1. Symantec/
  2. セキュリティレスポンス/
  3. W32.Mydoom@mm Removal Tool
  4. W32.Mydoom@mm Removal Tool
  • ブックマーク

W32.Mydoom@mm Removal Tool

発見日:
2004 年 1 月 26 日
更新日:
2007 年 2 月 13 日 11:35:44 AM
種別:
Removal Information


Symantec Security Response は、次の感染を駆除する駆除ツールを開発しました。


このツールが行うこと

W32.Mydoom@mm 駆除ツールは、次のことを行います。
  • W32.Mydoom@mm、Backdoor.Zincite.A、W32.Zindos.A、Backdoor.Nemog、Backdoor.Nemog.D のウイルスプロセスを終了させます。
  • Explorer.exe の下で実行されているウイルスのスレッドを終了させます。
  • W32.Mydoom@mm、Backdoor.Zincite.A、W32.Zindos.A、Backdoor.Nemog、Backdoor.Nemog.D のファイルを削除します。
  • 上記のすべてのリスクによってレジストリに追加されたキーを削除します。
  • これらのリスクによって変更されたキーを Microsoft Windows のデフォルト値へ戻します。
  • コンピューターが Backdoor.Nemog および Backdoor.Nemog.D に感染していた場合は、Hosts ファイルを修復します。


    注意: これらのキーは正規のプログラムによって追加される可能性があるため、このツールは次のキーは削除しません。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Explorer\ComDlg32\Version

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\ComDlg32\Version


    正規のプログラムが追加したものでないことが確実に分かっている場合は、それらを手動で削除してかまいません。しかし、それらをそのままにしておいても何ら害はありません。

このツールで利用可能なコマンドラインスイッチ


スイッチ

説明

/HELP, /H, /?

ヘルプメッセージを表示します。

/NOFIXREG

レジストリの復元を無効にします (このスイッチの使用は推奨されません)

/SILENT, /S

サイレントモードを有効にします。

/LOG=[パス名]

ログファイルを作成します。[パス名] は、ツールの出力を保存するロケーションです。デフォルトでは、このスイッチは、ログファイル FxMydoom.log をこの駆除ツールの実行元と同じフォルダ内に作成します。

/MAPPED

マップされたネットワークドライブをスキャンします (このスイッチの使用は推奨されません。以下の「注意」を参照してください)

/START

ツールがスキャンを即時に実行するように強制します。

/EXCLUDE=[パス]

指定された [パス] をスキャンから除外します。(このスイッチの使用は推奨されません。以下の「注意」を参照してください)

/NOFILESCAN

ファイルシステムのスキャンを防ぎます。


注意:
  • Symantec Security Response は、この駆除ツールを始めて実行するときは、/NOFIXREG スイッチを使用しないことを強くお薦めします。このスイッチを使用してこの駆除ツールを実行すると、このツールを再度実行することによってこのワームに関連付けられているレジストリキーを削除できなくなります。
  • /MAPPED スイッチを使用すると、リモートコンピューター上のウイルスを完全に駆除できる確証がなくなります。理由は次のとおりです。
    • マップされたドライブのスキャンは、マップされたフォルダのみをスキャンします。これにはリモートコンピューター上のすべてのフォルダが含まれない可能性があり、検出されなくなる可能性があります。
    • マップされたドライブ上でウイルスファイルが検出される場合、リモートコンピューター上のプログラムがこのファイルを使用すると、駆除は失敗します。

      そのため、このツールをすべてのコンピューター上で実行する必要があります。

  • /EXCLUDE スイッチは、1 つのパスでのみ機能し、複数のパスでは機能しません。このスイッチの代替方法としては、レジストリを変更することが可能な /NOFILESCAN スイッチがあります。その後、最新のウイルス定義を使用して AntiVirus によるコンピューターのスキャンを実行してください。これらのステップを実行することで、ファイルシステムをクリーンな状態に戻すことができます。

    次に、単一のドライブの除外に使用できるコマンドラインの例を示します。

    >"C:\Documents and Settings\user1\Desktop\FxMydoom.exe" /EXCLUDE=M:\ /LOG=c:\FxMydoom.txt

    不等号 (>) の部分はパスに含まれません。


    次のコマンドラインでは、ファイルシステムのスキャンはスキップしますが、レジストリの改変は修復します。その後、妥当な除外を用いてシステムの通常のスキャンを実行します。

    > "C:\Documents and Settings\user1\Desktop\FxMydoom.exe" /NOFILESCAN /LOG=c:\FxMydoom.txt


    ログファイルの名前は、任意に指定することが可能です。上記に記載のファイル名は、この例の説明目的で使用されているだけです。


ツールの入手と実行


注意: Windows 2000 または Windows XP 上でこのツールを実行するには、管理者権限を持っている必要があります。

警告: ネットワーク管理者へ:MS Exchange 2000 Server を実行している場合は、コマンドラインから Exclude スイッチを使用してツールを実行することによって、M ドライブをスキャンから除外することを推奨します。詳細にいては、マイクロソフト サポート技術情報 - 298924 "Exchange 2000 のドライブ M をバックアップまたはスキャンを行うと問題が発生する" をご参照ください。
  1. 下記のサイトから、FxMydoom.exe ファイルをダウンロードします。 http://securityresponse.symantec.com/avcenter/FxMydoom.exe.
  2. このファイルを Windows デスクトップのダウンロードフォルダなどの便利な場所に (または、感染していないことが分かっているリムーバブルメディアに) 保存します。
  3. デジタル署名の正当性をチェックするには、この文書で後述する「デジタル署名」のセクションを参照してください。
  4. このツールを実行する前に、実行中のすべてのプログラムを閉じます。
  5. ネットワーク上にある場合、またはインターネットへの常時接続を行っている場合は、コンピューターをネットワークおよびインターネットから接続切断してください。
  6. Windows Me または XP を実行している場合は、システムの復元オプションを無効にしてください。詳細については、後述の「システムの復元オプション (Windows Me/XP)」を参照してください。

