Win32/Conficker ワームに関するウイルス対策情報

文書翻訳 文書翻訳
文書番号: 962007 - 対象製品
Windows Vista Service Pack 1 (SP1) のサポートは 2011 年 7 月 12 日に終了しました。Windows 用のセキュリティ更新プログラムを継続して入手するには、Windows Vista Service Pack 2 (SP2) を使用してください。詳細については、次のマイクロソフト Web ページを参照してください。Windows の一部バージョンのサポート終了のお知らせ
すべて展開する | すべて折りたたむ

目次

概要

このサポート技術情報の情報は、この資料の詳細情報を実装できるシステム管理者がいる企業環境を対象としています。 ご使用のウイルス対策プログラムがウイルスを正常にクリーンアップし、システムが完全に更新されている場合は、この資料を使用する理由はありません。 システムに Conficker ウイルスが存在しないことを確認するには、次の Web ページからクイック スキャンを実行します。 http://www.microsoft.com/security/scanner/ja-jp/default.aspx Conficker ウイルスの詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

感染した場合の現象

使用しているコンピューターがこのワームに感染した場合、何も発生しないか、以下のいずれかの現象が発生します。
  • アカウント ロックアウト ポリシーに障害が生じる。
  • 自動更新、バックグラウンド インテリジェント転送サービス (BITS)、Windows Defender、およびエラー報告サービスが無効になる。
  • クライアントの要求に対するドメイン コントローラーの応答が遅くなる。
  • ネットワークが輻輳する。
  • さまざまなセキュリティ関連の Web サイトにアクセスできなくなる。
  • さまざまなセキュリティ関連のツールが動作しなくなる。 判明しているツールの一覧については、次のマイクロソフト Web ページを参照し、[Analysis] タブをクリックして Win32/Conficker.D に関する情報を表示します。 関連情報については、次のマイクロソフト Web サイトを参照してください。
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Win32/Conficker の詳細については、次の Microsoft Malware Protection Center Web ページを参照してください。
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

増殖の方式

Win32/Conficker には複数の増殖の方式があります。 たとえば、以下の方式があります。
  • セキュリティ更新プログラム 958644 (MS08-067) により対策されている脆弱性の悪用
  • ネットワーク共有の使用
  • 自動再生機能の使用
したがって、以前クリーンアップされているシステムに脅威が再度侵入しないように、ネットワークをクリーンアップする際には注意する必要があります。

: Win32/Conficker.D の亜種は、ネットワーク経由でリムーバブル ドライブまたは共有フォルダーには拡散しません。 Win32/Conficker.D は、Win32/Conficker の以前の亜種によりインストールされます。

予防方法

  • すべてのコンピューターに固有である強力な管理者パスワードを使用します。
  • Domain Admin 資格情報、またはすべてのコンピューターにアクセスできる資格情報を使用してコンピューターにログオンしないでください。
  • すべてのシステムに最新のセキュリティ更新プログラムが適用されていることを確認します。
  • 自動再生機能を無効にします。 詳細については、「グループ ポリシー オブジェクトの作成」の手順 3. を参照してください。
  • 共有に対する過剰な権限を削除します。 これには、すべての共有のルートに対する書き込みアクセス許可の削除が含まれます。

軽減策の手順

グループ ポリシーの設定を使用することにより Win32/Conficker の拡散を停止する

:
  • 重要: この資料に記載されている変更を行う前に、現在の設定をすべて文書化してください。
  • この手順では、システムから Conficker マルウェアは削除されません。 マルウェアの拡散のみを停止します。 システムから Conficker マルウェアを削除するには、ウイルス対策製品を使用する必要があります。 または、この資料の「Win32/Conficker ウイルスを手動で削除する手順」の手順に従って、システムから手動でマルウェアを削除します。
  • 以下の手順で推奨されているアクセス許可の変更が実施されている間、アプリケーション、Service Pack、またはその他の更新プログラムを正常にインストールできない場合があります。 これには、Windows Update、Microsoft Windows Server Update Services (WSUS) サーバー、および System Center Configuration Manager (SCCM) を使用した更新プログラムの適用が含まれます (ただし、これらに限定されません) が、これはこれらの製品が自動更新のコンポーネントに依存しているためです。 システムをクリーンアップした後は、アクセス許可を元の既定の設定に戻してください。
  • 「グループ ポリシー オブジェクトの作成」に記載されている SVCHOST レジストリ キーおよび Tasks フォルダーの既定のアクセス許可の詳細については、この資料の後半の「既定のアクセス許可の表」を参照してください。

