「W32/MSBlaster」ワームに関する情報
最終更新日:2004年 2月25日
更新履歴
2003年 8月12日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)
注意!
現在、IPA/ISEC のネットワーク観測システムの状況によると、依然として当該アクセスは高いレベルで存在していることから、修正プログラムの適用のみを実施し、ワームの駆除を実施していないユーザが多数存在していると推測されます。
ワームに感染したままでは、他者に対しての攻撃が継続して行われ、インターネット上に攻撃パケットが溢れ、深刻な障害が起きる可能性があります。全ての Windows ユーザはコンピュータに異常な症状が見られない場合でも、以下のサイトにてウイルスチェックを実施して頂くようお願い致します。
ウイルスチェックサイト
- トレンドマイクロ(ウイルスバスターオンラインスキャン):
http://www.trendmicro.co.jp/hcall/scan.htm - シマンテック(ウイルススキャン):
http://www.symantec.com/region/jp/securitycheck/index.html
該当の OSが動作しているコンピュータを利用している不特定のインターネットユーザが、このワーム感染の被害に遭う可能性があります。
感染してしまったコンピュータについては、至急、ワームを駆除するとともに、修正プログラムを適用することによる再感染予防を徹底して下さい。
現在、感染していなくても、該当する OS が動作しているコンピュータについては、インターネットに接続する際には、MS03-026 該当の修正プログラムを適用することによって感染予防を行って下さい。
該当する OS が動作している 1台しかコンピュータがない場合、対策においてもインターネット接続することが要求されるため、対策手順に注意を要します。なぜならば、対策手順を行う際に、このワームに感染してしまう可能性があるからです。Windows XP における一連の手順については、下記文書をご覧下さい。
W32/MSBlaster(Blaster)ワームまたはW32/Welchia(Nachi)ワームに感染した場合の復旧方法について
(Windows XP用、Ver.1.4a)
(557 KB)
マイクロソフト社のサイトからも、情報提供されていますので、参照してください。
マイクロソフト社からの情報:
- Blaster に関する情報
http://www.microsoft.com/japan/technet/security/virus/
blaster.asp - Blaster ワームへの対策 - Windows XP 編
http://www.microsoft.com/japan/technet/security/virus/
blasterE_xp.asp - Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編
http://www.microsoft.com/japan/technet/security/virus/
blasterE_nt4w2k.asp
企業等のサイトにおいて、このワームの感染対象に該当しないコンピュータが別にある場合には、それらのコンピュータ(既に MS03-026 のセキュリティ脆弱性について修正プログラムを適用したコンピュータと、今回のワームが感染しない Windows Me 等の OS で動作するコンピュータ)を使って、修復ツールと修正プログラムをダウンロードして利用することができるでしょう。
概要
このワームは、TCP 135 番ポートを通じて、下記のセキュリティ脆弱性を攻略し、msblast.exe という名のファイルをダウンロードし、実行を試みます。
「RPCインターフェースのバッファオーバーランによりコードが実行される(MS03-026)」
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp
このワームが実行されると、下記のレジストリに msblast.exe を登録し、パソコン起動時にワームが実行されるように改変します。また、任意に感染対象のコンピュータを検索し、感染拡大を試みます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\windows auto update
さらに、感染したシステムの日付が 2003年 8月16日になると windowsupdate.com に対してサービス妨害攻撃をしかけます。
このワームが感染する可能性がある対象 OS
- Windows NT Server 4.0
- Windows NT Server 4.0,Terminal Server Edition
- Windows NT Workstation 4.0
- Windows 2000
- Windows XP
- Windows Server 2003
感染してしまったコンピュータからワームを駆除・修復する方法
感染してしまった場合は、Windows ディレクトリに作成されたプログラムファイル(msblast.exe)の削除とレジストリの修正が必要となります。
修復ツールによる方法:
無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法が有効です。各ベンダーが記述している 「使用上の注意」をよく読み、自己の責任において使用してください。
既に MS03-026 のセキュリティ脆弱性について修正プログラムを適用したコンピュータと、今回のワームが感染しない Windows Me 等の OS で動作するコンピュータを、これらの修復ツールをダウンロードするために使って、フロッピーディスクや USB メモリー等のメディアに保存して、感染してしまったコンピュータに運ぶことができます。
修復ツール提供サイト
- 日本ネットワークアソシエイツ:
http://www.nai.com/japan/security/stinger.asp - トレンドマイクロ:
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700 - シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/
w32.blaster.worm.removal.tool.html - ラック:
http://www.lac.co.jp/security/jsoc/tool/download/download.htm - 日本エフセキュア
http://www.f-secure.co.jp/v-descs/v-descs3/lovsan.htm - コンピュータアソシエイツ:
http://www.caj.co.jp/virusinfo/2003/win32_poza.htm - アンラボ:
http://japan.ahnlab.com/download/vdn_view.asp?num=19&pagecnt=1
手動による方法:
手動による修復方法は、下記のマイクロソフト社の情報、および下記ワクチンソフトウェアベンダーのサイトに掲載されています。
マイクロソフト社からの情報:
- Blaster に関する情報
http://www.microsoft.com/japan/technet/security/virus/blaster.asp - Blaster ワームへの対策 - Windows XP 編
http://www.microsoft.com/japan/technet/security/virus/blasterE_xp.asp - Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編
http://www.microsoft.com/japan/technet/security/virus/blasterE_nt4w2k.asp
手動による修復は、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。
参考情報
ワクチンソフトウェアベンダー提供の情報(日本語)
- シマンテック:(W32.Blaster.Worm)
http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.html - トレンドマイクロ:(WORM_MSBLAST.A)
http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_MSBLAST.A&VSect=T - 日本エフセキュア:(Lovsan)
http://www.f-secure.co.jp/v-descs/v-descs3/lovsan.htm - 日本ネットワークアソシエイツ:(W32/Lovsan.worm)
http://www.nai.com/japan/security/virL.asp?v=W32/Lovsan.worm - アンラボ:(Win32/Blaster.worm.6176)
http://japan.ahnlab.com/virusinfo/view.asp?seq=732 - アラジンジャパン:(Win32.Blaster)
http://www.aladdin.co.jp/esafe/virus/v_all/Win32_Blaster.html - ソフォス:(W32/Blaster-A)
http://www.sophos.co.jp/virusinfo/analyses/w32blastera.html - コンピュータアソシエイツ:(Win32.Poza)
http://www.caj.co.jp/virusinfo/2003/win32_poza.htm - イーフロンティア:(Worm.Blaster)
http://www.viruskiller.jp/news/new-virus/200308/20030811095800.htm
ウイルス対策のトップページはこちらをご覧ください。
更新履歴
| 2004年 2月25日 | 「W32/MSBlaster(Blaster)ワームまたはW32/Welchia(Nachi)ワームに感染した場合の復旧方法について(Windows XP用、Ver.1.3)」を更新。 |
| 2003年12月24日 | 「W32/MSBlaster(Blaster)ワームに感染した場合の復旧方法について(Windows XP用、Ver.2.4)」及び「W32/MSBlaster(Blaster)ワームまたはW32/Welchia(Nachi)ワームに感染した場合の復旧方法について(Windows XP用、Ver.1.2)」を更新。 |
| 2003年10月 6日 | 新種「W32/Welchia」ワームに関する情報を参考資料からリンク。 |
| 2003年 9月11日 | W32/MSBlaster(Blaster)ワームまたはW32/Welchi(Nachi)ワームに感染した場合の復旧方法について( Windows XP用 )を更新(Ver.1.1)。 |
| 2003年 9月 1日 | W32/MSBlaster(Blaster)ワームまたはW32/Welchi(Nachi)ワームに感染した場合の復旧方法について( Windows XP用 )を追加。 |
| 2003年 8月27日 | インターネット上のパケット観測図を更新。 |
| 2003年 8月26日 | インターネット上のパケット観測図を更新。 |
| 2003年 8月25日 | インターネット上のパケット観測図を更新。 |
| 2003年 8月22日 | ワクチンベンダーリンク先を追加、インターネット上のパケット観測図を更新、相談・届出件数を更新、「W32/MSBlaster(Blaster)ワームに感染した場合の復旧方法について(Windows XP用)」を更新(Ver.2.3)。 |
| 2003年 8月21日 | インターネット上のパケット観測図を更新、相談・届出件数を更新。 |
| 2003年 8月20日 | ウイルスチェックの必要性を追記。 インターネット上のパケット観測図を更新、相談・届出件数を更新。 |
| 2003年 8月19日 | インターネット上のパケット観測図を更新、相談・届出件数を更新、「W32/MSBlaster(Blaster)ワームに感染した場合の復旧方法について(Windows XP用)」を更新(Ver.2.1)。 |
| 2003年 8月18日 | インターネット上のパケット観測図を更新、相談・届出件数を更新、「W32/MSBlaster(Blaster)ワームに感染した場合の復旧方法について(Windows XP用) 」を更新。 |
| 2003年 8月17日 | インターネット上のパケット観測図を更新、相談・届出件数を更新。 |
| 2003年 8月16日 | インターネット上のパケット観測図を更新、相談・届出件数を更新。 |
| 2003年 8月15日 | インターネット上のパケット観測に基づく分析等を追記、Windows NT Workstation 4.0 を追加。 |
| 2003年 8月14日 | 概要を追記、相談・届出件数を更新。 |
| 2003年 8月13日 | 概要を追記、相談・届出件数を更新、リンクを追加。 |
| 2003年 8月12日 | 掲載。 |