Blaster に関する情報

  • [アーティクル]

公開日: 2003年8月12日 | 最終更新日: 2004年4月15日

更新履歴

トピック

はじめに
本ワームの感染が行われてしまう条件
影響を受ける恐れのある製品
本ワームへの対策
対策による影響
回避策

イラストを交えた対策説明ページはこちらです
亜種によりネットワークが遅くなる Windows XP 編 Windows 2000/Windows NT 4.0 編 本情報は、FAX BOX でも入手していただくことが可能です。入手方法は、こちらをご覧ください。
Windows Update で時間がかかる場合には、こちらからダウンロードしてください
以下は Blaster ワームの対策に、最低限必要なプログラムです。インストール方法は上記の対策説明ページをご覧ください。これらのプログラムのインストール後は Windows Update で最新のセキュリティ修正プログラムをインストールしてください。


Blaster ワーム駆除ツール
この駆除ツールは上記のセキュリティ修正プログラムをインストールしたあとで Blaster ワームを駆除することが出来ます。詳細はサポート技術情報 833330 をご覧下さい。 注意 : 2005 年 2 月 8 日、マイクロソフトは Blaster ワーム駆除ツールを Microsoft Windows 悪意のあるソフトウェアの削除ツールに置き換えました。 悪意のあるソフトウェアの削除ツールの関連情報を参照するには、こちらをクリックしてください。
Blaster ワームの亜種に関しては、次のページをご覧ください。 Blaster ワームの亜種にご注意ください

はじめに

日本時間 2003 年 8 月 12 日 午前 2 時頃より Blaster ワームと呼ばれる Windows を対象としたウイルス感染による被害が発生しました。弊社では、このワームによる影響からお客様の環境を守るため、情報を公開いたします。(別名に WORM_MSBLAST.A, W32.Blaster.Worm, W32/Lovsan.worm 等があります)

本ワームは Windows OS に対して、TCP135 ポート (Microsoft RPC) に対して MS03-026 の脆弱性を悪用した攻撃データを送信します。 MS03-026 の脆弱性の対策が行われていない Windows OS は、攻撃を受け "感染" し、自らが攻撃者となり他のシステムに対して "感染" 活動を開始します。

本ワームは、"感染" 活動を行うことが目的であり、 Windows OS の書き換えやデータの破壊は確認されていません。しかしながら、感染活動により、Windows OS の一部が異常終了または再起動することがあります。また、攻撃のためのデータによりネットワークの帯域を消費し、結果的にネットワーク全体のスループットが低下する恐れがあります。

弊社 STPP パートナーであるウイルス対策ソフトウェアベンダー各社からも、本ワームに関する情報が公開されておりますので併せてご参照ください。

ページのトップへ

本ワームの感染が行われてしまう条件

ページのトップへ

影響を受ける恐れのある製品

  • Microsoft Windows NT:

    • Microsoft Windows NT Workstation 4.0

    • Microsoft Windows NT Server 4.0

    • Microsoft Windows NT Server, Enterprise Edition 4.0

    • Microsoft Windows NT Server 4.0, Terminal Server Edition

  • Microsoft Windows 2000:

    • Microsoft Windows 2000 Professional

    • Microsoft Windows 2000 Server

    • Microsoft Windows 2000 Advanced Server

    • Microsoft Windows 2000 Datacenter Edition

    • Microsoft Windows 2000 Powered

  • Microsoft Windows XP:

  • Microsoft Windows Server 2003:

    • Microsoft Windows Server 2003 Standard Edition

    • Microsoft Windows Server 2003 Enterprise Edition

    • Microsoft Windows Server 2003 Datacenter Edition

    • Microsoft Windows Server 2003 Web Edition

影響を受けない製品

  • Microsoft Windows 98

  • Microsoft Windows 98 Second Edition (SE)

  • Microsoft Windows Millennium Edition (Me)

ページのトップへ

本ワームへの対策

本ワームの対策には、Windows の修正プログラム MS03-026 を適用する必要があります。すでに感染されている場合は、対策後に、別途駆除の作業が必要となります。

以下の手順では、MS03-026 の修正プログラムの適用方法について解説しています。

Step 0: Windows が突然再起動してしまう場合の対処
ワームの影響により、Windows が再起動する場合があります。再起動を繰り返してしまうお客様は、まず、本ページを保存してください。Internet Explorer をお使いの場合は、以下の手順で保存できます
  1. [ファイル] - [名前をつけて保存]
  2. "web ページの保存" が開きます。
  3. 保存する場所を、 「デスクトップ」 を選択します。
  4. [保存] ボタンをクリックします。

保存が終わりましたら、パソコンを以下の手順でネットワークから切断します。
  1. サーバー本体から、LAN ケーブル、電話線 や 無線 LAN のアダプタ(カード)をはずします。
    ADSL, CATV 等のブロードバンドルーターやモデムの電源も合わせて切ってください。
  2. 本体から、ネットワークにつながっていないことを確認します。
注意 : 一部 ADSL, CATVのモデムは、電話の機能を持っている場合があります。 その場合は、電源を切っている間モデムを経由した通話が行えない可能性があります。 再起動後は、ネットワークに繋がずに、デスクトップに保存した、本ページを参照しながら作業を進めてください。
Step 1: 影響を受ける Windows か確認する
コマンドによる確認方法 ver コマンドを実行するとWindows の種類ごとに 以下のような結果が表示されます。Service Pack の適用状況などにより Version の下四桁は変化することがあります。
Step 2: 対策中の攻撃を予防します
Windows XP または Windows Server 2003 「回避策 2: インターネット接続ファイアウォールを使用する」を実施します。 Windows NT または Windows 2000 「回避策 5: DCOM を無効にする」を実施します。
Step 3: Blaster ワームの感染の確認
  1. Ctrl + Alt + Delete キーを同時に押し、Windows のセキュリティを開きます。
  2. [タスクマネージャ] をクリックします。
  3. [プロセス] タブをクリックします。
  4. 一覧からの上部にある [イメージ名] ボタンをクリックし、アルファベット順の表示にします。
  5. "msblast.exe" を探します。存在する場合は、ワームに感染しています。 Step 4 に進み、駆除を行ってください。
    存在しない場合は、Step 5 に進み、感染しないための対策を行います。
  6. タスクマネージャを終了します。
Step 4: Blaster ワームの駆除
Blaster ワームの駆除には、「はじめに」に記載しているパートナー企業が提供している駆除ツールを利用することも出来ます。以下は、手動による駆除の手順です。 現段階では、まだネットワークに接続しないでください。 ワームの実行を停止します。
  1. Ctrl + Alt + Delete キーを同時に押し、Windows のセキュリティを開きます。
  2. [タスクマネージャ] をクリックします。
  3. [プロセス] タブをクリックします。
  4. 一覧からの上部にある [イメージ名] ボタンをクリックし、アルファベット順の表示にします。
  5. "msblast.exe" を選択します。
  6. [プロセスの終了] をクリックします。
  7. "タスクマネージャの警告"が表示されます。 [OK] ボタンをクリックしてウインドウを閉じます。
  8. タスクマネージャを終了します。
ワームを削除する
  1. [スタート] - [ファイル名を指定して実行] を開きます。
  2. 名前に cmd を入力します。
  3. [OK] ボタンをクリックします。
  4. cmd.exe (コマンド プロンプト) が開きます。
  5. 以下のコマンドを入力し、ENTER または RETURN キーを押し、実行します。 
    cd %windir%\system32
  6. 以下のコマンドを入力し、ENTER または RETURN キーを押し、実行します。この操作により、ワームが削除されますが、実行前に入力に間違いが無いか十分に確認をお願いします。 
    del /f MSBLAST.EXE
  7. ワームが存在しなかった場合にコマンド実行後に次のメッセージが表示される場合があります。 この場合は、コンピューター上にワームが存在しないことを意味します。 
    MSBLAST.EXE が見つかりませんでした。
  8. cmd.exe (コマンド プロンプト) を閉じます。
レジストリを削除する
  1. [スタート] - [ファイル名を指定して実行]を開きます。
  2. 名前に regedit を入力します。
  3. [OK] ボタンをクリックします。
  4. レジストリ エディタ が開きます。
  5. 以下のレジストリキーを開きます。 
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  6. 右側の一覧から "windows auto update" の項目を選択します。
  7. 右クリックのメニューを表示し、[削除] をクリックします。
  8. "値の削除の確認"が表示されます。
  9. [はい] をクリックします。
  10. レジストリ エディタ を閉じます。
Step 9 で説明するセキュリティ修正プログラムがすでにインストールされている場合は、Blaster ワーム駆除ツールを使うことで駆除することが出来ます。 注意 : 2005 年 2 月 8 日、マイクロソフトは Blaster ワーム駆除ツールを Microsoft Windows 悪意のあるソフトウェアの削除ツールに置き換えました。 悪意のあるソフトウェアの削除ツールの関連情報を参照するには、こちらをクリックしてください。
Step 5: ネットワークの回復
Step 0 ではずした、LAN ケーブル、電話線 や 無線 LAN のアダプタ(カード)を元に戻します。また、ADSL, CATV 等のブロードバンドルーターやモデムの電源も合わせて入れます。
Step 6: 影響の有無を確認する
ツールによる確認方法 KB 824146 Scanning Tool による確認方法 マイクロソフトは、Blaster ワームの影響を受ける可能性のある Windows を検知する KB 824146 Scanning Tool というツールをリリースしました。 注意 : 本ツールは、英語版のみですが、日本語環境でもご使用いただけます。ただし、入力ファイル、出力ファイル、ログ ファイル、およびホスト コンピュータのパスには、2 バイト文字セット (DBCS) の文字は使用できません。 このツールは次のページから無償で入手できます。
KB 824146 Scanning Tool このユーティリティは、Windows NT 4.0、Windows 2000、Windows XP および Windows Server 2003 を検索し、Blaster ワームの影響を受ける可能性のある Windows を検知します。 KB 824146 Scanning Tool は個々のコンピュータ、Windows ドメインまたは特定の IP アドレスの範囲をスキャンします。 KB 824146 Scanning Tool を実行すると以下のような結果が表示されます。結果に patched with KB824146 と表示された場合は対策済みです。Blaster ワームによる影響はありません。 結果に unpatched と表示された場合、影響を受ける恐れがあります。 KB 827363 Scanning Tool の使用方法や、出力例などは、下記のサポート技術情報をご確認ください。 827363 KB 824146 Scanning Tool を使用して、セキュリティ修正プログラム 823980 (MS03-026) および 824146 (MS03-039) がインストールされていないホスト コンピュータを特定する方法 (827363) 手動による確認 Windows NT 4.0
  1. [スタート] - [コントロールパネル] - [アプリケーションの追加と削除]をクリックします。 ”アプリケーションの追加と削除のプロパティ”が表示されます。
  2. [インストールと削除] タブを選択
  3. プロパティ内のリストボックス内に以下の項目がある場合は、対策済みです。 Windows NT 4.0 Hotfix [See Q823980 for more information]
    または、
    Windows NT 4.0 Hotfix [See Q824146 for more information]
  4. 見つからない場合は、対策が必要です。 Step 7 に進んでください。

Windows 2000
  1. [スタート] - [コントロールパネル] - [アプリケーションの追加と削除] をクリックします。 ”アプリケーションの追加と削除のプロパティ”が表示されます。
  2. [プログラムの変更と削除] をクリックします。
  3. 「現在インストールされているプログラム」の一覧に以下の項目がある場合は、対策済みです。 Windows 2000 ホットフィックス - KB823980
    または、
    Windows 2000 ホットフィックス - KB824146
  4. 見つからない場合は、対策が必要です。 Step 7 に進んでください。

Windows XP
  1. [スタート] - [コントロールパネル] - [プログラムの追加と削除] をクリックします。 ”アプリケーションの追加と削除のプロパティ”が表示されます。
  2. [プログラムの変更と削除] をクリックします。
  3. 「現在インストールされているプログラム」の一覧に以下の項目がある場合は、対策済みです。 Windows XP ホットフィクス - KB823980
    または、
    Windows XP ホットフィクス - KB824146
  4. 見つからない場合は、対策が必要です。 Step 8 に進んでください。

Windows Server 2003
  1. [スタート] - [コントロールパネル] - [プログラムの追加と削除] をクリックします。 ”アプリケーションの追加と削除のプロパティ”が表示されます。
  2. [プログラムの変更と削除] をクリックします。
  3. 「現在インストールされているプログラム」の一覧に以下の項目がある場合は、対策済みです。 Windows Server 2003 ホットフィックス - サポート技術情報 (KB) 823980
    または、
    Windows Server 2003 ホットフィックス - サポート技術情報 (KB) 824146
  4. 見つからない場合は、対策が必要です。 Step 8 に進んでください。

Step 7: サービスパックの確認
Windows NT と Windows 2000 をお使いの場合は、修正プログラムを適用する前に Service Pack を適用する必要があります。現在適用している Service Pack は、以下の手順で確認できます。 Windows NT 4.0
  1. [スタート] メニューから、[プログラム] - [Windows NT エクスプローラ] をクリックします。
  2. メニューから [ヘルプ] - [バージョン情報] をクリックします。
  3. 「Version 4.0」という表示の右側を確認します。Service Pack の記述が無い場合は、Service Pack が適用されていません。
Windows NT をお使いの場合は、Service Pack 6a を適用する必要があります。Service Pack 6a は、以下から入手可能です。
Service Pack の適用前に、リリースノート および、FAQ をお読みください。 Windows 2000
  1. デスクトップ上の「マイコンピュータ」を選択し、右クリックします。
  2. [プロパティ] をクリックします。
  3. [全般] タブをクリックします。
  4. 「システム:」の欄の記載を確認します。Service Pack の記述が無い場合は、Service Pack が適用されていません。

Windows 2000 をお使いの場合は、Serverce Pack 2、Service Pack 3 または 4 を適用する必要があります。Service Pack は、以下から入手可能です。できる限り最新の Service Pack を適用することをお勧めします。

Service Pack の適用前に、各 Service Pack のページに記載の「詳細情報」をお読みください。
Step 8: セキュリティ修正プログラムの入手
MS03-026 を適用することで本ワームの感染を防ぐことができます。以下の手順で入手することができます。 MS03-026 の修正を含む MS03-039 が公開されました。
可能な限り、 MS03-026 の修正を含む MS03-039 の適用をお勧めいたします。 しかしながら、亜種の中に MS03-007 を併用する複合型のワームが発見されました。 そのため、あわせて MS03-007 の修正プログラムが適用されていることを確認してください。Windows 2000 のお客様は MS03-013 の適用でも防ぐことが可能です。(Windows 2000 用の MS03-013 の修正プログラムには、MS03-007 の修正内容が含まれています。)
  1. MS03-026 または MS03-039 に接続します。
  2. お使いの Windows の修正プログラムをダウンロードします。 ここでは、例としてデスクトップにファイルを保存します。
MS03-007, MS03-013 については、以下のサイトより MS03-026 と同様にダウンロードします。

Step 9: 対策
再度感染しないために、セキュリティ修正プログラムを以下手順で適用します。 Windows NT 4.0
  1. Step 8 で入手したセキュリティ修正プログラムをダブルクリックします。
  2. 自動的にファイルの展開と適用が開始されますので、"Windows NT Hotfix セットアップ"が表示されるまで待ちください。
  3. "Windows NT Hotfix セットアップ" ダイアログに以下のメッセージが表示されます。 Windows NT 4.0 は、正常に更新されました。 フロッピー ディスク ドライブからディスクを取り出し、[OK] をクリックしてコンピューターを再起動してください。 システムのコンポーネントを変更または追加する場合は、もう一度 hotfix をインストールしてください。
  4. [OK] をクリックし、システムを再起動してください。

注意 : 再起動しませんと修正プログラムの適用が終了しません。再起動前は、本ワームの影響を受ける状態ですので、必ず再起動をお願いします。 Windows XP/Windows 2000/Windows Server 2003
  1. Step 8 で入手したセキュリティ修正プログラムをダブルクリックします。
  2. 「KB23980 のセットアップウィザード」 が表示されますので、[次へ] をクリックします。
  3. 使用許諾契約が表示されます。 内容をご確認の上、[同意します] を選択し、 [次へ] をクリックします。 同意いただけない場合は、本守勢プログラムを適用することはできません
  4. インストールが開始されますので、しばらくお待ちください。 環境により時間がかかる場合があります。
  5. セットアップウィザードの完了が表示されます。 [完了] をクリックし、システムを再起動してください。

注意 : 再起動しませんと修正プログラムの適用が終了しません。再起動前は、本ワームの影響を受ける状態ですので、必ず再起動をお願いします。
Step 10: ネットワークの回復とシステムの開始
Step 2 で実施した回避策を元に戻します。 注意 : ご家庭等で LAN を構築されている方(複数台をネットワークで接続している方) は、全てのコンピュータの対策が完了してから、インターネットに接続してください。

ページのトップへ

対策による影響

本体策による特別な影響はございません

回避策を実施することによる影響については、各回避策の欄をご覧ください。

ページのトップへ

回避策

以下の回避策は、全て実施する必要はありません。 環境や使用している機能に合わせてもっとも適切な回避策を選択してください。

回避策 1: ポートをブロックする
ファイアウォールまたは境界ルーター等で以下のポートを使用した通信を遮断、外部からの感染を防止します。 ポートの通信を遮断する場合は、外から内 (In-bound) と 内から外 (Out-bound) の両方を遮断してください。 Out-bound を閉じることで、社内から本ワームの活動がインターネットに広がることを防止します。 関連するポート
  • TCP/UDP 135 (DCE endpoint resolution/Microsoft RPC)
  • TCP 139 (NETBIOS Session Service)
  • TCP 445 (microsoft-ds)
  • TCP 593 (HTTP RPC Endpoint Mapper)

本回避策による影響
  • TCP/UDP 135 (DCE endpoint resolution) ActiveDirectory を利用した環境 および DCOM を使用したアプリケーションが使用できない場合があります。境界ルーターで対策した場合、社内 LAN での使用に問題はありません。
  • TCP 139 (NETBIOS Session Service) ファイル・プリンタ共有および、ユーザー認証が行えない場合があります。また、境界ルーターで対策した場合、社内 LAN での使用に問題はありません。
  • TCP 445 (microsoft-ds) ファイル・プリンタ共有および、ユーザー認証が行えない場合があります。また、境界ルーターで対策した場合、社内 LAN での使用に問題はありません。
  • TCP 593 (HTTP RPC Endpoint Mapper) RPC Over HTTP 機能が使用できません。

注意 : 社内 LAN を接続する拠点間のルーターで対策する場合は、回避策を実施することで、拠点間の通信が行えなくなることがあります。 VPN 等で接続されている場合は問題ありません。

回避策 2: インターネット接続ファイアウォールを使用する
Windows XP および Windows Server 2003 は、「インターネット接続ファイアウォール」を使用することができます。 インターネット接続ファイアウォールを有効にすることで、既定の状態でインターネットなどの外部からの RPC 接続が遮断されます。本機能を有効にするには、以下の設定を行います。
  1. [スタート] - [コントロールパネル] - [ネットワーク接続] を開きます。
  2. 各接続を選択し、右クリックによりメニューを表示します。 メニューのプロパティをクリックします。
  3. [詳細設定] タブを選択します
  4. 「インターネット接続ファイアウォール」の「インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する] をオンにします。
  5. 接続のプロパティを [OK] ボタンをクリックして閉じます。
  6. 接続が複数ある場合は、手順 2 - 5 を繰り返します。

より詳細な情報は、以下のサポート技術情報 をご覧ください。
  • 283673 [HOW TO] Windows XP でインターネット接続ファイアウォール機能を有効にする方法
  • 317530 [HOWTO] Windows Server 2003 でインターネット接続ファイアウォールを有効にする方法