グループ ポリシー オブジェクトの作成

環境で必要である、特定の組織単位 (OU)、サイト、またはドメインのすべてのコンピューターに適用される新しいグループ ポリシー オブジェクト (GPO) を作成します。

これを実行するには、以下の手順を実行します。
  1. ポリシーを設定して、以下のレジストリ サブキーに対する書き込みのアクセス許可を削除します。
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    これにより、ランダムな名前のマルウェア サービスが、netsvcs レジストリ値で作成されなくなります。

    これを実行するには、以下の手順を実行します。
    1. グループ ポリシー管理コンソール (GPMC) を開きます。
    2. 新しい GPO を作成します。 それに任意の名前を付けます。
    3. 新しい GPO を開き、以下のフォルダーに移動します。
      コンピューターの構成\Windows の設定\セキュリティの設定\レジストリ
    4. [レジストリ] を右クリックし、[キーの追加] をクリックします。
    5. [レジストリ キーの選択] ダイアログ ボックスで [コンピューター] を展開し、以下のフォルダーに移動します。
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. [OK] をクリックします。
    7. 表示されるダイアログ ボックスで、[管理者] と [システム] 両方の [フル コントロール] チェック ボックスをオフにします。
    8. [OK] をクリックします。
    9. [オブジェクトの追加] ダイアログ ボックスで、[すべてのサブ キーの既存のアクセス許可を継承可能なアクセス許可で置き換える] をクリックします。
    10. [OK] をクリックします。
  2. ポリシーを設定して、%windir%\Tasks フォルダーに対する書き込みのアクセス許可を削除します。 これにより、Conficker マルウェアは、システムに再感染する可能性があるタスクを作成できなくなります。

    これを実行するには、以下の手順を実行します。
    1. 前に作成した同じ GPO で、以下のフォルダーに移動します。
      コンピューターの構成\Windows の設定\セキュリティの設定\ファイル システム
    2. [ファイル システム] を右クリックし、[ファイルの追加] をクリックします。
    3. [ファイルまたはフォルダーを追加します] ダイアログ ボックスで、%windir%\Tasks フォルダーに移動します。 [フォルダー] ダイアログ ボックスで [タスク] が選択され、表示されていることを確認します。
    4. [OK] をクリックします。
    5. ダイアログ ボックスが開いたら、[管理者]、[システム] の両方で [フル コントロール]、[修正]、[書き込み] チェック ボックスをオフにします。
    6. [OK] をクリックします。
    7. [オブジェクトの追加] ダイアログ ボックスで、[すべてのサブ キーの既存のアクセス許可を継承可能なアクセス許可で置き換える] をクリックします。
    8. [OK] をクリックします。
  3. 自動再生 (自動実行) 機能を無効に設定します。 これにより、Conficker マルウェアは、Windows に組み込まれている自動再生機能を使用して拡散することはできなくなります。

    : 使用している Windows のバージョンに応じて、自動実行機能を適切に無効にするためにインストールする必要があるさまざまな更新プログラムが存在します。
    • Windows Vista または Windows Server 2008 で自動実行機能を無効にするには、セキュリティ更新プログラム 950582 がインストールされている必要があります (セキュリティ情報 MS08-038 に記載)。
    • Windows XP、Windows Server 2003、または Windows 2000 で自動実行機能を無効にするには、セキュリティ更新プログラム 950582、更新プログラム 967715、または更新プログラム 953252 がインストールされている必要があります。
    自動再生 (自動実行) 機能を無効に設定するため、以下の手順を実行します。
    1. 前に作成した同じ GPO で、以下のいずれかのフォルダーに移動します。
      • Windows Server 2003 ドメインの場合は、以下のフォルダーに移動します。
        コンピューターの構成\管理用テンプレート\システム
      • Windows 2008 ドメインの場合は、以下のフォルダーに移動します。
        コンピューターの構成\管理用テンプレート\Windows コンポーネント\自動再生のポリシー
    2. [自動再生機能をオフにする] ポリシーを開きます。
    3. [自動再生機能をオフにする] ダイアログ ボックスで、[有効] をクリックします。
    4. ドロップダウン メニューの [すべてのドライブ] をクリックします。
    5. [OK] をクリックします。
  4. グループ ポリシー管理コンソールを閉じます。
  5. 新しく作成した GPO を、適用先の場所にリンクします。
  6. グループ ポリシーの設定がすべてのコンピューターを更新する十分な時間を考慮します。 通常、グループ ポリシーは各ドメイン コントローラーにレプリケートされるのに 5 分を要し、システムの残りにレプリケートされるのに 90 分を要します。 数時間で十分ですが、 環境によってはより多くの時間が必要な場合があります。
  7. グループ ポリシーの設定が反映された後で、マルウェアのシステムをクリーンアップします。

    これを実行するには、以下の手順を実行します。
    1. すべてのコンピューターに対して完全ウイルス対策スキャンを実行します。
    2. ご使用のウイルス対策ソフトウェアで Conficker が検出されなかった場合は、Microsoft Safety Scanner を使用してマルウェアをクリーンアップすることができます。詳細については、次のマイクロソフト Web サイトを参照してください。http://www.microsoft.com/security/scanner/ja-jp/default.aspx注: マルウェアの影響をすべてクリーンアップするには、手動の手順をいくつか実行する必要がある場合があります。マルウェアの影響をすべてクリーンアップするには、この資料の「Win32/Conficker ウイルスを手動で削除する手順」に記載されている手順を確認することをお勧めします。

復旧

Microsoft Safety Scanner を実行する

Microsoft Malware Protection Center は、Microsoft Safety Scanner を更新しました。このツールは、流行している悪質なソフトウェアの削除に役立つスタンドアロン バイナリで、Win32/Conficker マルウェア ファミリを削除することができます。

注: Microsoft Safety Scanner はリアルタイム ウイルス対策プログラムではないため、再感染を防止しません。

Microsoft Safety Scanner は、以下のマイクロソフト Web サイトからダウンロードできます。
http://www.microsoft.com/security/scanner/ja-jp/default.aspx

: Stand-Alone System Sweeper ツールもこの感染を削除します。 このツールは、Microsoft Desktop Optimization Pack 6.0 のコンポーネントとして、または Customer Service and Support を通じて入手できます。Microsoft Desktop Optimization Pack を入手するには、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/windows/products/windowsvista/enterprise/mdopoverview.mspx
システムで Windows Live OneCare または Microsoft Forefront Client Security が実行されている場合、これらのプログラムも、脅威がインストールされる前に脅威をブロックします。

Win32/Conficker ウイルスを手動で削除する手順

:
  • 以下の手動の手順は必要なく、使用する必要があるのは、Conficker ウイルスを削除するウイルス対策ソフトウェアがない場合のみです。
  • コンピューターが感染している Win32/Conficker の亜種に応じて、このセクションで言及されている値の一部は、ウイルスにより変更されていない場合があります。
以下の詳細な手順を実行すると、システムから手動で Conficker を削除することができます。
  1. ローカル アカウントを使用してシステムにログオンします。

    重要: 可能であれば、システムへのログオンには Domain アカウントを使用しないでください。 特に、ログオンには Domain Admin アカウントを使用しないでください。 マルウェアはログオンしているユーザーを偽装し、ログオンしているユーザー資格情報を使用してネットワーク リソースにアクセスします。 この動作により、マルウェアの拡散が可能になります。
  2. Server サービスを停止します。 これによりシステムから管理共有が取り除かれ、マルウェアはこの方式を使用して拡散することはできなくなります。

    : 環境でマルウェアをクリーンアップする間に一時的にのみ、Server サービスを無効にする必要があります。 この手順はネットワーク リソースの可用性に影響するため、運用サーバーでは特に重要です。 環境がクリーンアップされたら、すぐに Server サービスを再度有効にすることができます。

    Server サービスを停止するには、[サービス] Microsoft 管理コンソール (MMC) を使用します。 これを実行するには、以下の手順を実行します。
    1. システムに応じて、次の操作を実行します。
      • Windows Vista および Windows Server 2008 では、[スタート] をクリックし、[検索の開始] ボックスに「services.msc」と入力し、[プログラム] の一覧の [services.msc] をクリックします。
      • Windows 2000、Windows XP、および Windows Server 2003 では、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「services.msc」と入力します。次に、[OK] をクリックします。
    2. [サーバー] をダブルクリックします。
    3. [停止] をクリックします。
    4. [スタートアップの種類] ボックスで、[無効] を選択します。
    5. [適用] をクリックします。
  3. AT の作成によるスケジュールされたタスクをすべて削除します。 このためには、コマンド プロンプトで「AT/Delete/Yes」と入力します。
  4. タスク スケジューラー サービスを停止します。
    • Windows 2000、Windows XP、および Windows Server 2003 でタスク スケジューラー サービスを停止するには、[サービス] Microsoft 管理コンソール (MMC) または SC.exe ユーティリティを使用します。
    • Windows Vista または Windows Server 2008 でタスク スケジューラー サービスを停止するには、次の手順を実行します。

      重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 万一に備えて、編集の前にレジストリをバックアップしてください。 問題が発生した場合でも、レジストリを復元できます。 レジストリのバックアップ方法および復元方法の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
      322756 Windows でレジストリをバックアップおよび復元する方法
      1. [スタート] ボタンをクリックし、[検索の開始] ボックスに「regedit」と入力します。次に、[プログラム] の一覧の [regedit.exe] をクリックします。
      2. 次のレジストリ サブキーを見つけてクリックします。
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. 詳細ウィンドウで、[Start] DWORD エントリを右クリックし、[変更] をクリックします。
      4. [値のデータ] ボックスに「4」と入力し、[OK] をクリックします。
      5. レジストリ エディターを終了し、コンピューターを再起動します。

        : 環境でマルウェアをクリーンアップする一時的な間にのみ、タスク スケジューラー サービスを無効にする必要があります。 この手順はさまざまな組み込みのスケジュール タスクに影響するため、Windows Vista および Windows Server 2008 では特に重要です。 環境がクリーンアップされたら、すぐに Server サービスを再度有効にします。
  5. セキュリティ更新プログラム 958644 (MS08-067) をダウンロードし、手動でインストールします。 詳細については、以下のマイクロソフト Web サイトを参照してください。
    http://www.microsoft.com/japan/technet/security/bulletin/MS08-067.mspx
    : マルウェアに感染しているために、このサイトがブロックされる場合があります。 この場合は、感染していないコンピューターから更新プログラムをダウンロードしてから、感染しているシステムに更新プログラム ファイルを転送する必要があります。 書き込みが完了した CD は書き込み不可能であり、CD は感染する可能性がないため、更新プログラムを CD に書き込むことを推奨します。 書き込み可能な CD ドライブが使用できない場合は、リムーバブル USB メモリ ドライブが、感染しているシステムに更新プログラムをコピーする唯一の手段である場合があります。 リムーバブル ドライブを使用する場合は、マルウェアが Autorun.inf ファイルを使用してドライブに感染する可能性があることに注意してください。 リムーバブル ドライブに更新プログラムをコピーした後、ドライブを読み取り専用モードに変更したことを確認します (デバイスでオプションが使用できる場合)。 読み取り専用モードが使用できる場合は、通常、デバイス上の物理スイッチを使用して有効にします。 続いて、感染したコンピューターに更新プログラム ファイルをコピーした後、ドライブに Autorun.inf ファイルが書き込まれているかどうか、リムーバブル ドライブを確認します。 書き込まれている場合は、Autorun.inf ファイルを Autorun.bad のような名前に変更し、リムーバブル ドライブがコンピューターに接続されたときに自動再生を実行できないようにします。
  6. Local Admin および Domain Admin のすべてのパスワードを再設定し、新しい強力なパスワードを使用します。 詳細については、以下のマイクロソフト Web サイトを参照してください。
    http://technet.microsoft.com/ja-jp/library/cc875814.aspx
  7. レジストリ エディターで、次のレジストリ サブキーを見つけて、キーをクリックします。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. 詳細ウィンドウで、[netsvcs] エントリを右クリックし、[変更] をクリックします。
  9. コンピューターが Win32/Conficker ウイルスに感染している場合、ランダムなサービス名が表示されます。

    : Win32/Conficker.B では、サービス名はランダムな文字で、一覧の一番下にありました。 新しい亜種では、サービス名は一覧の任意の場所にあり、また正しい意味を持っているように思える場合があります。 ランダムなサービス名が一番下にない場合は、システムをこの手順の「サービスの表」と比較して、どのサービス名が Win32/Conficker により追加された可能性があるのかを確認します。 確認するには、「サービスの表」の一覧を、感染していないことが判明している同じようなシステムと比較します。

    マルウェア サービスの名前をメモします。 後の手順でこの情報が必要になります。
  10. マルウェア サービスへの参照を含む行を削除します。 最後の正当なエントリの下に空白の改行が残っていることを確認し、[OK] をクリックします。

    サービスの表に関する注意
    • サービスの表にあるすべてのエントリは有効なエントリですが、太字で強調してある項目を除きます。
    • 太字で強調してある項目は、SVCHOST レジストリ キーの netsvcs 値に Win32/Conficker ウイルスが追加した可能性がある項目の例です。
    • これは、システムにインストールされている項目に応じて、サービスの完全な一覧ではない場合があります。
    • サービスの表は Windows の既定のインストールに由来します。
    • Win32/Conficker ウイルスが一覧に追加するエントリは、難読化テクニックです。 最初の文字に似ていると考えられる、強調表示された悪意のあるエントリは小文字の "L" です。 ところが、実際には大文字の "I" です。 オペレーティング システムにより使用されるフォントのため、大文字の "I" は小文字の "L" のように見えます。

    サービスの表

    元に戻す全体を表示する
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ThemesThemesBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservThemesSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiThemes
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
    >
  11. 前の手順では、マルウェア サービスの名前をメモしました。 この資料の例では、マルウェア エントリの名前は "Iaslogon" でした。 この情報を使用して、以下の手順を実行します。
    1. レジストリ エディターで、次のレジストリ サブキーを見つけて、キーをクリックします。BadServiceName はマルウェア サービスの名前です。
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      たとえば、次のレジストリ サブキーを見つけてクリックします。
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. マルウェア サービス名のナビゲーション ウィンドウでサブキーを右クリックして、[アクセス許可] をクリックします。
    3. [SvcHost のアクセス許可] ダイアログ ボックスで、[詳細設定] をクリックします。
    4. [セキュリティの詳細設定] ダイアログ ボックスで、次のチェック ボックスを両方ともオンにします。
      [子オブジェクトに適用するアクセス許可エントリを親から継承し、それらをここで明示的に定義されているものに含める]

      [子オブジェクトすべてのアクセス許可エントリを、ここに表示されているエントリで子オブジェクトに適用するもので置換する]
  12. F5 キーを押してレジストリ エディターを更新します。 詳細ウィンドウでは、"ServiceDll" として読み込まれているマルウェアの DLL を表示および編集できるようになります。これを行うには、次の手順を実行します。
    1. [ServiceDll] をダブルクリックします。
    2. 参照されている DLL のパスをメモします。 後の手順でこの情報が必要になります。 たとえば、参照されている DLL のパスは次のようになっています。
       %SystemRoot%\System32\doieuln.dll
      参照の名前を次のように変更します。
       %SystemRoot%\System32\doieuln.old
    3. [OK] をクリックします。
  13. レジストリの [Run] サブキーからマルウェア サービスのエントリを削除します。
    1. レジストリ エディターで、次のレジストリ サブキーを見つけて、キーをクリックします。
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. 両方のサブキーで、"rundll32.exe" で始まり、手順 12b. で特定した "ServiceDll" として読み込まれるマルウェアの DLL も参照するエントリを見つけます。 そのエントリを削除します。
    3. レジストリ エディターを終了し、コンピューターを再起動します。
  14. システム上のすべてのドライブで Autorun.inf ファイルを確認します。 メモ帳を使用して各ファイルを開き、有効な Autorun.inf ファイルであることを確認します。 通常の有効な Autorun.inf ファイルの例を次に示します。
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    通常、有効な Autorun.inf は 1 〜 2 KB です。
  15. 有効ではないと考えられるすべての Autorun.inf ファイルを削除します。
  16. コンピューターを再起動します。
  17. 隠しファイルを表示します。このためには、コマンド プロンプトで次のコマンドを入力します。
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. ファイルを表示できるように、[すべてのファイルとフォルダーを表示する] を設定します。 これを実行するには、以下の手順を実行します。
    1. 手順 12b. では、マルウェアの参照されている .dll ファイルのパスをメモしました。たとえば、次のようなパスをメモしています。
      %systemroot%\System32\doieuln.dll
      エクスプローラーで、%systemroot%\System32 ディレクトリ、またはマルウェアが含まれるディレクトリを開きます。
    2. [ツール] メニューをクリックし、[フォルダー オプション] をクリックします。
    3. [表示] タブをクリックします。
    4. [すべてのファイルとフォルダーを表示する] チェック ボックスをオンにします。
    5. [OK] をクリックします。
  19. この .dll ファイルを選択します。
  20. ファイルのアクセス許可を編集し、Everyone にフル コントロールを追加します。 これを実行するには、以下の手順を実行します。
    1. .dll ファイルを右クリックし、[プロパティ] をクリックします。
    2. [セキュリティ] タブをクリックします。
    3. [Everyone] をクリックし、[許可] 列の [フル コントロール] チェック ボックスをオンにします。
    4. [OK] をクリックします。
  21. マルウェアの参照されている .dll ファイルを削除します。 たとえば、%systemroot%\System32\doieuln.dll ファイルを削除します。
  22. [サービス] Microsoft Management Console (MMC) を使用して、BITS、自動更新、エラー報告、および Windows Defender の各サービスを有効にします。
  23. 再感染の影響を小さくできるように、自動再生をオフにします。 これを実行するには、以下の手順を実行します。
    1. システムに応じて、次のいずれかの更新プログラムをインストールします。
      • Windows 2000、Windows XP、または Windows Server 2003 を実行している場合は、更新プログラム 967715 をインストールします。 関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        967715 Windows の自動実行機能を無効にする方法
      • Windows Vista または Windows Server 2008 を実行している場合は、セキュリティ更新プログラム 950582 をインストールします。 関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        950582 [MS08-038] Windows エクスプローラーの脆弱性により、リモートでコードが実行される
      : 更新プログラム 967715 およびセキュリティ更新プログラム 950582 は、このマルウェアの問題に関連しません。手順 23b. でレジストリの機能を有効にするために、これらの更新プログラムをインストールする必要があります。
    2. コマンド プロンプトで次のコマンドを入力します。
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. システムで Windows Defender を実行している場合は、Windows Defender の自動起動の場所を再度有効にします。 このためには、コマンド プロンプトで次のコマンドを入力します。
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide" /f
  25. Windows Vista 以降のオペレーティング システムでは、マルウェアにより、TCP 受信ウィンドウの自動チューニングのグローバル設定が無効に変更されます。 この設定を元に戻すには、コマンド プロンプトで次のコマンドを実行します。
    netsh interface tcp set global autotuning=normal
この手順を完了した後でコンピューターが再度感染したと考えられる場合は、以下のいずれかが該当することがあります。
  • 自動起動の場所のいずれかが削除されていない。 たとえば、AT ジョブが削除されていないか、Autorun.inf ファイルが削除されていない。
  • MS08-067 のセキュリティ更新プログラムが正しくインストールされていない。
このマルウェアにより、この資料には記載されていないその他の設定が変更される場合があります。 Win32/Conficker の最新の詳細情報については、次の Microsoft Malware Protection Center Web ページを参照してください。
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

システムがクリーンであることを確認する

次のサービスが開始されていることを確認します。
  • 自動更新 (wuauserv)
  • バックグラウンド インテリジェント転送サービス (BITS)
  • Windows Defender (windefend) (該当する場合)
  • Windows エラー報告サービス
このためには、コマンド プロンプトで次のコマンドを入力します。 各コマンドの後に Enter キーを押してください。

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

各コマンドの実行後には、次のようなメッセージが表示されます。
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
この例で、"STATE : 4 RUNNING" はサービスが実行中であることを示します。

SvcHost レジストリ サブキーの状態を確認するには、次の手順を実行します。
  1. レジストリ エディターで、次のレジストリ サブキーを見つけて、キーをクリックします。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. 詳細ウィンドウで、[netsvcs] をダブルクリックして、表示されるサービス名を確認します。 一覧の最下部まで下にスクロールします。 コンピューターが Conficker に再度感染している場合、ランダムなサービス名が表示されます。 たとえば、この手順では、マルウェア サービスの名前は "Iaslogon" です。
以上の手順で問題が解決されない場合は、ウイルス対策ソフトウェアの製造元に問い合わせてください。 この問題の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
49500 ウイルス対策ソフトウェア ベンダーの一覧
ウイルス対策ソフトウェア ベンダーを利用していない場合、またはウイルス対策ソフトウェア ベンダーで解決できない場合は、Microsoft Consumer Support Services に問い合わせてください。

環境が完全にクリーンアップされた後

環境が完全にクリーンアップされた後は、以下の手順を実行してください。
  1. Server サービスとタスク スケジューラー サービスを再度有効にする。
  2. SVCHOST レジストリ キーと Tasks フォルダーの既定のアクセス許可を復元する。 グループ ポリシーの設定を使用して、これを既定の設定に戻す必要があります。 ポリシーが削除されただけである場合は、既定のアクセス許可に戻っていないことがあります。 詳細については、「軽減策の手順」の既定のアクセス許可の表を参照してださい。
  3. 適用されていないセキュリティ更新プログラムをインストールすることにより、コンピューターを更新する。 このためには、Windows Update、Microsoft Windows Server Update Services (WSUS) サーバー、Systems Management Server (SMS)、System Center Configuration Manager (SCCM)、またはサードパーティの更新プログラム管理製品を使用します。 SMS または SCCM を使用する場合は、まず Server サービスを再度有効にする必要があります。 このようにしないと、SMS または SCCM はシステムを更新できない場合があります。

感染したシステムの特定

Conficker に感染したシステムの特定で問題が発生した場合は、以下の TechNet ブログに記載されている詳細情報が役に立つことがあります。
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

既定のアクセス許可の表

以下の表に、各オペレーティング システムの既定のアクセス許可を示します。 これらのアクセス許可は、この資料で推奨されている変更を適用する前に有効になっています。 これらのアクセス許可は、ご使用の環境で設定されているアクセス許可とは異なる場合があります。 したがって、変更を加える前に設定をメモする必要があります。 システムをクリーンアップした後に設定を復元できるように、この作業を行う必要があります。
元に戻す全体を表示する
オペレーティング システム Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
設定Svchost レジストリTasks フォルダーSvchost レジストリTasks フォルダーSvchost レジストリTasks フォルダーSvchost レジストリTasks フォルダーSvchost レジストリTasks フォルダー
アカウント
Administrators (ローカル グループ)フル コントロールフル コントロールフル コントロールフル コントロールフル コントロールフル コントロールフル コントロールフル コントロールフル コントロールフル コントロール
システムフル コントロールフル コントロールフル コントロールフル コントロールフル コントロールフル コントロールフル コントロールフル コントロールフル コントロールフル コントロール
Power Users (ローカル グループ)該当なし該当なし該当なし該当なし読み取り該当なし読み取り該当なし読み取り該当なし
Users (ローカル グループ)その他 該当なしその他該当なし読み取り該当なし読み取り該当なし読み取り該当なし
適用先: このキーとサブキー適用先: このキーとサブキー
値の照会値の照会
サブキーの列挙サブキーの列挙
通知通知
読み取り制御読み取り制御
Authenticated Users該当なしその他該当なしその他該当なし該当なし該当なし該当なし該当なし該当なし
適用先: このフォルダーのみ適用先: このフォルダーのみ
フォルダーのスキャンフォルダーのスキャン
フォルダーの一覧表示フォルダーの一覧表示
属性の読み取り属性の読み取り
拡張属性の読み取り拡張属性の読み取り
ファイルの作成ファイルの作成
アクセス許可の読み取りアクセス許可の読み取り
Backup Operators (ローカル グループ)該当なし該当なし該当なし該当なし該当なしその他該当なしその他
適用先: このフォルダーのみ適用先: このフォルダーのみ
フォルダーのスキャンフォルダーのスキャン
フォルダーの一覧表示フォルダーの一覧表示
属性の読み取り属性の読み取り
拡張属性の読み取り拡張属性の読み取り
ファイルの作成ファイルの作成
アクセス許可の読み取りアクセス許可の読み取り
Everyone該当なし該当なし該当なし該当なし該当なし該当なし該当なし該当なし該当なしその他
適用先: このフォルダー、サブフォルダーおよびファイル
フォルダーのスキャン
フォルダーの一覧表示
属性の読み取り
拡張属性の読み取り
ファイルの作成
フォルダーの作成
属性の書き込み
拡張属性の書き込み
アクセス許可の読み取り

その他のヘルプ情報

米国にお住まいの場合は、この問題に関するさらなるヘルプについて、Answer Desk で担当者とチャットすることができます。
Answer Desk

プロパティ

文書番号: 962007 - 最終更新日: 2013年1月16日 - リビジョン: 8.0
この資料は以下の製品について記述したものです。
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1?を以下の環境でお使いの場合
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2?を以下の環境でお使いの場合
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3?を以下の環境でお使いの場合
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4?を以下の環境でお使いの場合
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional
    • Microsoft Windows 2000 Server
キーワード:?
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com