発見日: April 16, 2003
更新日: March 13, 2009 6:21:25 AM
別名: Win32.Spybot.gen [Computer Associates], Worm.P2P.SpyBot.gen [Kaspersky], W32/Spybot-Fam [Sophos], W32/Spybot.worm.gen [McAfee], WORM_SPYBOT.GEN [Trend]
種別: Worm
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2004-0120 | CVE-2007-0041 | CVE-2002-1145 | CVE-2003-0352 | CVE-2005-1983 | CVE-2008-4250 | CVE-2003-0717 | CVE-2001-0876 | CVE-2003-0812 | CVE-2003-0109 | CVE-2006-2630 | CVE-2003-0533

W32.Spybot.Worm は、Kazaa ファイル共有ネットワークと mIRC を使用して拡散するワームのファミリーの検出名です。このワームは、一般的なバックドア型トロイの木馬に感染しているコンピュータや脆弱なパスワードでプロテクトされているネットワーク共有のコンピュータへ拡散する可能性もあります。

W32.Spybot.Worm は、構成可能な IRC サーバーへ接続し、指示を待機するために特定のチャネルへ参加することにより、各種操作の実施を可能にします。また比較的新しい亜種には、次の脆弱性を悪用することによって拡散する可能性があります。

  • 「Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability (TCP ポート 135)」(BID 8205) (英語)
  • 「Microsoft Windows LSASS Buffer Overrun Vulnerability」(BID 10108) (英語)
  • 「Microsoft SQL Server 2000 or MSDE 2000 audit (UDP ポート 1434)」(BID 5980) (英語)
  • 「Microsoft Windows WebDAV Buffer Overflow Vulnerability (TCP ポート 80)」(BID 7116) (英語)
  • 「Microsoft UPnP NOTIFY Buffer Overflow Vulnerability」BID 3723) (英語)
  • 「Microsoft Workstation Service Buffer Overrun Vulnerability (TCP ポート 445)」(BID 9011) (英語)
    Windows XP ユーザーは、Microsoft セキュリティ情報 MS03-043 のパッチが適用済みであれば、この脆弱性から保護されています。Windows 2000 ユーザーは、Microsoft セキュリティ情報 MS03-049 のパッチを適用します。
  • 「Microsoft Windows SSL Library Denial of Service Vulnerability」(BID 10115) (英語)
  • 「VERITAS Backup Exec Agent Browser Remote Buffer Overflow Vulnerability」 (BID 11974) (英語)
  • 「Microsoft Windows Plug and Play Buffer Overflow Vulnerability」(BID 14513) (英語)
  • 「Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability」(BID 31874) (英語)
  • 「Microsoft .NET Framework PE Loader Remote Buffer Overflow Vulnerability」(BID 24778) (英語)
  • 「Symantec Client Security and Symantec AntiVirus Elevation of Privilege」(BID 18107) (英語)

    注意:
  • Spybot ワームファミリーの最近の亜種は、2006 年 5 月に報告された SAV 10/SCS 3 における脆弱性(SYM06-010) (英語)を含む複数の既知の脆弱性を悪用します。 この脆弱性に対するパッチが利用可能です。影響を受ける製品のユーザーは、この特定の Sybot ワームファミリーの拡散を避けるためにできるだけ早くシステムにパッチを適用することを強く推奨します。システムが Spybot の亜種に感染し、このセキュリティパッチを適用していない場合は、次の文書を参照してください。「Attempting to migrate from 10.x to a newer version fails after becoming infected with a worm which exploits SYM06-010(英語)」
  • SYM06-010(英語) のすべての既知のまたは未知の脆弱性の悪用に対する IPS シグネチャを、2006 年 5 月 26 日リリースしました。
  • 感染が原因よる過度のネットワークトラフィックは、ネットワークパフォーマンスを著しく低下させる可能性があります。
  • この検出は日ごとに変更されるため、ウイルス定義を頻繁にアップデートすることを推奨します。

ウイルス対策日

  • Rapid Release 初回バージョン April 16, 2003
  • Rapid Release 最新バージョン June 20, 2018 リビジョン 018
  • Daily Certified 初回バージョン April 16, 2003
  • Daily Certified 最新バージョン June 20, 2018 リビジョン 008
  • Weekly Certified 初回リリース日 April 16, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Douglas Knowles

発見日: April 16, 2003
更新日: March 13, 2009 6:21:25 AM
別名: Win32.Spybot.gen [Computer Associates], Worm.P2P.SpyBot.gen [Kaspersky], W32/Spybot-Fam [Sophos], W32/Spybot.worm.gen [McAfee], WORM_SPYBOT.GEN [Trend]
種別: Worm
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2004-0120 | CVE-2007-0041 | CVE-2002-1145 | CVE-2003-0352 | CVE-2005-1983 | CVE-2008-4250 | CVE-2003-0717 | CVE-2001-0876 | CVE-2003-0812 | CVE-2003-0109 | CVE-2006-2630 | CVE-2003-0533

W32.Spybot.Worm は、実行時に、次を実施します。

  1. %System% に自分自身をコピーします。亜種のいくつかは、次のファイル名のいずれかである可能性があります。

    • Bling.exe
    • Netwmon.exe
    • Wuamgrd.exe

      注意: %System% は変数です。このワームは、System フォルダを探し出し、そのロケーションへ自分自身をコピーします。デフォルトでは、これは C:\Windows\System(Windows 95、98、Me)、C:\Winnt\System32(Windows NT、2000)、C:\Windows\System32(Windows XP)です。

  2. 次のレジストリ値を追加することで、Kazaa ファイル共有ネットワーク上にフォルダを作成して共有する可能性があります。

    "dir0" = "012345:[設定可能パス]"

    レジストリサブキー:

    HKEY_CURRENT_USER\SOFTWARE\KAZAA\LocalContent

  3. このワームを他のユーザーにダウンロードさせ、実行させるように設計されたファイル名として設定されたパスに自分自身をコピーします。

  4. 指定されたサーバーで、サービス拒否攻撃 (DOS) を行う可能性があります。

  5. セキュリティアプリケーションのプロセスを終了する可能性があります。

  6. 指定された IRC サーバーに接続し、チャンネルに参加してコマンドを受信します。このコマンドは、次を含む可能性があります。

    • 脆弱性のあるコンピュータをスキャンする
    • ファイルのダウンロードやアップロードを行う
    • 実行中のプロセスのリストアップや終了を行う
    • キャッシュされたパスワードを盗み取る
    • 次の文字列を含むタイトルを持つウィンドウに入力された情報を盗み取るために、キーストロークをログ記録する

      • bank
      • login
      • e-bay
      • ebay
      • paypal

    • ローカル HTTP、または FTP、または TFTP サーバーを開始する
    • 侵入先のコンピュータ上のファイルを検索する
    • スクリーンショット、クリップボードからのデータ、Webcam からの映像をキャプチャする
    • URL にアクセスする
    • DNS や ARP キャッシュをフラッシュする
    • 侵入先のコンピュータ上にコマンドシェルを開く
    • ローカルネットワークエリア上のパケットを傍受する
    • net send メッセージを送信する
    • 次のような、多数のハードコード化した Windows startup フォルダへ自分自身をコピーする

      • Documents and Settings\All Users\Menu Start\Programma's\Opstarten
      • WINDOWS\All Users\Start Menu\Programs\StartUp
      • WINNT\Profiles\All Users\Start Menu\Programs\Startup
      • WINDOWS\Start Menu\Programs\Startup
      • Documenti e Impostazioni\All Users\Start Menu\Programs\Startup
      • Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup
      • Documents and Settings\All Users\Start Menu\Programs\Startup


        注意: シマンテックセキュリティレスポンスは、スタートアップフォルダの 0 バイトファイルを作成するワームの亜種報告を受けています。これらのファイルは、TFTP780 あるいは TFTP ### (# は数字) のようなファイル名である可能性があります。

  7. 次のレジストリサブキーの 1 つあるいは複数に、レジストリー変数を追加します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunOnce
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunServices
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Shell Extensions
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    RunServices
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    RunOnce
    HKEY_CURRENT_USER\Software\Microsoft\OLE


    例:

    "Microsoft Update" = "wuamgrd.exe"

    または

    "Microsoft Macro Protection Subsystem" = "bling.exe"

  8. 次のサブキーの下に、ランダムな値でランダムなサブキーを作成します。

    HKEY_LOCAL_MACHINE\SOFTWARE

    例えば、この値を追加する可能性があります。

    "{0BCDA1A6641FB859F}" = "bb 75 8e 3b 04 ae 16 5c 7f 68 ef 02 ed f6 0e 26 86 73 e3 30 bd"

    レジストリサブキー:

    HKEY_LOCAL_MACHINE\SOFTWARE\The Silicon Realms Toolworks\Armadillo

  9. 次のサブキーの下に、ランダムな値でランダムなサブキーを作成します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

  10. 次の値のうちいずれか 1 つを改ざんする可能性があります。

    "EnableDCOM" = "Y"
    "EnableDCOM" = "N"

    レジストリキー内:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE

    これらは攻撃者からのコマンドに応じて、DCOM 設定を有効あるいは無効にします。

  11. 次の値を改ざんする可能性があります。

    "restrictanonymous" = "1"

    レジストリキー内:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

    ネットワークアクセスを制限します。

  12. 次の値を改ざんする可能性があります。

    "Start" = "4"

    レジストリキー内:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger

    さまざまなサービスを無効にします。

  13. 次の値を改ざんする可能性があります。

    "AutoShareWks" = "0"
    "AutoShareServer" = "0"

    レジストリキー内:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    lanmanserver\parameters
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    lanmanworkstation\parameters

  14. 次の値を改ざんする可能性があります。

    "DoNotAllowXPSP2" = "1"

    レジストリキー内:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
    WindowsUpdate

    侵入先のコンピュータへの Windows XP SP2 のインストールを防ぐ。

  15. 次の値を改ざんする可能性があります。

    "AUOptions" = "1"

    レジストリキー内:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    WindowsUpdate\AutoUpdate


  16. 次の値を改ざんする可能性があります。

    "UpdatesDisableNotify" = "1"
    "AntiVirusDisableNotify" = "1"
    "FirewallDisableNotify" = "1"
    "AntiVirusOverride" = "1"
    "FirewallOverride" = "1"

    次のレジストリサブキー:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

    Microsoft セキュリティセンターを無効にする。

  17. 次の値を改ざんする可能性があります。

    "EnableFirewall" = "0"

    レジストリキー内:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
    DomainProfile
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
    StandardProfile

    Microsoft Windows XP ファイアウォールを無効にします。

  18. サービスを無効にするために、レジストリエントリを改ざんする可能性があります。

    例:

    • wscsvc
    • Tlntsvr
    • RemoteRegistry
    • Messenger

  19. オペレーティングシステム、IP アドレス、ユーザー名などのような機密情報を IRC サーバーに送信する可能性があります。

  20. バックドアを 1 つのランダムな ポートに開放します。

  21. 自分自身を 1 つのサービスとして登録するために、サブキーを作成する可能性があります。

    例:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BoolTern
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_BOOLTERN

  22. %System%\haxdrv.sys と名付けられたデバイスドライバファイルを投下します。

  23. HTTP プロキシサーバー、SOCKS4 あるいは、SMTP プロトコル を開始します。

  24. ネットワークをポートスキャンする可能性があります。

  25. 弱い管理者または SA パスワードが設定されている MS SQL サーバーへ接続しようとし、成功した場合は、コンピュータへ自分自身をコピーする可能性があります。リモートサーバーへの認証をしようとして、次のパスワードを適用する可能性があります。

    • null
    • Rendszergazda
    • Beheerder
    • amministratore
    • hallintovirkailijat
    • Administrat
    • Administrateur
    • administrador
    • Administrador
    • administrator
    • Administrator
    • ADMINISTRATOR
    • Password
    • password
    • admin
    • 123

  26. コンピュータのアカウントを列挙し、常に SeNetworkLogonRight の認証を無効化し、ネットワークログオンタイプの使用権限を持つアカウントを完全に拒否する可能性があります。

  27. ネットワーク共有へ自分自身をコピーするために、ユーザーを列挙しようとする可能性があります。リモート共有への認証をしようとして、次のパスワードを適用する可能性があります。

    • 007
    • 123
    • 1234
    • 12345
    • 123456
    • 1234567
    • 12345678
    • 123456789
    • 1234567890
    • 2000
    • 2001
    • 2002
    • 2003
    • 2004
    • access
    • accounting
    • accounts
    • adm
    • administrador
    • administrat
    • administrateur
    • administrator
    • admins
    • amministratore
    • asd
    • backup
    • beheerder
    • bill
    • bitch
    • blank
    • bob
    • brian
    • changeme
    • chris
    • cisco
    • compaq
    • computer
    • control
    • data
    • database
    • databasepass
    • databasepassword
    • db1
    • db1234
    • db2
    • dba
    • dbpass
    • dbpassword
    • default
    • dell
    • demo
    • domain
    • domainpass
    • domainpassword
    • eric
    • exchange
    • fred
    • fuck
    • george
    • god
    • guest
    • hallintovirikailijat
    • hell
    • hello
    • home
    • homeuser
    • ian
    • ibm
    • internet
    • intranet
    • jen
    • joe
    • john
    • kate
    • katie
    • lan
    • lee
    • linux
    • login
    • loginpass
    • luke
    • mail
    • main
    • mary
    • mike
    • neil
    • nokia
    • none
    • null
    • oem
    • oeminstall
    • oemuser
    • office
    • oracle
    • orainstall
    • outlook
    • owner
    • pass
    • pass1234
    • passwd
    • password
    • password1
    • peter
    • pwd
    • qaz
    • qwe
    • qwerty
    • rendszergazda
    • sam
    • server
    • sex
    • siemens
    • slut
    • sql
    • sqlpassoainstall
    • staff
    • student
    • sue
    • susan
    • system
    • teacher
    • technical
    • test
    • unix
    • user
    • web
    • win2000
    • win2k
    • win98
    • windows
    • winnt
    • winpass
    • winxp
    • www
    • wwwadmin
    • zxc

