Sasser ワームの対策方法について

この資料は、Sasser ワーム (W32.Sasser.worm) の対策方法について説明しています。現在、インターネット上では Sasser ワームが活動を活発化しており、マイクロソフトおよびセキュリティ関連組織は、このワームに対する調査を行っています。このワームは 2004 年 4 月 14 日 (日本時間) のマイクロソフトセキュリティ情報 MS04-011 で修正される Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用している事が確認されております。

概要

感染した場合の症状

Sasser ワームに感染した場合、LSASS.exe (Local Security Authority Subsystem Service) のエラーが表示され、コンピュータが再起動を繰り返すなどの被害をうける場合があります。

影響を受けたコンピュータでの対処方法

ステップ 1. Windows XP 付属のインターネット接続ファイアウォールを有効にします。#icf

ステップ 2. Windows Update で更新プログラムを適用します。#wu

ステップ 3. Sasser ワームを駆除します。#rm

詳細

ステップ 1. Windows XP 付属のインターネット接続ファイアウォールを有効にする方法

[スタート] メニューから [コントロールパネル] を開き、[ネットワークとインターネット接続] をクリックします。下のような画面が表示されない場合、手順 2. に進んでください。
[ネットワーク接続] をクリックします。 (下のような画面が表示されない場合、[ネットワーク接続] のアイコンを探してダブルクリックしてください。)
使用しているネットワーク接続設定を選択して、[ネットワークタスク] の [この接続の設定を変更する] をクリックします。
注意: 下図では [LAN または高速インターネット] 内の「ローカルエリア接続」が選択されていますが、接続方法によって異なりますので、ご注意ください。ここではインターネットを接続するために使用されているネットワーク接続を選択してください。たとえば、モデムを使ってインターネットに接続されている場合のネットワーク接続は [ダイヤルアップ] 内に表示されます。

注意: 一部の接続ツールを使用している場合、ネットワーク接続が表示されない場合があります。この場合には、以下の手順を実行せず、「Windows XP 付属のインターネット接続ファイアウォールを有効にできない場合」の項を参照してください。
[詳細設定] タブをクリックして、[インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する] という項目のチェックをオンにし [OK] ボタンをクリックします。

Windows XP 付属のインターネット接続ファイアウォールを有効にできない場合

[スタート] メニューから [ファイル名を指定して実行] をクリックします。
"cmd" と入力し [OK] ボタンをクリックします。
コマンドプロンプトから次のようにコマンドを入力し、一行毎に [Enter] キーを押します。
echo dcpromo > %systemroot%\debug\dcpromo.log attrib +R %systemroot%\debug\dcpromo.log

ステップ 2. Windows Updateで更新プログラムを適用します

初めて Windows Update を利用した場合、Windows Update に必要なソフトウェアのインストールを促される場合があります。詳細については、以下のサポート技術情報を参照ください。

899789 Windows Update v6 へのアップグレード

Windows Update (http://update.microsoft.com/) にアクセスします。
Windows Update の画面が表示されたら、[高速] をクリックします。
「このコンピュータに該当する最新の更新プログラムを確認しています...」が表示されます。
セキュリティ更新プログラムのリストが表示されます。それぞれのファイルの説明を確認した後 [更新プログラムのインストール] ボタンをクリックします。
セキュリティ更新プログラムがインストールされます。
インストールが完了するとコンピュータの再起動の要求画面が表示されます。 [今すぐ再起動] ボタンをクリックし、コンピュータを再起動するとセキュリティ更新プログラムのインストールが完了します。