    注意: Windows Me/XP を実行している場合は、このステップを省略しないことを強くお薦めします。

  7. FxMydoom.exe ファイルをダブルクリックして、駆除ツールを起動します。
  8. [スタート] をクリックしてプロセスを開始し、ツールを実行させておきます。
  9. コンピュータを再起動します。
  10. システムから感染を除去したことを確認するために、駆除ツールを再度実行します。
  11. Windows Me/XP をご使用の場合は、この時点でシステム復元機能をオンに戻します。
  12. Active Desktop を使用している場合は、それを復元する必要があります。
  13. LiveUpdate を実行して、最新のウイルス定義を使用していることを確認してください。

    注意:
  • たとえば W32.Mydoom.M@mm と W32.Zindos.A の両方に感染しているなどの状況によっては、感染したコンピューターの実行が遅くなる可能性があります。このような場合には、このツールをセーフモードで実行することをお薦めします。コンピューターをセーフモードで再起動するには、ドキュメント " コンピュータをセーフモードで起動する方法" を参照してください。
  • Windows では外部プログラムがシステムの復元を変更することを防ぐようになっているため、Windows Me/XP のシステムの復元オプションが無効になっていない場合、この駆除手順が成功しない可能性があります。


    ツールの実行が終了すると、ご使用のコンピュータが W32.Mydoom@mm に感染していたかどうかを示すメッセージが表示されます。ワームの駆除の場合は、プログラムにより次の結果が表示されます。
  • Total number of scanned files (スキャンしたファイルの合計数)
  • Number of deleted files (削除したファイルの数)
  • Number of repaired files (修復したファイルの数)
  • Number of terminated viral processes (終了させたウイルスプロセスの数)
  • Number of fixed registry entries (修復したレジストリエントリの数)


デジタル署名

セキュリティ保護のために、この駆除ツールにはデジタル署名が用いられています。シマンテックでは、ユーザーが Symantec Security Response の Web サイトから直接ダウンロードした駆除ツールのコピーのみを使用することを推奨します。


これが確実でない場合、またはネットワーク管理者で導入前にファイルを認証する必要がある場合は、デジタル署名の正当性をチェックする必要があります。

以下の手順を実行してください。
  1. http://www.wmsoftware.com/free.htm へアクセスします。

  2. Chktrust.exe ファイルをダウンロードして、駆除ツールと同じフォルダ内に保存します。


    注意: 次のステップのほとんどは、コマンドプロンプトで行います。駆除ツールを Windows のデスクトップへダウンロードすると、最初に C ドライブのルートへツールを移動する場合に、より容易に行えます。その場合、Chktrust.exe ファイルも C のルートへ保存します。

    (ステップ 3 では、駆除ツールと Chktrust.exe の両方が C ドライブのルートにあるものと想定します。)

  3. [スタート] - [ファイル名を指定して実行] をクリックします。

  4. 次のいずれかを入力します。

    • Windows 95/98/Me:

      command

    • Windows NT/2000/XP:

      cmd

  5. [OK] をクリックします。

  6. command ウィンドウで、次のように入力し、各行の入力後に [Enter] を押します。

    cd\
    cd downloads
    chktrust -i FxMydoom.exe


  7. ご使用のオペレーティングシステムによって、次のいずれかのメッセージが表示されます。
    • Windows XP SP2:
      Trust Validation Utility ウィンドウが表示されます。

      発行元の下の Symantec Corporation のリンクをクリックしてください。デジタル署名の詳細が表示されます。
      このツールが本物であることを確認するには、次のフィールドのコンテンツを照合してください。

      名前:Symantec Corporation
      署名時刻: 2005 年 5 月 27 日 08:25:36 AM
    • 上記以外のオペレーティングシステム:
      次のメッセージが表示されます。

      "W32.Mydoom 駆除ツール" は、 2005 年 5 月 27 日 08:25:36 AM に署名されて Symantec Corporation から配布されています。インストールして実行しますか ?


      注意:
    • 上記のデジタル署名内の日時は、太平洋標準時刻に基づいています。これらは、ご使用のコンピューターのタイムゾーンおよび地域オプションの設定に調節されます。
    • サマータイムを使用している場合は、表示される時刻は 1 時間ちょうど早くなります。
    • このダイアログボックスが表示されない場合は、2 つの理由が考えられます。
      • ツールがシマンテックからのものではない場合:ツールが正当なものであり、シマンテックの正当な Web サイトからダウンロードしたことが確実でない限り、そのツールを実行すべきではありません。
      • ツールがシマンテックからのものであり正当である場合:しかし、ご使用のオペレーティングシステムは、シマンテックからの内容を常に信用するように以前に指定されています。これについての情報、および確認ダイアログを再度表示する方法については、ドキュメント " How to restore the Publisher Authenticity confirmation dialog box (英語)" を参照してください。

  8. [Yes (はい)] または [Run (実行)] をクリックして、ダイアログボックスを閉じます。

  9. exit と入力し、[Enter] を押します。(これにより、MS-DOS セッションが終了します)



システムの復元オプション (Windows Me/XP)

Windows Me および XP ユーザーは、システムの復元オプションを一時的にオフにする必要があります。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。



システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。
追加の情報、および Windows Me のシステム復元オプションを無効にするための別の方法については、"Microsoft Knowledge Base article : _RESTORE フォルダにウィルスが発見された場合の対応方法について (Q263455)"" を参照してください。


危険性の評価
スパムレポート
2016 年インターネットセキュリティ脅威レポート第 21 号
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube