1. Symantec/
  2. セキュリティレスポンス/
  3. W32.Blaster.Worm Removal Tool
  4. W32.Blaster.Worm Removal Tool
  • ブックマーク

W32.Blaster.Worm Removal Tool

発見日:
2003 年 8 月 11 日
更新日:
2007 年 2 月 13 日 11:35:25 AM
種別:
Removal Information


W32.Blaster.Worm 駆除ツールのバージョン 1.0.6.1 は、次の脅威およびそれらの副次的な悪影響を駆除します。
W32.Blaster.Worm
W32.Blaster.B.Worm
W32.Blaster.C.Worm
W32.Blaster.D.Worm
W32.Blaster.E.Worm
W32.Blaster.F.Worm


重要な注意:
  • W32.Blaster.Worm は、DCOM RPC における脆弱性を悪用します。これは、Microsoft セキュリティ情報 MS03-026 に記述されており、ここからパッチを入手することができます。このパッチをダウンロードしてインストールする必要があります。多くの場合、駆除手順を続ける前に、これを行う必要があります。次の手順を使用しても感染を駆除できない場合や再感染を防げない場合は、まずこのパッチをダウンロードしてインストールしてください。
  • 詳細について、および Microsoft のパッチを入手可能な別のサイトとしては、Microsoft 社の文書 "What You Should Know About the Blaster Worm and Its Variants (英語)" を参照してください。
  • このワームの動作により、ワームがコンピューターをシャットダウンする前に、パッチ、定義や駆除ツールを入手するためにインターネットへ接続するのが困難である場合があります。Windows XP を実行している場合は、Windows XP ファイアウォールを有効化すると、パッチのダウンロードおよびインストール、ウイルス定義の入手や駆除ツールの実行ができるようになる可能性があると報告されています。確認はしていませんが、これは他のファイアウォールでも機能する可能性があります。


このツールが行うこと

W32.Blaster.Worm 駆除ツールは、次のことを行います。
  1. W32.Blaster.Worm ウイルスのプロセスを終了させます。
  2. W32.Blaster.Worm ファイルを削除します。
  3. 投下されたファイルを削除します。
  4. 追加されたレジストリ値を削除します。


このツールで使用可能なコマンドラインのスイッチ

スイッチ

説明

/HELP, /H, /?

ヘルプメッセージを表示します

/NOFIXREG

レジストリの修復を無効にします。 (このスイッチの使用は推奨されません。)

/SILENT, /S

サイレントモードを有効にします。

/LOG=[パス名]

ログファイルを作成します。[パス名] は、ツールの出力を保存するロケーションです。デフォルトでは、このスイッチは、ログファイル FixBlast.log をこの駆除ツールの実行元と同じフォルダ内に作成します。

/MAPPED

マップされたネットワークドライブをスキャンします (このスイッチの使用は推奨されません。次の「注意」を参照してください。)

/START

ツールがスキャンを即時に実行するように強制します

/EXCLUDE=[パス]

指定された [パス] をスキャンから除外します (このスイッチの使用は推奨されません。)


注意: /MAPPED スイッチを使用すると、リモートコンピューター上のウイルスを完全に駆除できる確証がなくなります。理由は次のとおりです。
  • マップされたドライブのスキャンでは、マップされたフォルダのみをスキャンします。これにはリモートコンピューター上のすべてのフォルダが含まれない可能性があり、検出されなくなる可能性があります。
  • マップされたドライブ上でウイルスファイルが検出される場合、リモートコンピューター上のプログラムがこのファイルを使用すると、駆除は失敗します。

    そのため、このツールをすべてのコンピューター上で実行する必要があります。

インターネットの接続を回復し、コンピューターがシャットダウンされるのを防ぐ

多くの場合、Windows 2000 と XP の両方で、Remote Call Procedure (RPC) サービスの設定を変更すると、ダウンロードのためにインターネットへ接続し、コンピューターがシャットダウンされるのを止めることができるようになる可能性があります。
  1. [スタート] > [ファイル名を指定して実行] をクリックします。([ファイル名を指定して実行] ダイアログボックスが表示されます。)
  2. オープンになっている行に次のように入力します。

