「W32/MSBlaster」および「W32/Welchia」のウィルス対策について
概要
コンピュータワクチンソフト会社シマンテック社によりますと,「W32.Blaster.Worm」ウィルスはマイクロソフトの基本ソフト(OS)「ウィンドウズ」の脆弱性を攻略し,TCP135番ポートからmsblast.exeという名前のファイル(亜種の場合は,PENIS32.EXEまたはTEEKIDS.EXE)をダウンロードし,「W32.Blaster.Worm」の実行を試みるというものです。「W32.Welchia.Worm」
ウィルスも同様に,TCP135番ポートとTCP80番ポートに不正なアクセスを行い、Windowsのシステムフォルダ直下の"wins"フォルダにDLLHOST.EXEという名前のファイル(ワーム本体)とSVCHOST.EXEというファイル(tftpd.exeのコピー)をコピーし,W32.Welchia.Wormの実行を試みるというものです。このウィルスはW32/MSBlasterの感染を防止するという機能が見られますがこ
のウィルスに感染しますと同一ネットワーク上の他のマシンに対して感染を広げます。これらのウィルス感染時の症状は,「OSが再起動する」「システムが不安定になる」などがあります。
お客様のパソコン(PC)のOSがWindows NT4.0, Windows 2000, Windows
XP,Windows Server
2003の4つに該当し,それらのOS上で弊社製品を動作されている場合にこのウィルスに感染する恐れがあります。具体的には,内部ネットワークであるLAN(Local Area
Network)がインターネットに接続されており,上記4つのOSで動作する弊社製品をLANに接続し動作させている場合,ウィルスがインターネットを通じてお客様のPCに侵入し感染する恐れがあります。更に,この感染したPCをそのままの状態にしておく,または,外部で感染したPCを新たにLANに接続すると,更にウィルスの感染を他のPCに拡大させる恐れがあります。
お客様にこの事実を通知し,ご注意して頂き,必要な対応策をとって戴くことを目的とし,以下に
[1]お客様のPCが感染されているかどうかの確認方法
[2]駆除方法
[3]予防方法
を示します。
[1] 感染の確認方法
以下の環境の場合,本ウィルスに感染している恐れがあります。
「W32.Blaster.Worm」の場合
- タスクマネージャ(タスクバー上で右クリックし表示したメニューから起動)のプロセスで「msblast.exe」または「PENIS32.EXE」,「TEEKIDS.EXE」が起動している。
- ハードディスク内全域をファイル検索した結果,「msblast.exe」または「PENIS32.EXE」,「TEEKIDS.EXE」が検出される。
「W32.Welchia.Worm」の場合
- システムドライブでファイル検索した結果,「DLLHOST.EXE」 と 「SVCHOST.EXE」 が "C:%windir%system32\wins"フォルダに検出される。(%windir%=WINNTまたはWINDOWSである場合もございます。)
(注)"C:%windir%system32"フォルダには同名のDLLHOST.EXEファイルが存在しますがワームのコピーと混同し,削除しないで ください。また,Windows2000環境下においてWWWサーバー機能を搭載したTrueflow,PDFPolisherPro,HC-210など では,平常にて「DLLHOST.EXE」 が動作しております。ウィルスの感染と混同しない様,上記方法でご確認頂きます様お願いいたします。
尚,シマンテック社によりますと,現在,本ウィルスによる他のファイルへの感染や破壊活動は無ないものとされています。
[2] 駆除方法
「W32.Blaster.Worm」の場合
本ウィルスに感染したことが確認された場合,シマンテック社の「W32.Blaster.Worm駆除ツール」で駆除することができます。以下のURLに駆除方法が示されていますので,「注意事項」をよく読み,お客様の責任において使用してください。
http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html
「W32.Welchia.Worm」の場合
本ウィルスに感染したことが確認された場合,シマンテック社の「W32.Welchia.Worm 駆除ツール」で駆除することができます。以下のURLに駆除方法が示されていますので,「注意事項」をよく読み,お客様の責任において使用してください。
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.removal.tool.html
[3] 感染予防方法
未然に感染を防止する方法として,以下を推奨致します。
- お客様がご自宅などでインターネットに接続したノートパソコン,電子メイルあるいは外部からのリムーバルメディアをお客様がお勤めの会社あるいはお取引先内に持ち込まれる場合は,事前にウィルスチェックをなさった上で,お使いになることを推奨致します。
- お
客様がお勤めの会社とインターネットとの間にファイヤーウォールが設置されており,以下のポート(TCP:80,135,139,445,593,
4444, UDP:69,135)が開いている場合はこれらのポートの全てを閉鎖することによってウィルスの侵入を防ぐことが可能です。
但し,以後,閉鎖したポートを通じて外部との通信が全くできなくなります。特に上記80番ポートはWWWサーバの標準通信ポートです。 - C:%windir%system32\tftp.exeがある場合はtftp.exeをbtftp.exeにリネームしてください。
(%windir%=WINNTまたはWINDOWSである場合もございます。)
(注)OSの環境によっては,リネームできない場合があります。 - マイクロソフトがリリースしているセキュリティパッチMS03-007(Windows2000はMS03-013)およびMS03-026を必要に応じて適用してください。
弊社では,以下に示す弊社製品の製品バージョンとマイクロソフトのOSサービスパックの組み合わせにおいてMS03-007(Windows2000はMS03-013)およびMS03-026の適用が可能であることを検証しています。これ以外の環境に関しては,製品への影響があり,適用できない場合がございます。
(注)Windows2000 SP3およびSP2の環境にはMS03-007を適用せず,MS03-013およびMS03-026を適応してください。(Windows2000 SP2でMS03-007をインストールした場合,インストール後の再起動時にエラー発生する可能がある事がマイクロソフトより告知されています。この問 題は,MS03-013で改善されています。)
