|
対応方法:
検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除できません 隔離成功」などと表示されますが正常な表示です。
・侵入方法:
ワームはTFTPを利用して感染元から感染先に転送後、自動実行されます。ただし、Windowsのセキュリティホールが存在しなければ侵入されることはありません。
・感染確認方法:
ワームが侵入した場合にはWindowsのシステムディレクトリにワームのコピーである "mslaugh.exe" が作成されます。また、レジストリの値が変更されます。
・感染していた場合の対処:
まず、Windowsのセキュリティホールが存在しなければ侵入されることはありません。必ずセキュリティホールの修正を行ってください。修正方法は以下のマイクロソフトの情報をご参照ください:
[MS03-026] RPC インターフェイスのバッファ オーバーランによりコードが実行される
セキュリティホールが存在する状態ではワームに再侵入される可能性が高く、攻撃を受けるとコンピュータが再起動してしまうので駆除手順が有効に行えない場合があります。セキュリティホールのアップデートが行えない場合にはネットワークから切断するか、Safeモードにて以下の駆除手順を行ってください。
Windowsをセーフモードで起動する方法
ワームに侵入され、コンピュータのシステムが改変された場合にはワーム駆除のためにシステムの修復を行う必要があります。汎用駆除ツール「トレンド システム クリーナ」にてこのワームのシステム改変の修復に対応いたしました。上記のレジストリ修復の代わりに「トレンド システム クリーナ」をご使用ください。使用方法は以下をご参照ください。
トレンド システム クリーナの使用方法
また、以下の手順にて手動でも修復は可能です。
・手動削除手順:
1)不正プログラムの自動起動設定を削除します。
Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください:
場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
値:Windows Automation = "mslaugh.exe"
2)コンピュータを再起動し、最新のウイルス対策プログラムを利用してウイルス検索を行い「WORM_MSBLAST.E」で検出したファイルをすべて「削除」してください。
※注:ウイルス検索の際、「WORM_MSBLAST.E」が"TFTP~"というファイル名のファイルから検出される場合があります。これはTFTPのファイル転送の際に作成されるテンポラリファイルです。感染した環境では検出があっても特に問題はありませんのでそのまま削除してください。
3)このワームはMS03-026のセキュリティホールを利用します。セキュリティパッチがインストールされていない限り再感染の可能性があります。セキュリティパッチのインストールを行ってください。
[MS03-026] RPC インターフェイスのバッファ オーバーランによりコードが実行される
註:<Windowsディレクトリ>、<Windowsのシステムディレクトリ>はWindowsの種類とインストール時の設定などにより異なります。デフォルト設定では、
WindowsNT/2000の場合、
Windowsディレクトリ= C:\WinNT
システムディレクトリ= C:\WinNT\System32
WindowsXPの場合、
Windowsディレクトリ= C:\Windows
システムディレクトリ= C:\Windows\System32
です。
トレンドマイクロは 大規模ネットワーク、中・小規模ビジネス、ホームPCの為のベストオブブリードとコンテンツセキュリティーソリューションを提供いたします。
このウイルスに関しては次の情報も参照してください。
概要
詳細
感染状況
ウイルスデータベース検索
このウイルス情報に関して. こちらのアンケートにお答えください。
|