    SERVICES.MSC /S

    その後 [OK] をクリックします。([サービス] ウィンドウが開きます。)
  3. 画面右側で、Remote Procedure Call (RPC) サービスを特定します。

    警告: Remote Procedure Call (RPC) Locator という名前のサービスも存在します。この 2 つを混同しないようにしてください。
  4. Remote Procedure Call (RPC) サービスを右クリックして、[プロパティ] をクリックします。
  5. [回復] タブをクリックします。
  6. ドロップダウンリストを使用して、[最初のエラー (First failure)]、[次のエラー (Second failure)]、および [その後のエラー (Subsequent failures)] を "サービスの再開 (Restart the Service)" へ変更します。
  7. [適用] をクリックし、その後 [OK] をクリックします。


    警告: ワームの駆除後は、これらの設定を必ず元へ戻してください。

ツールの入手と実行


注意: Windows 2000 または Windows XP 上でこのツールを実行するには、管理者権限を持っている必要があります。


警告: ネットワーク管理者: MS Exchange 2000 Server を実行している場合は、コマンドラインから Exclude スイッチを使用してツールを実行することによって、M ドライブをスキャンから除外することを推奨します。 詳細につきましては、マイクロソフト サポート技術情報 - 298924 "[XADM] Exchange 2000 のドライブ M をバックアップまたはスキャンを行うと問題が発生する" をご参照ください。

  1. 次のサイトから FixBlast.exe ファイルをダウンロードします。

    http://securityresponse.symantec.com/avcenter/FixBlast.exe
  2. このファイルを Windows デスクトップのダウンロードフォルダなどの便利な場所に (または、可能であれば、感染していないことが分かっているリムーバブルメディアに) 保存します。
  3. デジタル署名の正当性をチェックするには、この文書で後述する「デジタル署名」のセクションを参照してください。
  4. このツールを実行する前に、実行中のすべてのプログラムを閉じます。
  5. Windows XP を実行している場合は、システムの復元オプションを無効にします。詳細については、「システムの復元オプション (Windows Me/XP)」を参照してください。

    警告: Windows XP を実行している場合は、このステップを省略しないことを強くお薦めします。Windows では外部プログラムがシステムの復元を変更することを防ぐようになっているため、Windows XP のシステムの復元オプションが無効になっていない場合、この駆除手順が成功しない可能性があります。
  6. FixBlast.exe ファイルをダブルクリックして、駆除ツールを起動します。
  7. [スタート] をクリックしてプロセスを開始し、ツールを実行させておきます。

    注意: ツールの実行時に、このツールで 1 つまたは複数のファイルを駆除できなかったというメッセージが表示された場合は、このツールをセーフモードで実行してください。コンピュータをシャットダウンして電源を落とし、30 秒間待ちます。コンピューターをセーフモードで再起動し、その後このツールを再度実行してください。Windows 32 ビットオペレーティングシステム (Windows NT を除く)では、セーフモードで再起動が行えます。コンピュータをセーフモードで再起動する方法については、" コンピュータをセーフモードで起動する方法" をご覧ください。
  8. コンピュータを再起動します。
  9. システムから感染を除去したことを確認するために、駆除ツールを再度実行します。
  10. Windows XP をご使用の場合は、この時点でシステム復元機能をオンに戻します。
  11. LiveUpdate を実行して、最新のウイルス定義を使用していることを確認してください。

ツールの実行が終了すると、ご使用のコンピュータが W32.Blaster.Worm に感染していたかどうかを示すメッセージが表示されます。ワームの駆除の場合は、プログラムにより次の結果が表示されます。
  • Total number of the scanned files (スキャンしたファイルの数)
  • Number of deleted files (削除したファイルの数)
  • Number of terminated viral processes (終了させたウイルスプロセスの数)
  • Number of fixed registry entries (修復したレジストリエントリの数)


デジタル署名

FixBlast.exe はデジタル署名されています。シマンテックでは、ユーザーが Symantec Security Response の Web サイトから直接ダウンロードした FixBlast.exe のコピーのみを使用することを推奨します。デジタル署名の正当性をチェックするには、次のステップを行ってください。
  1. http://www.wmsoftware.com/free.htm へアクセスします。
  2. Chktrust.exe ファイルをダウンロードして、FixBlast.exe を保存したフォルダとと同じフォルダ内に保存します (例: C:\Downloads)。
  3. ご使用のオペレーティングシステムによって、次のいずれかを行います。
    • [スタート] をクリックし、[プログラム] をポイントして [MS-DOS プロンプト] をクリックします。
    • [スタート] をクリックし、[プログラム] をポイントして [アクセサリ] をクリックし、次に [コマンドプロンプト] をクリックします。
  4. FixBlast.exe および Chktrust.exe が保存されているフォルダへ移動し、次のように入力します。

    chktrust -i FixBlast.exe

    例えば、ファイルを C:\Downloads フォルダへ保存している場合は、次のコマンドを入力します。

    cd\
    cd downloads
    chktrust -i FixBlast.exe


    各コマンドの入力後に、[Enter] キーを押します。デジタル署名が有効である場合は、次のメッセージが表示されます。

    "W32.Blaster.Worm 駆除ツール" は、2003 年 9 月 1 日 3:17 PM に署名されて Symantec Corporation から配布されています。インストールして実行しますか ?

    注意:
    • ご使用のコンピューターが太平洋時間帯に設定されていない場合は、このダイアログボックスに表示される日付と時刻はユーザーのタイムゾーンに調節されます。
    • サマータイムを使用している場合は、表示される時刻は 1 時間ちょうど早くなります。
    • このダイアログボックスが表示されない場合は、2 つの理由が考えられます。
      • ツールがシマンテックからのものではない場合: ツールが正当なものであり、シマンテックの正当な Web サイトからダウンロードしたことが確実でない限り、そのツールを実行しないでください。
      • このツールは Symantec からのものであり正当なものですが、ご使用のオペレーティングシステムは以前に Symantec からのコンテンツを常に信用するように指示されています。For information on this and on これに関する情報、および確認ダイアログを再度表示させる方法については、"How to restore the Publisher Authenticity confirmation dialog box (英語)" を参照してください。
  5. [はい] をクリックして、ダイアログボックスを閉じます。
  6. Exit と入力し、[Enter] を押します。これにより、MS-DOS セッションが終了します。


システムの復元オプション (Windows XP)

Windows XP ユーザーは、システムの復元オプションを一時的にオフにする必要があります。システムの復元機能は、Windows XP の機能の一つで、標準では有効に設定されています。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、場合によっては、アンチウイルスプログラムでユーザーのコンピューターをスキャンして感染ファイルが何も見付からなかった場合であっても、オンラインスキャナーが System Restore フォルダ内で脅威を検出することもあります。

システムの復元機能を無効にする方法については、ご使用の Windows 社の文書、または文書 "Windows XP のシステムの復元機能を有効/無効にする方法" を参照してください。


フロッピーディスクからツールを実行するには
  1. FixBlast.exe ファイルを含むフロッピーディスクを、フロッピーディスクドライブへ挿入します。
  2. [スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。
  3. 次のように入力します。

    a:\FixBlast.exe

    その後、[OK] をクリックします。

    注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。
  4. [スタート] をクリックしてプロセスを開始し、ツールを実行させておきます。
  5. Windows Me を使用している場合は、この時点でシステム復元機能をオンに戻します。

危険性の評価
スパムレポート
2016 年インターネットセキュリティ脅威レポート第 21 号
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube