発見日: September 18, 2001
更新日: February 13, 2007 11:37:30 AM
別名: W32/Nimda@MM [McAfee], PE_NIMDA.A [Trend], I-Worm.Nimda [Kaspersky], W32/Nimda-A [Sophos], Win32.Nimda.A [Computer Associ
種別: Worm, Virus
感染サイズ: 57,344バイト
影響を受けるシステム: Microsoft IIS, Windows
CVE 識別番号: CVE-2000-0884 CVE-2001-0154


注意: 報告件数が減少したため、Symantec Security Responseは2003年1月15日付でW32.Nimda.A@mmの危険度を4から2に変更しました。

現時点では、W32.Nimda.A@mmの大量メール送信ルーチンが初回感染後10日間の潜伏期間を経て再び活性化したことによる顕著な感染拡大は確認されていません。

W32.Nimda.A@mmは、多数の感染方法を持つ新しい大量メール送信型ワームです。Nimdaという名称は、管理者権限を逆手にとることに由来しています(スペルが管理者を意味する"admin"の逆)。ワームは電子メールで自分自身を送り、有効なネットワーク共有を捜して、修正プログラムが適用されていないMicrosoft IIS Web サーバにワーム自身をコピーしようと試みます。また、ローカルドライブ上とリモートネットワーク上の両方でファイルに感染するウイルスでもあります。

このワームはUnicode Web Traversal Web (Web サーバーフォルダへの侵入)と呼ばれるセキュリティホールを使ってこれを行います。Windows NT 4.0 SP 5/6a またはWindows 2000 Gold/SP 1に対する修正プログラムと情報は下記のページをご覧下さい。

http://www.microsoft.com/JAPAN/technet/security/bulletin/MS00-078.asp

メールとしてワームが届いた場合、ユーザがそのファイルを読むかプレビューするだけでワームはMIMEの脆弱性を使ってウイルスを実行します。この脆弱性と修正プログラムについてはこちらをご覧ください。

http://www.microsoft.com/JAPAN/technet/security/bulletin/MS01-020.asp

危険にさらされた Web サーバを訪問しているユーザは、ワームが添付ファイルとして含まれている.EML (Outlook Express)電子メールファイルをダウンロードするよう促されます。この.EMLは前述のMIMEの脆弱性を攻撃します。その場合、インターネットゾーンのセキュリティ設定で[ファイルのダウンロード]を無効にすることで感染を避けることができます。

また、ワームは感染したコンピュータ上のネットワーク共有を有効にすることで、ハッカーがそのシステムにアクセスできるようにします。この処理が行われている間、ワームは管理者権限を持つゲストアカウントを作成します。

駆除ツール

Symantec Security Responseは、 W32.Nimda.A@mm感染によるリスクインパクトを駆除するツールを開発しました。駆除ツールをダウンロードするには、
こちらをクリックしてください。

ウイルス定義

このワームに対応するウイルス定義は、LiveUpdateを実行するか、あるいは、Symantec Security Responseの
ダウンロードサイトからダウンロード可能です。

シマンテック ソリューション

シマンテックでは、W32.Nimda.A@mmからシステムを防御・保護する各種ソリューション製品をそろえています。 W32.Nimda.A@mmおよび類似の"複合型リスク'に対する対処方法および推奨製品の概要については、
こちらをクリックしてください。


Macintoshユーザの皆様へ:

このワームがMacintoshコンピュータに感染することはありませんが、電子メールを介してWindowsコンピュータに感染する経路として使用される可能性があります。また、Windowsコンピュータとネットワークを共有している場合、ネットワークを通じてMacintoshコンピュータのハードドライブにワームファイルが作成される可能性があります。詳しくは、ドキュメント"
Are Macintoshes affected by the Nimda virus?"(英語)をご覧ください。

Novellサーバのユーザの皆様へ:

Novellサーバは直接攻撃されることはありませんが、Windows環境下で動作しているNovellクライアントに接続している場合、ワームはそのNovellクライアントからNovellサーバにアクセスして、そこから(ログインスクリプトまたはその他の手段を使って)ウイルスファイルを実行することによって、ウイルス感染をさらに広げる可能性があります。

備考:
マイクロソフトは、NT 4.0 SP5以上で動作するIIS 4.0用の累積的な修正プログラムおよびIIS 5.0用に最近リリースされたすべての修正プログラムを下記のページで配布しています。

http://www.microsoft.com/JAPAN/technet/security/bulletin/MS01-044.asp

また、このウイルスに関する情報はマイクロソフトの下記のWebサイトで提供されています。

http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

ウイルス対策日

  • Rapid Release 初回バージョン September 18, 2001
  • Rapid Release 最新バージョン March 23, 2017 リビジョン 037
  • Daily Certified 初回バージョン September 18, 2001
  • Daily Certified 最新バージョン March 23, 2017 リビジョン 041
  • Weekly Certified 初回リリース日 September 18, 2001

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Eric Chien

発見日: September 18, 2001
更新日: February 13, 2007 11:37:30 AM
別名: W32/Nimda@MM [McAfee], PE_NIMDA.A [Trend], I-Worm.Nimda [Kaspersky], W32/Nimda-A [Sophos], Win32.Nimda.A [Computer Associ
種別: Worm, Virus
感染サイズ: 57,344バイト
影響を受けるシステム: Microsoft IIS, Windows
CVE 識別番号: CVE-2000-0884 CVE-2001-0154


Webサーバを介した感染

W32.Nimda.A@mmは、修正プログラムが適用されていないIIS Webサーバに感染を試みます。Microsoft IIS 4.0および5.0では、Webフォルダ構造を含む論理ドライブ上の任意のフォルダに移動してそのフォルダ内にあるファイルにアクセスするURLを構築することが可能です。この脆弱性に関する情報と修正プログラムについては、下記のページをご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/ms00-078.asp

Webサーバーフォルダの攻撃に成功すると、ハッカーは任意のプログラムをインストールして実行したり、感染したサーバ上にあるファイルやWebページを追加、改ざん、削除できるようになります。ただし、この脆弱性の攻撃に成功するためには、次のような制限があります。

    1. サーバの設定 ― この脆弱性が存在する場合、アクセスが許可されるファイルは、Webフォルダと同じ論理ドライブ上にあるファイルのみです。そのため、例えば、WebアドミニストレータがサーバをシステムファイルはCドライブに、WebフォルダはDドライブにインストールされるように設定していた場合、ハッカーは、この脆弱性を使ってシステムファイルにアクセスすることはできません。

    2. ハッカーはサーバに必ずインタラクティブにログオンする必要があります。

    3. ハッカーが取得できるアクセス権限は、ローカルでログオンするユーザに与えられている範囲に限定されます。 悪意のあるユーザがこの脆弱性を利用しても、IUSR_machinename アカウントに認められている操作しか行えません。

しかし攻撃者は、W32.Nimda.A@mmワームを伝達手段として利用することで脆弱なIISサーバをリモート操作で攻撃し、攻撃にいったん成功すると、 IISサーバがどのドライブにインストールされているかに関係なく 、管理者権限を使って標的のサーバ上にローカルアカウントを作成します。このワームは、前述の脆弱性を使ったWebサーバーフォルダ侵入手法を使って修正プログラムが適用されていないIISサーバ上のcmd.exeにアクセスします。また、 CodeRed IIワーム ですでに危険にさらされているIISサーバを使って、感染を広げ、Inetpub/scriptsディレクトリからroot.exeにアクセスしようとします。

注意:
Norton AntiVirusのリアルタイム保護機能によって、ユーザのinetpub/scriptsフォルダ内に存在するファイル("TFTP34%4.txt"など)がW32.Nimda.A@mmに感染しているファイルとして検出された場合、そのシステムは以前にCodeRed IIにも感染してセキュリティが低下している可能性があります。その場合はCodeRed駆除ツールをダウンロードして実行し、CodeRed IIを完全に駆除することをお勧めします。CodeRedの駆除ツールは こちら から入手できます。

このワームは、ランダムに生成したIPアドレスに該当するWebサーバを探し出し、前述の「Unicode Web Traversal」と呼ばれる脆弱性を使って、自分自身をadmin.dllとしてTFTP経由でWebサーバにコピーします。感染したコンピュータは、ワームのコピーを転送するために待機するTFTPサーバ(ポート69/UDP)を作成します。

このファイルはそのwebサーバ上で実行され、さらに多くの場所にコピーされます。ワームはこの脆弱性を攻撃することに加え、外部から実行可能なWebディレクトリ内にあるroot.exeまたはcmd.exeを使ってすでに攻撃されて無防備になっているwebサーバも攻撃します。


その後、ファイル名がdefault、index、main、readmeのファイル、および、拡張子が.htm、.html、.aspのファイルにJavaScriptを追加して改変します。そのJavaScriptは、感染しているWebページを訪れたユーザに対し、ワームによって作成されたreadme.emlを返します。そのReadme.emlは、ワームが添付ファイルとして添付されているOutlook Expressの電子メールファイルです。そのメールには、MIMEの脆弱性が悪用されています。したがって、感染しているWebページを閲覧するだけで、そのユーザのコンピュータも感染してしまいます。


システムの改ざん


W32.Nimda.A@mmは実行されると、まず、その実行元となっている場所を調べ、その後、Windows ディレクトリ内のMMC.EXEに上書きするか、またはWindowsのテンポラリディレクトリ内に自分自身のコピーを作成します。

次に、ワームは実行ファイルに感染し、自分自身を.emlファイルおよび.nwsファイルとして作成し、ローカルドライブ上にある.docファイルが含まれるディレクトリすべてに自分自身をRiched20.dllとしてコピーします。ワームは、次のレジストリキーにリストされているパスに含まれるファイルをすべて検索します。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

その後、ワームはsystem.iniを次のように改変することによってシステムをフックします。

Shell= explorer.exe load.exe -dontrunold

また、ワームはRiched20.dllファイルを、同名の自分自身のファイルで置き換えます。Riched20.dllはMicrosoft Wordなどのアプリケーションに使用されるWindowsの正規の.DLLです。このDLLを置き換えることによって、Microsoft Wordなどのアプリケーションが実行されるたびに毎回、ワームが実行されるようになります。

ワームはまた、自分自身をサービスプロセスとして登録するか、あるいは、自分自身をエクスプローラのプロセスにリモートスレッドとして追加します。その結果、ユーザがログオンしていないときでもワームは実行し続けることが可能になります。

ワームは自分自身を次の名前のファイルとしてコピーします。

%Windows\System%\load.exe

注意:
Windowsワームは、\Windows\Systemフォルダ(通常はC:Windows\System)が存在する場所に自分自身をコピーするため、パス(%Windows\System%\)の部分は上記とは異なる可能性があります。

次に、以下のレジストリキーを改変することによって、感染したコンピュータ上のすべてのドライブにオープンなネットワーク共有を作成します。

HKLM\Software\Microsoft\Windows\
CurrentVersion\Network\LanMan\[C$ -> Z$]

これらの設定の変更は、コンピュータの次回起動時に有効になります。

ワームは、マイネットワーク全体を調べ、また、ランダムに作成したIPアドレスで検索することによって、ネットワーク上で開いている共有をすべて探し出し、そこにあるすべてのファイルをチェックして、感染対象となるファイルを探します。WINZIP32.EXEを除くすべての.EXEファイルはワームに感染します。

次に、.EML、.NWSファイルを開いているネットワーク共有にコピーし、.DOCファイルを含むフォルダすべてに自分自身をRiched20.dllとしてコピーします。

その後、エクスプローラの設定を、隠しファイル、および、登録されているファイルの拡張子を表示しないように変更します。

さらに、Guestsグループと Administratorsグループにゲストユーザを追加することによって、ゲストアカウントに管理者権限を与えます。さらに、ワームはC$ = C:\を共有します。この設定はコンピュータが再起動されなくても有効になります。


大量メール送信


W32.Nimda.A@mmは、10日おきに起動して実行するように設計されている大量メール送信ルーチンが含まれています。このワームの大量メール送信ルーチンは、電子メールアドレスの検索から実行を開始します。ワームはローカルシステム上に存在する.htm、.htmlファイルに含まれる電子メールアドレスを探します。また、MAPIを使って、電子メールクライアントの受信トレイ内にあるメールを調べます。Microsoft OutlookやOutlook Expressも含め、MAPI対応の電子メールクライアントはすべて、このワームの影響を受けます。ワームは、このようにして入手したメールアドレスを、差出人と宛先のアドレスとして使用されます。。つまり、ワームが送信するメールは、感染しているコンピュータのユーザからではなく、感染したコンピュータ上でNimdaが発見したメールアドレスのユーザから送信されたものに見えます。

ワームは独自のSMTPサーバを使用し、感染したシステムに設定されているDNSエントリを使った電子メールを勝手に送信することで、メールサーバレコード(MXレコード)を取得します。

このワームが電子メールとして届いた場合、ワームは以前から知られているMIMEの脆弱性を使って自動実行します。ただし、この脆弱性に対応した修正プログラムが適用されているシステムの場合、ワームはOutlook(Express)を通じて自動的に起動することはできません。この脆弱性に関する情報は、下記のページをご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/ms01-020.asp


実行ファイルへの感染

W32.Nimda.A@mmワームはまた、.EXEファイルにも感染しようとします。最初に、発見した.exeファイルがすでに感染しているかどうかをチェックし、感染していない場合、テンポラリディレクトリ内に自分自身のコピーを作成し、そのファイルに標的となった.exeファイルを埋め込み、それを元々の.exeファイルに上書きして置き換えます。感染した実行ファイルのサイズは約57,344 バイト増加します。感染したファイルが実行されると、ワームは、元々の感染していないファイルを抽出したテンポラリファイルを作成し、ワーム自身とともにそれを実行します。W32.Nimda.A@mmはこのような感染形態をとるため、ユーザは、実行ファイルが感染していることに気づかない可能性があります。

ワームが実行中、自分自身のコピーの削除を試みることがあります。そのファイルが使用中あるいはロックされている場合、ワームはコンピュータの再起動時に自分自身を削除するエントリを含む Wininit.ini を作成します。

このワームがファイルに感染するとき、Windowsテンポラリディレクトリ内に、次の2つのテンポラリファイルが大量に作成される可能性があります。

  • mep[nr][nr][letter][nr].TMP.exe
  • mep[nr][nr][letter][nr].TMP

これらのファイルには隠しファイル属性とシステムファイル属性が設定されます。

このワームは、以下のポートを使用して次のことを行います。これらのポートはすべて標準ポートであることにご注意ください。
TCP 25 (SMTP) - 無防備なクライアントから取得したアドレスを使って標的のコンピュータに電子メールを送信するために使用します。
TCP 69 (TFTP) - ポート69/UDPを開き、admin.dllをTFTP経由で転送してIISへの感染を拡大するために使用し、また、このプロトコルの一部として、外部に接続してファイルを転送します。
TCP 80 (HTTP) - 無防備なIISサーバを攻撃するために使用します。
TCP 137-139, 445 (NETBIOS) - ワーム転送時に使用します。

さらに、特定シーケンスのバイトを送ってくる接続を監視し、受信した接続要求で指定されたポートを開きます。このポートは、特定範囲に限定されていません。

このワームにはバグがあり、また、リソースへの依存性が高いため、すべての感染活動が行われるとは限りません。また、システムが顕著に不安定になる可能性があります。

推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

記述: Eric Chien

発見日: September 18, 2001
更新日: February 13, 2007 11:37:30 AM
別名: W32/Nimda@MM [McAfee], PE_NIMDA.A [Trend], I-Worm.Nimda [Kaspersky], W32/Nimda-A [Sophos], Win32.Nimda.A [Computer Associ
種別: Worm, Virus
感染サイズ: 57,344バイト
影響を受けるシステム: Microsoft IIS, Windows
CVE 識別番号: CVE-2000-0884 CVE-2001-0154


Symantec Security Responseでは、 W32.Nimda.A@mm感染によるリスクインパクトを駆除するツールを配布しています。駆除ツールをダウンロードするには、 こちら をクリックしてください。

注意:
コンピュータがW32.Nimda.A@mmに感染した場合、そのコンピュータは悪意を持ったユーザによって外部から不正にアクセスされている可能性があるため、あなたのネットワークやシステムの安全性が保証されなくなります。その場合、悪意を持ったユーザは、そのような状態に陥ったコンピュータに対し、外部からさまざまな操作を行えるようになってしまいます。以下はその一例です。

  • パスワードを盗む、あるいはパスワード・ファイルを変更する。
  • 外部からの接続を可能にするホストプログラム(バックドア)をインストールする。
  • キー入力の履歴を取得するプログラムをインストールする。
  • ファイアウォール規則を設定する。
  • クレジットカード番号、銀行口座情報、個人情報を盗む。
  • ファイルを削除または改変する。
  • 有害あるいは犯罪となるようなデータをユーザのメールアカウントを使って送信する。
  • ユーザーアカウントやファイルのアクセス権を改変する。
  • 外部からの不正アクセス行為を隠蔽するために、ログファイルから情報を削除する。

もし、あなたの組織のコンピュータ環境を確実に安全な状態にする必要がある場合は、オペレーティングシステムおよびすべてのプログラムを完全にインストールし直し、すべてのファイルを感染前に作成しておいたバックアップデータで置き換え、感染したコンピュータ上で設定していたか、またはそのコンピュータからアクセス可能だったパスワードをすべて変更する必要があります。あなたが所属している組織内のセキュリティに関する具体的な情報については、システム管理者にお問い合わせください。


手動駆除方法

駆除ツールを入手できない場合、あるいは、駆除が正しく行えない状況にある場合は以下の手順にしたがってください。
    1. LiveUpdateを実行し、ウィルス定義を最新版に更新します。
    2. ご使用のOSに応じて、以下の指示にしたがってください。
    • Windows NT/2000/XPの場合、手順3へ進んでください。
    • Windows 95/98/Meの場合、次の手順にしたがってSystem.iniファイルを修正してください。
        

      1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。
      2. 次のように入力し、[OK]をクリックします。
          
      edit c:\windows\system.ini

      MS-DOSエディタが開きます。

      備考:
      Windowsを別の場所にインストールしていた場合、上記のパス部分を適宜置き換えてください。

      3. shell=\で始まる行を探します。
      4. カーソルを =(イコール記号)のすぐ右側に移動します。
      5. Shift+Endキーを押すことで、= の右側にあるテキストをすべて選択し、Deleteキーを押して削除します。
      6. 次のテキストを入力します。

      explorer.exe

      入力後、その行は次のように表示される必要があります。

      shell=explorer.exe

      備考:
      コンピュータによっては、shell=の後がExplorer.exe以外のエントリが含まれる場合があります。その場合に該当し、かつ、別のWindowsシェルを実行している場合、shell=行を一時的にshell=explorer.exeに変更し、駆除作業が完了した時点で元のシェルに戻してください。

      7. [ファイル]-[終了]を選択し、変更の確認メッセージが表示されたら[はい]をクリックします。
    3. コンピュータを再起動します。

    備考:
    コンピュータを再起動したときに、感染ファイルが見つかる可能性があります。その場合、感染ファイルの修復を試みてください。修復されなかったファイルは、検疫場所に隔離してください。


    4. Norton AntiVirus (NAV) を開き、すべてのファイルがスキャン対象として設定されているか確認します。 5. システム全体のスキャンを実行します。NAVを使ったスキャンの実行手順については、How to scan for viruses(英語)をご覧ください。
    6. W32.Nimda.A@mm または W32.Nimda.A@mm (html)として検出されたファイルに対しては、[修復]をクリックします。修復不可能なファイルは、検疫場所に隔離してください。
    7. W32.Nimda.A@mm (dr)、W32.Nimda.enc、W32.Nimda.A@mm (dll)として検出されたファイルに対しては、[削除]をクリックします。
    は、[削除]をクリックします。

    8. Admin.dllとRiched20.dllファイルが削除対象になっている場合は、Admin.dllとRiched20.dllを、感染していないバックアップ、Microsoft Windows、Office .cabファイルのいずれかを使って正規のフィルで置き換えます。
    9. 不要な共有をすべて削除します。
    10. Administratorsグループにゲストアカウントが追加されていた場合、それを削除します。


Windows Meのシステムの復元オプション

Windows Meをお使いのお客様へ


システムの復元機能は、Windows Meの新機能の一つで、標準では有効に設定されています。この機能は、Windowsがコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。Windows Meは、復元情報を_RESTOREフォルダに保存しています。_RESTOREフォルダは、コンピュータ上の各ハードドライブ上に作成され、コンピュータが再起動されるたびに更新されます。

コンピュータがW32.Nimda.A@mmに感染した場合、ワームのバックアップファイルが_RESTOREフォルダ内に作成されている可能性があります。デフォルトでは、Windowsは、外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、このツールによって行われるあらゆる修復操作が失敗する可能性があります。このような問題を回避するためには、必ずWindows Meのシステム復元機能を無効にする必要があります。これにより、_RESTOREフォルダの内容が消去されます。その後、駆除ツールを再度実行してください。


システムの復元オプションを無効にする方法システムの復元オプションを無効にする方法

次のイラストを参照しながら、後述の手順にしたがって操作してください。イラスト内に表示されている番号は、それぞれの手順番号に対応しています。



Riched20.dllの抽出方法

Microsoft Word等のプログラムを起動するときにエラーが発生したり、プログラムが起動しなくなった場合、 Riched20.dllファイルを抽出する必要があります(代わりに、オペレーティングシステムおよび影響を受けたプログラムをすべてインストールし直しても同様の効果が得られます)。

Riched20.dllファイルを抽出するには、ご使用のOSに応じて、次の手順にしたがってください。

注意:
以下の手順は、ほとんどのコンピュータで適用可能です。ファイルの抽出、および、リスクインパクトを受けた可能性がある他のWindowsファイルに関する詳細については、次のドキュメントをご覧ください。
Windows 95/98
DOSプロンプトでExtractコマンドを使用して作業する必要があります。以下の手順のうち、ご使用のOSに応じた手順にしたがってください。

注意:
  • この作業では、Windows 98/Meの起動ディスクが必要となります(Windows 95を使用している場合でも、Windows 98/Meコンピュータ上で起動ディスクを作成した起動ディスクが必要となります)。起動ディスクの作成方法については、How to create a Windows Startup disk(英語)をご覧ください。
  • WindowsのインストールCDをあらかじめ用意しておいてください。
  • コマンドを入力する際、xと記述されている部分にはご使用のCD-ROMドライブに割り当てられているドライブ記号を入力してください。例えば、Windows 98を使用していて、CD-ROMドライブがDドライブに設定されている場合、次のように入力する必要があります。

      extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system
  • WindowsをC:\Windows以外のフォルダにインストールしていた場合、コマンドの最後にあるパスまたはフォルダ名部分には、実際にWindowsをインストールしたパスまたはフォルダ名に置き換えて入力してください。
  • Extractコマンドの使い方に関する詳細は、マイクロソフトから配布されているドキュメント" How to Extract Original Compressed Windows Files, Article ID: Q129605"(英語)をご覧ください。
  • Windows 98を使用している場合、下記の手順よりも多少簡単な方法として、 システム ファイル チェッカーを使ってファイルを復元することができます。この方法については、Windowsの付属マニュアルをご覧ください。


    1. システムを終了し、電源を切ります。コンピュータの電源が切れたことを確認後、Windows 98/Meの起動ディスクをフロッピーディスクドライブに挿入し、コンピュータの電源を入れます。表示されるメニューから、Start with CD-ROM supportを選択します。
    2. 次のうち、ご使用のOSに該当するコマンドを入力します。
    • Windows 98の場合、次のように入力し、Enterキーを押します。

        extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system
    • Windows 95の場合、次のように入力し、Enterキーを押します。

        extract /a win95_10.cab riched20.dll /L c:\windows\system

      注意:
      何らかのエラーメッセージが表示された場合、手順2を再度行います。そのとき、ご使用のOSに適切なコマンドを記載通りに入力したか必ず確認してください。何もエラーが表示されなければ、exitと入力し、Enterキーを押します。
Windows NT 4.0
    1. Windowsがすべてのファイルを表示するように設定されているか確認してください。

    2. Riched20.dllファイルを検索し、見つかったファイルをすべて削除します。

    3. 最新のサービスパックを再インストールします。これにより、Riched20.dllファイルが新しいものに置き換えられます。

    4. Riched20.dllファイルの置き換えが終わった後で、Microsoft WordやOffice等のプログラムが起動しなくなったり、プログラムの起動時にエラーメッセージが表示される場合、Microsoft Officeを再インストールしてください。

Windows 2000
Windows 2000をご使用の場合、システムに内蔵されているプログラムを使って、欠損あるいは破損したシステムファイルを見つけて置き換えることができます。破損したRiched20.dllを置き換えるには、次の手順にしたがってください。
    1. システム ファイル チェッカーが有効になっているか確認します。
        1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。
        2. cmdと入力し、[OK]をクリックします。
        3. 次のように入力し、Enterキーを押します。

        sfc /enable

        4. exitと入力し、Enterキーを押します。
    2. Windowsがすべてのファイルを表示するように設定されているか確認します。
        1. Windows エクスプローラを起動します。
        2. [ツール]-[フォルダ オプション]を選択します。
        3. [表示]タブをクリックします。
        4. [登録されているファイルの拡張子は表示しない]のチェックを外します。
        5. [保護されたオペレーティングシステムを表示しない]のチェックを外し、[ファイルとフォルダの表示]フォルダの下にある[すべてのファイルとフォルダを表示する]をクリックします。
        6. [適用]をクリックし、[OK]をクリックします。
    3. Riched20.dllを検索します。
        1. [スタート]-[検索]-[ファイルやフォルダ]を選択します。
        2. [探す場所]が(C)に設定され、[サブフォルダも探す]が選択されていることを確認します
        3. [ファイルまたはフォルダの名前]ボックスに、次のファイル名を入力するか、コピー&ペーストします。

        riched20.dll

        4. [検索開始]をクリックします
        5. 表示されるファイルをすべて削除します。
    4. コンピュータを再起動します。
    5. システム ファイル チェッカーが、削除されたRiched20.dllファイルを正常なファイルで置き換えます。Riched20.dllファイルの置き換えが終わった後でMicrosoft WordやOfficeなどのプログラムが起動しなくなったり、起動時にエラーが表示されるようになった場合、Microsoft Officeを再インストールする必要があります。

記述: Eric Chien