ブラスターワームとそのバリエーションに関するウイルスアラート

  • [アーティクル]

この記事では、Blaster ワームとそのバリアントに関するウイルス アラートについて説明し、Blaster ワームとそのバリアントからの感染を防ぎ、回復する方法に関する情報が含まれています。

適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 826955

概要

2003 年 8 月 11 日、Microsoft は Microsoft 製品サポート サービス (PSS) によって報告されたワームの調査を開始し、Microsoft PSS セキュリティ チームは新しいワームについてお客様に通知するアラートを発行しました。 ワームは、一般的にユーザーの操作なしで広がり、ネットワーク (インターネットなど) 全体に完全なコピー (場合によっては変更) を分散するコンピューター ウイルスの一種です。 "Blaster" と呼ばれるこの新しいワームは、Microsoft Security Bulletin MS03-026 (823980) によって対処された脆弱性を悪用し、この記事の冒頭に記載されているいずれかの製品を実行しているコンピューターで開いているリモート プロシージャ コール (RPC) ポートを使用してネットワークに分散します。

この記事には、ネットワーク管理者と IT プロフェッショナル向けの情報が含まれています。ブラスター ワームとそのバリエーションから感染を防ぐ方法と回復する方法について説明します。 ワームとそのバリエーションは W32 とも呼ばれます。Blaster.Worm、W32。Blaster.C.Worm、W32。Blaster.B.Worm、W32。Randex.E (Symantec)、W32/Lovsan.worm (McAfee)、WORM_MSBLAST。A (Trendmicro)、Win32.Posa.Worm (Computer Associates)。 このワームからの回復の詳細については、ウイルス対策ソフトウェア ベンダーにお問い合わせください。

ウイルス対策ソフトウェア ベンダーの詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を参照してください。

49500 ウイルス対策ソフトウェア ベンダーの一覧

ホーム ユーザーの場合は、次の Microsoft Web サイトにアクセスして、コンピューターを保護し、コンピューターが Blaster ワームに感染している場合に回復する手順を確認してください。

Microsoft Security Essentials とは

注:

  • 2003 年 8 月 11 日 (このワームが検出された日付) より前に 823980 セキュリティ パッチ (MS03-026) をインストールした場合、お使いのコンピューターは Blaster ワームに対して脆弱ではありません。 2003 年 8 月 11 日より前に 823980 セキュリティパッチ (MS03-026) をインストールした場合は、他に何もする必要はありません。

  • Microsoft は、Windows NT Workstation 4.0、Windows NT Server 4.0、Windows NT Server 4.0、ターミナル サーバー エディション、Windows 2000、Windows XP、Windows Server 2003 をテストして、Microsoft Security Bulletin MS03-026 (823980) によって対処される脆弱性の影響を受けるかどうかを評価しました。 Windows ミレニアム エディションには、これらの脆弱性に関連する機能は含まれていません。 以前のバージョンはサポートされなくなり、これらの脆弱性の影響を受ける場合と影響を受けない場合があります。 Microsoft サポート ライフ サイクルの詳細については、次の Microsoft Web サイトを参照してください。

    製品とサービスのライフサイクル情報を検索します。

    これらの脆弱性に関連する機能は、DCOM がインストールされている場合でも、Windows 95、Windows 98、または Windows 98 Second Edition には含まれません。 これらのバージョンの Windows を使用している場合は、何もする必要はありません。

  • Windows XP Service Pack 2 または Update Rollup 1 for Windows 2000 Service Pack 4 をインストールした場合、コンピューターは Blaster ワームに対して脆弱ではありません。 これらのサービス パックには、セキュリティ更新プログラムの824146が含まれています。 これらのサービス パックをインストールした場合は、他に何もする必要はありません。 詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。

    322389 最新の Windows XP Service Pack を入手する方法。

感染の症状

コンピューターがこのワームに感染している場合は、症状が発生しない場合や、次のいずれかの症状が発生する可能性があります。

  • 次のエラー メッセージが表示される場合があります。

    リモート プロシージャ コール (RPC) サービスが予期せず終了しました。
    システムがシャットダウンしています。 進行中のすべての作業を保存し、ログオフします。
    未保存の変更は失われます。
    このシャットダウンは NT AUTHORITY\SYSTEM によって開始されました。

  • コンピューターは、ランダムな間隔でシャットダウンしたり、繰り返し再起動したりする場合があります。

  • Windows XP ベースまたは Windows Server 2003 ベースのコンピューターでは、問題を Microsoft に報告するオプションを提供するダイアログ ボックスが表示される場合があります。

  • Windows 2000 または Windows NTを使用している場合は、Stop エラー メッセージが表示されることがあります。

  • windows\System32 フォルダーには、Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll、または Yuetyutr.dll という名前のファイルがあります。

  • コンピューターに通常とは異なる TFTP* ファイルが見つかる場合があります。

技術的な詳細

このワームがコンピューターに加える変更に関する技術的な詳細については、ウイルス対策ソフトウェア ベンダーにお問い合わせください。

このウイルスを検出するには、Windows\System32 フォルダー Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll、または Yuetyutr.dll という名前のファイルを検索するか、ウイルス対策ベンダーから最新のウイルス対策ソフトウェア署名をダウンロードして、コンピューターをスキャンします。

これらのファイルを検索するには:

  1. [スタート] をクリックし、[実行] をクリックし、[開く] ボックスに「cmd」と入力し、[OK] をクリックします

  2. コマンド プロンプトで、「」と入力 dir %systemroot%\system32\filename.ext /a /sし、Enter キーを押します。 ここで filename.ext が Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll、または Yuetyutr.dll。

    注:

    Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll、Yuetyutr.dll の各ファイル名に対して手順 2 を繰り返します。 これらのファイルのいずれかが見つかると、コンピュータがワームに感染している可能性があります。 これらのファイルのいずれかが見つかる場合は、ファイルを削除し、この記事の「回復」セクションの手順に従います。 ファイルを削除するには、コマンド プロンプトで「」と入力 del %systemroot%\system32\filename.ext /a し、Enter キーを押します。

防止

このウイルスがコンピューターに感染するのを防ぐには、次の手順を実行します。

  1. Windows XP、Windows Server 2003、Standard Edition、および Windows Server 2003 のインターネット接続ファイアウォール機能 (ICF) を有効にするか、Enterprise Edition 基本ファイアウォール、Microsoft Internet Security and Acceleration (ISA) Server 2000、またはサード パーティ製ファイアウォールを使用して TCP ポート 135、139、445、593 をブロックします。UDP ポート 69 (TFTP)、135、137、および 138。リモート コマンド シェル用の TCP ポート 4444。

    Windows XP または Windows Server 2003 で ICF を有効にするには、次の手順に従います。

    1. [スタート] ボタンをクリックし、[コントロール パネル] をクリックします。
    2. コントロール パネルで、[ネットワークとインターネット Connections] をダブルクリックし、[ネットワーク Connections] をクリックします。
    3. インターネット接続ファイアウォールを有効にする接続を右クリックし、[ プロパティ] をクリックします。
    4. [詳細設定] タブをクリックし、[インターネット チェックからこのコンピューターへのアクセスを制限または禁止してコンピューターまたはネットワークを保護する] ボックスを選択します。

    注:

    一部のダイヤルアップ接続がネットワーク接続フォルダーに表示されない場合があります。 たとえば、AOL と MSN のダイヤルアップ接続が表示されない場合があります。 場合によっては、次の手順を使用して、ネットワーク接続フォルダーに表示されない接続の ICF を有効にすることができます。 これらの手順が機能しない場合は、インターネット接続をファイアウォールする方法については、インターネット サービス プロバイダー (ISP) にお問い合わせください。

    1. インターネット エクスプローラーを開始します。
    2. [ツール] メニューの [インターネット オプション] をクリックします。
    3. [Connections] タブをクリックし、インターネットへの接続に使用するダイヤルアップ接続をクリックし、[設定] をクリックします。
    4. [ ダイヤルアップ設定 ] 領域で、[ プロパティ] をクリックします。
    5. [詳細設定] タブをクリックし、[インターネット チェックからこのコンピューターへのアクセスを制限または禁止してコンピューターまたはネットワークを保護する] ボックスを選択します。

    Windows XP または Windows Server 2003 でインターネット接続ファイアウォールを有効にする方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

    283673 Windows XP でファイアウォールをオンまたはオフにする方法

    注:

    ICF は、Windows XP、Windows Server 2003、Standard Edition、および Windows Server 2003 Enterprise Editionでのみ使用できます。 Basic Firewall は、ルーティングとリモート アクセスの両方を実行しているコンピューター上の任意のパブリック インターフェイスと Windows Server 2003 ファミリのメンバーに対して有効にできるルーティングとリモート アクセスのコンポーネントです。

  2. このワームは、以前に発表された脆弱性を感染方法の一部として使用します。 このため、Microsoft Security Bulletin MS03-026 で特定された脆弱性に対処するために、すべてのコンピューターに 823980 セキュリティパッチがインストールされていることを確認する必要があります。 824146セキュリティパッチは、823980 セキュリティパッチに置き換えられます。 Microsoft では、Microsoft セキュリティ情報 MS03-026 (823980) で対処されている問題の修正プログラムも含む、824146セキュリティパッチをインストールすることをお勧めします。

  3. ウイルス対策ベンダーの最新のウイルス検出署名を使用して、新しいウイルスとそのバリアントを検出します。

回復

セキュリティに関するベスト プラクティスでは、以前に侵害されたコンピューターで完全な "クリーン" インストールを実行して、将来の侵害につながる可能性のある未発見の悪用を削除することをお勧めします。 詳細については、次の証明書アドバイザリ Web サイトを参照してください。

UNIX または NT システム侵害からの復旧手順

ただし、多くのウイルス対策企業は、この特定のワームに関連付けられている既知の悪用を削除するためのツールを作成しています。 ウイルス対策ベンダーから削除ツールをダウンロードするには、オペレーティング システムに応じて次の手順を使用します。

Windows XP、Windows Server 2003、Standard Edition、および Windows Server 2003 の回復、Enterprise Edition

  1. Windows XP、Windows Server 2003、Standard Edition、Windows Server 2003、Enterprise Editionでインターネット接続ファイアウォール機能 (ICF) を有効にするか、Basic Firewall、Microsoft Internet Security and Acceleration (ISA) Server 2000、またはサード パーティ製ファイアウォールを使用します。

    ICF を有効にするには、次の手順に従います。

    1. [スタート] ボタンをクリックし、[コントロール パネル] をクリックします。
    2. コントロール パネルで、[ネットワークとインターネット Connections] をダブルクリックし、[ネットワーク Connections] をクリックします。
    3. インターネット接続ファイアウォールを有効にする接続を右クリックし、[ プロパティ] をクリックします。
    4. [詳細設定] タブをクリックし、[インターネット チェックからこのコンピューターへのアクセスを制限または禁止してコンピューターまたはネットワークを保護する] ボックスを選択します。

    注:

    • これらの手順に従おうとしたときにコンピューターがシャットダウンまたは再起動を繰り返す場合は、ファイアウォールをオンにする前にインターネットから切断します。 ブロードバンド接続を介してインターネットに接続する場合は、外部 DSL またはケーブル モデムから実行されているケーブルを見つけて、モデムまたは電話ジャックからケーブルを取り外します。 ダイヤルアップ接続を使用する場合は、コンピューター内のモデムから電話ジャックに接続されている電話ケーブルを探し、電話ジャックまたはコンピューターからそのケーブルを取り外します。 インターネットから切断できない場合は、コマンド プロンプトで次の行を入力して、サービスが失敗 sc failure rpcss reset= 0 actions= restartしたときにコンピューターを再起動しないように RPCSS を構成します。

      これらの手順を完了した後で RPCSS を既定の回復設定にリセットするには、コマンド プロンプトで次の行を入力します。 sc failure rpcss reset= 0 actions= reboot/60000

    • インターネット接続を共有するコンピューターが複数ある場合は、インターネットに直接接続されているコンピューターでのみファイアウォールを使用します。 インターネット接続を共有する他のコンピューターでファイアウォールを使用しないでください。 Windows XP を実行している場合は、ネットワーク セットアップ ウィザードを使用して ICF を有効にします。

    • ファイアウォールを使用しても、電子メール サービスや Web 閲覧には影響しませんが、ファイアウォールによってインターネット ソフトウェア、サービス、または機能の一部が無効になる可能性があります。 この動作が発生した場合、一部のインターネット機能を機能させるには、ファイアウォールで一部のポートを開く必要があります。 開く必要があるポートを判断するために動作しないインターネット サービスに含まれているドキュメントを参照してください。 これらのポートを開く方法を決定するには、ファイアウォールに含まれているドキュメントを参照してください。

    • 場合によっては、次の手順を使用して、ネットワーク Connections フォルダーに表示されない接続の ICF を有効にすることができます。 これらの手順が機能しない場合は、インターネット接続をファイアウォールする方法については、インターネット サービス プロバイダー (ISP) にお問い合わせください。

      1. インターネット エクスプローラーを開始します。
      2. [ツール] メニューの [インターネット オプション] をクリックします。
      3. [Connections] タブをクリックし、インターネットへの接続に使用するダイヤルアップ接続をクリックし、[設定] をクリックします。
      4. [ ダイヤルアップ設定 ] 領域で、[ プロパティ] をクリックします。
      5. [詳細設定] タブをクリックし、[インターネット チェックからこのコンピューターへのアクセスを制限または禁止してコンピューターまたはネットワークを保護する] ボックスを選択します。

    Windows XP または Windows Server 2003 でインターネット接続ファイアウォールを有効にする方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

    283673 Windows XP でファイアウォールをオンまたはオフにする方法

    注:

    ICF は、Windows XP、Windows Server 2003、Standard Edition、および Windows Server 2003 Enterprise Editionでのみ使用できます。 Basic Firewall は、ルーティングとリモート アクセスのコンポーネントであり、ルーティングとリモート アクセスを実行しており、Windows Server 2003 ファミリのメンバーであるコンピューター上の任意のパブリック インターフェイスに対して有効にすることができます。

  2. 824146セキュリティ更新プログラムをダウンロードし、すべてのコンピューターにインストールして、Microsoft セキュリティ情報 MS03-026 および MS03-039 で特定された脆弱性に対処します。

    注:

    824146セキュリティパッチが 823980 セキュリティパッチに置き換えられます。 Microsoft では、Microsoft セキュリティ情報 MS03-026 (823980) で解決された問題の修正プログラムも含む、824146セキュリティ更新プログラムをインストールすることをお勧めします。

  3. ウイルス対策署名ソフトウェアをインストールまたは更新し、完全なシステム スキャンを実行します。

  4. ウイルス対策ベンダーからワーム除去ツールをダウンロードして実行します。

Windows 2000 および Windows NT 4.0 の回復

インターネット接続ファイアウォール機能は、Windows 2000 または Windows NT 4.0 では使用できません。 リモート コマンド シェルの TCP ポート 135、139、445、593、UDP ポート 69 (TFTP)、135、137、138、および TCP ポート 4444 をブロックするために、Microsoft Internet Security and Acceleration (ISA) Server 2000 またはサード パーティ製ファイアウォールを使用できない場合は、次の手順に従って、ローカル エリア ネットワーク (LAN) 接続の影響を受けるポートをブロックします。 ダイヤルアップ接続では TCP/IP フィルタリングを使用できません。 ダイヤルアップ接続を使用してインターネットに接続する場合は、ファイアウォールを有効にする必要があります。

  1. TCP/IP セキュリティを構成します。 これを行うには、オペレーティング システムの手順を使用します。

    Windows 2000

    1. コントロール パネルで、[ネットワーク] と [ダイヤルアップ Connections] をダブルクリックします。

    2. インターネットへのアクセスに使用するインターフェイスを右クリックし、[ プロパティ] をクリックします。

    3. [ この接続で使用されているコンポーネント ] ボックスで、[ インターネット プロトコル (TCP/IP)] をクリックし、[ プロパティ] をクリックします。

    4. [ インターネット プロトコル (TCP/IP) のプロパティ] ダイアログ ボックスで、[ 詳細設定] をクリックします。

    5. [ オプション ] タブをクリックします。

    6. [ TCP/IP フィルタリング] をクリックし、[ プロパティ] をクリックします。

    7. [TCP/IP フィルター処理を有効にする (すべてのアダプター)] チェック ボックスをクリックして選択します。

    8. 次のラベルを持つ 3 つの列があります。

      • TCP ポート
      • UDP ポート
      • IP プロトコル

      各列で、[ 許可のみ] オプションをクリックします。

    9. [OK] をクリックします。

    注:

    • これらの手順に従おうとしたときにコンピューターがシャットダウンまたは再起動を繰り返す場合は、ファイアウォールをオンにする前にインターネットから切断します。 ブロードバンド接続を介してインターネットに接続する場合は、外部 DSL またはケーブル モデムから実行されているケーブルを見つけて、モデムまたは電話ジャックからケーブルを取り外します。 ダイヤルアップ接続を使用する場合は、コンピューター内のモデムから電話ジャックに接続されている電話ケーブルを探し、電話ジャックまたはコンピューターからそのケーブルを取り外します。
    • インターネット接続を共有するコンピューターが複数ある場合は、インターネットに直接接続されているコンピューターでのみファイアウォールを使用します。 インターネット接続を共有する他のコンピューターでファイアウォールを使用しないでください。
    • ファイアウォールを使用しても、電子メール サービスや Web 閲覧には影響しませんが、ファイアウォールによってインターネット ソフトウェア、サービス、または機能の一部が無効になる可能性があります。 この動作が発生した場合、一部のインターネット機能を機能させるには、ファイアウォールで一部のポートを開く必要があります。 開く必要があるポートを判断するために動作しないインターネット サービスに含まれているドキュメントを参照してください。 これらのポートを開く方法を決定するには、ファイアウォールに含まれているドキュメントを参照してください。
    • これらの手順は、Microsoft サポート技術情報の記事309798からの変更された抜粋に基づいています。

    Windows NT 4.0

    1. コントロール パネルで、[ネットワーク] をダブルクリックします。
    2. [ プロトコル ] タブをクリックし、[ TCP/IP プロトコル] をクリックし、[ プロパティ] をクリックします。
    3. [ IP アドレス ] タブをクリックし、[ 詳細設定] をクリックします。
    4. [セキュリティ チェックを有効にする] ボックスをクリックし、[構成] をクリックします。
    5. [ TCP ポート]、[ UDP ポート]、[ IP プロトコル ] 列で、[ 許可のみ] 設定をクリックして選択します。
    6. [ OK] をクリックし、ネットワーク ツールを閉じます。

  2. 824146セキュリティ更新プログラムをダウンロードし、すべてのコンピューターにインストールして、Microsoft セキュリティ情報 MS03-026 および MS03-039 で特定された脆弱性に対処します。

    824146セキュリティパッチは、823980 セキュリティパッチに置き換えられます。 Microsoft では、Microsoft セキュリティ情報 MS03-026 (823980) で解決された問題の修正プログラムも含む、824146セキュリティ更新プログラムをインストールすることをお勧めします。

  3. ウイルス対策署名ソフトウェアをインストールまたは更新し、完全なシステム スキャンを実行します。

  4. ウイルス対策ベンダーからワーム除去ツールをダウンロードして実行します。

Microsoft ウイルス情報アライアンス (VIA) に参加しているウイルス対策ソフトウェア ベンダーの Blaster ワームに関する追加の技術的な詳細については、次のいずれかのサードパーティ Web サイトを参照してください。

注:

TCP フィルタリングを使用する必要がない場合は、この記事で説明されている修正プログラムを適用し、ワームが正常に削除されたことを確認した後で TCP フィルタリングを無効にすることをお勧めします。

Blaster ワームの既知のバリエーションに関する技術的な詳細については、次の Symantec Web サイトを参照してください。

W32。Randex.E: Nstask32.exe、Winlogin.exe、Win32sockdrv.dll、Yyuetyutr.dll

Symantec Security Center

Microsoft ウイルス情報アライアンスの詳細については、次の Microsoft Web サイトを参照してください。

Microsoft セキュリティ応答センター

このワームから回復する方法の詳細については、ウイルス対策ベンダーにお問い合わせください。

他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、 将来予告なしに変更されることがあります。 マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。

関連情報

このワームに関する Microsoft の最新の情報については、PC を安全かつ正常に保つためのリソースとツールのMicrosoft セキュリティ インテリジェンスに関するページを参照してください。 更新プログラム自体のインストールに問題がある場合は、「リソースとツール の Microsoft Update のサポート 」を参照して、PC を最新の更新プログラムで更新してください。