MS03 -007(Windows2000はMS-013)およびMS03-026のインストール作業は弊社サービス会社にご依頼いただきますと有償で代行させて いただきますが,お客様の重要なデータは事前にバックアップいただきますようお願いします。弊社サービス会社による作業(但し,お客様のシステムの状態に よっては作業ができない場合もございます。)により,万が一,お客様のデータが滅失,毀損,破損等生じたとしましても,この発生した結果及び当該結果に起 因して,拡大損害が発生したとしましても,弊社及び弊社サービス会社は一切の責任を負いませんことを予めご了承願います。また,お客様ご自身でインストー ルされたことにより生じた損害について,弊社では一切の責任を負いませんことも合わせまして,予めご了承願います。
| 製品 | 製品バージョン | OSおよびサービスパック | 推奨セキュリティパッチ |
| Trueflow | v2.03以上 | Windows2000 SP3 | MS03-013,MS03-026 |
| WindowsNT4.0 SP6a | MS03-007,MS03-026 | ||
| RENATUSStream | v2.0 ST002以上 | Windows2000 SP3 | MS03-013,MS03-026 |
| Trueflow | v2.03以上 | Windows2000 SP3 | MS03-013,MS03-026 |
| WindowsNT4.0 SP6a | MS03-007,MS03-026 | ||
| RENATUSStream | v2.0 ST002以上 | Windows2000 SP3 | MS03-013,MS03-026 |
| WindowsNT4.0 SP6a | MS03-007,MS03-026 | ||
| PDF Polisher Pro | v1.10以上 | Windows2000 SP3 | MS03-013,MS03-026 |
| Trueflow Archive Manager | V1.1.3以上 | Windows2000 SP3 | MS03-013,MS03-026 |
| HQ-510PC | v5.3以上 | Windows2000 SP3 | MS03-013,MS03-026 |
| WindowsNT4.0 SP6a | MS03-007,MS03-026 | ||
| BitStepper | v2.01以上 | Windows2000 SP3 | MS03-013,MS03-026 |
| AVANAS MultiStudio | v3.02以上 | Windows XP | MS03-007,MS03-026 |
| Windows2000 SP3 | MS03-013,MS03-026 | ||
| WindowsNT4.0 SP6a | MS03-007,MS03-026 | ||
| AVANAS PageStudio | v4.0以上 | Windows XP | MS03-007,MS03-026 |
| Windows2000 SP3 | MS03-013,MS03-026 | ||
| AVANAS BookStudio | v2.11以上 | Windows XP | MS03-007,MS03-026 |
| Windows2000 SP3 | MS03-013,MS03-026 | ||
| AVANAS Mask (販売終了) | v2.2 | Windows2000 SP3 | MS03-013,MS03-026 |
| WindowsNT4.0 SP6a | MS03-007,MS03-026 | ||
| AVANAS CompoGenius | v1.0以上 | Windows XP | MS03-007,MS03-026 |
| Windows2000 SP3 | MS03-013,MS03-026 | ||
| AVANAS データ管理ツール | v1.0 | Windows XP | MS03-007,MS03-026 |
| Windows2000 SP3 | MS03-013,MS03-026 | ||
| HC-210-P | v1.0以上 | Windows2000 SP4 | MS03-026 |
| Windows2000 SP3 | MS03-013,MS03-026 | ||
| HC-210-PC | v1.0以上 | Windows2000 SP4 | MS03-026 |
| Windows2000 SP3 | MS03-013,MS03-026 | ||
| HC-210-V | v2.0以上 | Windows2000 SP4 | MS03-026 |
| Windows2000 SP3 | MS03-013,MS03-026 | ||
| HC-110 | v2.11 HP002 | WindowsNT4.0 SP6a | MS03-007,MS03-026 |
| NP-S600 | v3.0.0.0以上 | Windows2000 SP4 | MS03-026 |
| Windows2000 SP3 | MS03-013,MS03-026 | ||
| v1.0.0.0~v2.0.0.0 | WindowsNT4.0 SP6a | MS03-007,MS03-026 | |
| AZERO2 | v1.31 | Windows2000 SP4 | MS03-026 |
| AZERO2 Plus | v1.31 | Windows2000 SP4 | MS03-026 |
| AZERO2 PrintSpooler | v1.00 | Windows2000 SP4 | MS03-026 |
| AZERO GIGALEX 600 | v1.10 | Windows XP SP1 | MS03-007,MS03-026 |
| AZERO GIGALEX 600 mono | v1.20 | Windows XP SP1 | MS03-007,MS03-026 |
| GIGALEX 600 | v1.00 | Windows XP SP1 | MS03-007,MS03-026 |
| Genascan A1 | v1.00 | Windows XP SP1 | MS03-007,MS03-026 |
参考情報リンク
- W32/MSBlasterウィルス」に関して
- 「W32/Welchiウィルス」に関して
- 「MS03-007セキュリティパッチ」の情報,入手に関して
- 「MS03-013セキュリティパッチ」の情報,入手に関して
- 「MS03-026セキュリティパッチ」の情報,入手に関して
お問い合わせ窓口
本件に関するお問い合わせは電話0774-46-6475(受付は弊社平日定時内とさせていただきます)で承ります。