      注意: このステップでは、認証の試行の複数回の失敗により、ユーザーアカウントをロックアウトする結果になる可能性があります。

  28. 次の脆弱性を悪用することで拡散する可能性があります。

  29. 自分自身のアップデートを含むリモートファイルをダウンロードして実行する可能性があります。

  30. VMWare またはデバッガのコンテキストのもとで、実行中かどうかを確認する可能性があります。これに該当する場合には、直ちに自分自身を終了します。

  31. 自分自身をプロセスリストから隠蔽し、このハッキングツールを 1 つのサービスとして登録するために、Hacktool.Rootkit を投下する可能性があります。

    たとえば、rdriv.sys を投下し、次のサブキーを作成する可能性があります。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rdriv
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_RDRIV

推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

記述: Douglas Knowles

発見日: April 16, 2003
更新日: March 13, 2009 6:21:25 AM
別名: Win32.Spybot.gen [Computer Associates], Worm.P2P.SpyBot.gen [Kaspersky], W32/Spybot-Fam [Sophos], W32/Spybot.worm.gen [McAfee], WORM_SPYBOT.GEN [Trend]
種別: Worm
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2004-0120 | CVE-2007-0041 | CVE-2002-1145 | CVE-2003-0352 | CVE-2005-1983 | CVE-2008-4250 | CVE-2003-0717 | CVE-2001-0876 | CVE-2003-0812 | CVE-2003-0109 | CVE-2006-2630 | CVE-2003-0533

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズを含む、現在サポート対象のすべてのシマンテックウイルス対策製品をご利用のお客様を対象に記述されています。

  1. システムの復元機能を無効にします(Windows Me、XP)。
  2. ウイルス定義を最新版に更新します。
  3. システムの完全スキャンを行って、検出されたファイルをすべて削除します。
  4. レジストリへ追加された値を削除します。
  5. スタートアップフォルダの 0 バイトファイルを削除します。
  6. SharedAccess サービスを再有効化します(Windows 2000、XP のみ)
具体的なステップについては、以下の手順を参照してください。

1. システムの復元機能を無効にするには (Windows Me、XP)
Windows Me、XP をご利用の場合は、駆除作業前にシステムの復元機能を一時的に無効にします。システムの復元機能は、破損時のコンピュータファイルを復元する Windows Me、XP の機能の 1 つで、標準設定では有効です。コンピュータが、ウイルス、ワーム、トロイの木馬に感染した場合、システムの復元機能がそのバックアップファイルを (_RESTORE) フォルダに作成する可能性があります。

Windows は、ウイルス対策プログラムを含む外部プログラムによってシステムの復元機能の改変を防止するように設定しています。この理由から、ウイルス対策プログラムおよび駆除ツールによるシステムの復元フォルダの感染ファイルの削除は不可能です。他のあらゆる場所で感染ファイルを削除しても、このシステムの復元機能が感染ファイルを復元する可能性があります。

また、駆除作業の完了後でも、ウイルススキャンがシステムの復元フォルダに脅威を発見する場合があります。

システムの復元機能を無効にする方法については、 Windows のマニュアル、あるいは下記文書のいずれかを参照してください。
注意:
駆除作業が終了し、脅威の駆除を確認したうえで、上記ドキュメントに記載の手順を実行してシステムの復元機能を有効に戻します。

追加の情報および Windows Me システムの復元機能を無効化する以外の解決方法については、「マイクロソフトサポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について 」を参照してください。

2. ウイルス定義ファイルを更新するには
シマンテックセキュリティレスポンスから提供されるウイルス定義は、すべて品質テストを実施済です。最新版のウイルス定義ファイルは、次の 2 通りの方法で入手できます。
  • LiveUpdate を使用して入手する方法: シマンテックの LiveUpdate サーバーにクライアントやサーバーからアクセスし、ウイルス定義ファイルをダウンロードして自動的に更新を行います。LiveUpdate では、最後に LiveUpdate を実行した後に追加、更新された情報のみがダウンロードされます。このため、ダウンロード時のネットワークトラフィックを最小限に抑えることができます。 LiveUpdate のウイルス定義ファイルは、通常は毎週木曜日に定期的に LiveUpdate サーバーにアップロードされます。また、危険度の高いウイルスが発見された場合にも、緊急対応として LiveUpdate サーバーにアップロードされる場合があります。
  • Intelligent Updater を使って入手する方法: Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムの実行で、ご利用のコンピュータのウイルス定義ファイルを最新版に更新可能です。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日(日本時間の火曜日~土曜日)に毎日更新します。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングで更新します。

    注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。ファイルサイズは、前回からの差分のみをダウンロードする LiveUpdate と比較して大型です。このために、LiveUpdate で定期的にウイルス定義ファイルを更新し、疑わしいファイルからウイルスを検知しないなどの場合には、Intelligent Updater でのウイルス定義ファイルの更新を推奨します。Intelligent Updater のウイルス定義ファイルは、こちらからダウンロード可能です。 手順の詳細は、「Intelligent Updater を使ってウイルス定義ファイルを更新する方法」を参照してください。


3. 感染ファイルをスキャンして削除するには
  1. シマンテックのアンチウイルスプログラムを起動して、すべてのファイルがスキャン対象として設定されているかどうかを確認します。
  2. システムの完全スキャンを実行します。
  3. 検出ファイルを書き留めておき、[削除]をクリックします。

重要: ご利用のシマンテックウイルス対策製品が起動しない、または検出ファイルの削除が不可能であると報告するメッセージを表示する場合には、実行中のリスクを停止してから削除する必要がある場合があります。この場合は、コンピュータをセーフモードで再起動してスキャンを実行します。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」を参照してください。 コンピュータがセーフモードで再起動したら、スキャンを再度実行します。

ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進みます。

この時点ではワームの削除が完了していない可能性があるために、再起動時に警告メッセージが表示される可能性があります。このような場合、これらのメッセージを無視して、[OK] をクリックします。駆除手順の終了後にコンピュータを再起動すると警告メッセージが表示されなくなります。表示される場合は、以下のような警告メッセージです。

タイトル: [ファイルパス]
メッセージ本文: [ファイル名] が見つかりません。名前を正しく入力したかどうかを確認してから、やり直してください。ファイルを検索するには、 [スタート] ボタンをクリックしてから、[検索] をクリックしてください。


4. レジストリから値を削除するには
警告: システムレジストリ変更の際には、事前にバックアップを作成しておくことを強く推奨します。レジストリへの不適切な変更は、データ消失やファイル破損など修復不可能な問題を引き起こす可能性があります。指定されたサブキーのみを修正します。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法 」を参照してください。
  1. [スタート]、[ファイル名を指定して実行]の順にクリックします。
  2. regedit と入力して
  3. [OK]をクリックします。

    注意: レジストリエディタの開始が不可能な場合には、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。 セキュリティレスポンスは、この問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行します。

  4. [OK] をクリックします。

  5. レジストリエディタで、次のサブキーに移動します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunOnce
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunServices
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    RunServices
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    RunOnce
    HKEY_CURRENT_USER\Software\Microsoft\OLE

  6. 画面右側で、検出したファイル名を参照する値をすべて削除します。

  7. サブキーへ移動します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger

  8. 元の値が分かっている場合は、画面右側で元の値を再設定します。

    "Start" = "4"

  9. 次のサブキーへ移動します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  10. 元の値が分かっている場合は、画面右側で元の値を再設定します。

    "restrictanonymous" = "1"

  11. 次のサブキーへ移動します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\
    parameters
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\
    parameters

  12. 元の値が分かっている場合は、画面右側で元の値を再設定します。

    "AutoShareWks" = "0"
    "AutoShareServer" = "0"

  13. 次のサブキーへ移動します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

  14. 元の値が分かっている場合は、画面右側で元の値を再設定します。

    "DoNotAllowXPSP2" = "1"

  15. 次のサブキーへ移動します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE

  16. 元の値が分かっている場合は、画面右側で元の値を再設定します。

    "EnableDCOM" = "N"

  17. 次のサブキーがある場合、移動して削除します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BoolTern
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_BOOLTERN
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rdriv
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_RDRIV

  18. レジストリエディタを終了します。

5. スタートアップフォルダから 0 バイトのファイルを削除する
ご利用の Windows のバージョンの手順に従います。

注意: "tftp."で始まるご使用のシステムに、正規のファイルが存在する可能性があります。 スタートアップフォルダから 0 バイトのファイルを削除します。

Windows 95/98/Me/NT/2000 で 0 バイトのファイルを削除するには
  1. Windows のタスクバーで、[スタート][検索][ファイルやフォルダ]の順にクリックします。
  2. [探す場所]が C: に設定されており、[サブフォルダの検索]にチェックマークが入っていることを確認します。
  3. [ファイル名のすべてまたは一部]または[ファイルに含まれる単語または句]ボックスに、次のファイル名を入力するかまたはコピー & ペーストします。

    tftp*.*

  4. [検索]または[検索開始]をクリックします。
  5. サイズが 0 バイトで、"スタートアップ"で終わる名前のフォルダ内に含まれるファイルを削除します。

Windows XP で 0 バイトのファイルを削除するには
  1. Windows のタスクバーで、[スタート] [検索]の順にクリックします。
  2. [ファイルやフォルダ]をクリックします。
  3. [ファイル名のすべてまたは一部]ボックスに、次のファイルを入力するか、またはコピー & ペーストします。

    tftp*.*

  4. [探す場所]が[ローカルハードドライブ]または C: に設定してあることを確認します。
  5. [詳細設定オプション]をクリックします。
  6. [システムフォルダの検索]にチェックマークを入れます。
  7. [サブフォルダの検索]にチェックマークを入れます。
  8. [検索]をクリックします。
  9. サイズが 0 バイトで、"スタートアップ"で終わる名前のフォルダ内に含まれるファイルを削除します。

6. SharedAccess サービスを再有効化します(Windows 2000、XP のみ)
SharedAccess サービスは、インターネット接続共有、Windows ファイアウォールあるいは Windows のインターネット接続ファイアウォールの維持を担当しています。(これらのアプリケーションの存在や名前は、オペレーティングシステムやご利用のサービスパックによって異なります。)これらのプログラムのうちのいずれかを使用中の場合は、コンピュータを保護し、ネットワーク機能を維持するためにこのサービスを再有効化します。


Windows XP Service Pack 2
Windows XP with Service Pack 2 を実行しており、かつ Windows ファイアウォールを使用する場合、SharedAccess サービスが停止したときは、ご利用のファイアウォールのステータスが不明であることを示す警告バルーンを表示することで、オペレーティングシステムがユーザーに警告を発します。Windows ファイアウォールを再有効化するには、次の手順を実行します。
  1. [スタート][コントロールパネル]の順にクリックします。

  2. [セキュリティ センター]をダブルクリックします。

  3. [セキュリティの重要項目]で[ファイアウォール]が[有効]になっていることを確認します。

    注意: [セキュリティの重要項目]が[有効]に設定されている場合は、Windows の[ファイアウォール]が[有効]になっており、これらのステップを続ける必要はありません。

    [セキュリティの重要項目]で[ファイアウォール]が[有効]になっていない場合は、[推奨される対策案]ボタンをクリックします。

  4. [推奨される対策案]の下で、[今すぐ有効にする]をクリックします。 Windows のファイアウォールが有効になったことを示すウィンドウを表示します。

  5. [閉じる]をクリックし、[OK]をクリックします。

  6. [セキュリティセンター]を閉じます。


Windows 2000 or Windows XP Service Pack 1 or earlier
次の手順を実施して、SharedAccess サービスを再有効化します。
  1. [スタート]、[ファイル名を指定して実行]の順にクリックします。
  2. services.msc を入力します。

    その後、[OK] をクリックします。

  3. 次のいずれかを実施します。
    • Windows 2000: [名前]欄の下で、Internet Connection Sharing (ICS) サービスを探し出し、それをダブルクリックします。
    • Windows XP: [名前]欄の下で、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) サービスを探し出し、それをダブルクリックします。

  4. [スタートアップのタイプ:]の下で、ドロップダウンメニューから[自動]を選択します。

  5. [サービスの状態]の下の[開始]ボタンをクリックします。

  6. サービスが完了したら、[OK] をクリックします。

  7. [サービス]ウィンドウを閉じます。

記述: Douglas Knowles