本回避策による影響
  • ローカル エリア接続 (LANとの接続) に対して本設定を行うと、ファイル共有・プリンタ共有などが行えなくなることがあります。 詳細は、以下のサポート技術情報 をご覧ください。
    • 298804 インターネット接続ファイアウォール機能をオンにするとインターネットの参照やファイルの共有ができなくなる
  • インターネット等の外部に向けて WWW サーバーなどを公開している場合は、別途設定が必要です。 詳細は、以下のサポート技術情報 をご覧ください。
    • 307554 インターネット接続ファイアウォールでポートを手動構成する必要のあるプログラム
    • 308127 Windows XP のインターネット接続ファイアウォールで手動でポートを開く方法

さらに、インターネット接続ファイアウォールの情報が必要な場合は、こちら をご覧ください。
回避策 3: IPSEC によりポートをフィルタする
Windows 2000, Windows XP, Windows Server 2003 は、「IPSec (IP セキュリティ ポリシー)」を使用することができます。 ファイアウォールまたは境界ルーター等で以下のポートを使用した通信を遮断、外部からの感染を防止します。
本機能を有効にすることで、影響を受けるポートの通信をフィルタすることができます。 また、本機能の設定は、比較的容易にグループポリシーオブジェクト (GPO) などを使用して配布することが可能です。 本機能の設定方法は、以下のサポート技術情報をご覧ください。
  • 313190 [HOWTO] Windows 2000 で IPSec の IP フィルタ一覧を使用する方法
  • 813878 IPSec を使用して特定のネットワーク プロトコルとポートをブロックする方法

MS03-026 で警告している脆弱性による悪用を防ぐことを支援する 2 つの IPSec ツール は、以下から入手することが出来ます。
関連するポート 回避策 1 をご覧ください。 本回避策による影響 回避策 1 をご覧ください。

回避策 4: COM Internet Services (CIS) または RPC over HTTP を無効にする
COM Internet Services (CIS) または RPC over HTTP は、インターネットを経由して COM を利用するための機能です。本機能は、既定の状態で無効です。 現在、有効に設定されている場合に、再度、無効に設定することで TCP 593 および 80 を経由した感染を防止すること可能です。 しかしながら、この回避策と併用して他の影響を受けるポートへの対策も必要です。 本機能の設定方法は、以下のサポート技術情報 および 開発者向け情報をご覧ください。
本回避策による影響
  • インターネットを経由した COM を利用することができなくなります。

注意 : VPN 等で接続されている場合は問題ありません。
回避策 5: DCOM を無効にする
分散COM (DCOM) は、コンピュータ間でネットワークを通じて COM オブジェクトを利用できる機能です。本機能は、既定の状態で有効です。 DCOM を無効にするには、以下の設定を行います。
  1. [スタート] - [ファイル名を指定して実行] から Dcomcnfg.exe と入力し、[OK] ボタンをクリックします。
  2. Windows XP または Windows Server 2003 を実行している場合には、以下の手順が追加で必要です。
    1. コンソール ルート下の [コンポーネント サービス] ノードをクリックします。
    2. [コンピュータ] サブフォルダを開きます。
    3. ローカル コンピュータでは、[マイコンピュータ] 上で右クリックし、[プロパティ] を選択します。
    4. リモート コンピュータでは、[コンピュータ] フォルダ上で右クリックし、[新規作成] ‐ [コンピュータ] を選択します。コンピュータ名を入力します。そのコンピュータ名の上で右クリックし、[プロパティ] を選択します。
  3. [既定のプロパティ] タブをクリックします。
  4. [このコンピュータ上で分散 COM を有効にする] チェック ボックスをオン (またはオフ) にします。
  5. そのコンピュータのプロパティをさらに設定する場合、[適用] ボタンをクリックし、DCOM を有効 (または無効) にします。そのほかの場合、[OK] ボタンをクリックし、変更を適用し、Dcomcnfg.exe を終了します。
  6. コンピューターを再起動します。 設定は、再起動後に有効になります。
注意 : Windows 2000 で DCOM を無効にするには Windows 2000 SP 3 以上の必要があります。
本回避策による影響
  • ネットワークを通じた COM オブジェクトの利用が行えなくなります。 それにり、管理コンソール、リモート管理、アプリケーションサーバーの動作に影響が出る可能性があります。

ページのトップへ