手いただける方法です。LiveUpdate を通じて配布されているウイルス定義ファイルは、Symantec Security Response の完全品質保証テストを通過後、危険度の高いウイルスが出現した場合を除き、通常は毎週水曜日に LiveUpdate^TM サーバーにアップロードされます。この脅威に対応するウイルス定義が LiveUpdate を通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(LiveUpdate）」欄の日付をご覧ください。
  
• Intelligent Updater^TM を使用してウイルス定義をダウンロードする方法。Intelligent Updater^TM を通じて配布しているウイルス定義ファイルは、Symantec Security Response（シマンテック・セキュリティ・レスポンス）による完全な品質保証検査を通過後、米国時間の平日（月曜日〜金曜日）に随時、更新、アップロードされています。Intelligent Updater^TM によるウイルス定義ファイルは、Symantec Security Response の Web サイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義が Intelligent Updater を通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater）」欄の日付をご覧ください。
  
  Intelligent Updater のウイルス定義は、こちらからダウンロードいただけます。Intelligent Updater^TM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください。
  

• Windows 95/98/Me/2000/XP をお使いの場合は、コンピュータをセーフモードで再起動してください。具体的な手順については、次のうち、ご使用の OS に該当するドキュメントをご覧ください。
  
  
  • Windows XP をセーフモードで起動する方法
    
  • Windows 2000 をセーフモードで起動する方法
    
  • Windows 9x または Windows Me をセーフモードで起動する方法
    
    
• Windows NT 4 をお使いの場合は、VGA モードで再起動してください。
  

1. Norton AntiVirus (NAV) を開き、すべてのファイルがスキャン対象として設定されているか確認します。
   
   • 個人のお客様向け NAV 製品をお使いの場合（パッケージ製品）：詳しくは、"すべてのファイルをウイルススキャンする手順"をご覧ください。
     
   • 企業・法人のお客様向け NAV 製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
     
2. システム全体のスキャンを実行します。
   
3. W32.Welchia.B.Worm に感染しているファイルが検出されたら、[削除] をクリックします。
   

改編履歴：

2004年2月13日: 危険度を2から3に引き上げました。
2004年2月12日: 駆除ツールへのリンクを追加しました。