本日サポート案件3件。すべてサッサーを含むウィルス感染が原因でした。
これで、ゴールデンウィークから私の休日がなくなってしまいました。
ここでサッサーについてまとめておきましょう
WORM_SASSER「サッサー」ウイルスは、日本時間2004年5月1日夜、
アメリカで感染報告が確認されました。現在数種の亜種が発見されております。
これらワームはセキュリティホールを利用して攻撃対象のコンピュータをリモート
コントロールし、FTPで自身のコピーを転送後実行します。
これらワームの利用するセキュリティホールは Windows 2000/XP の
「LSASSの脆弱性 (CAN-2003-0533)」と呼ばれるセキュリティホールです。
このセキュリティホールを利用できるのはWindows 2000/XP のみであるため、
それ以外のWindows 95/98/ME/NT/Server2003 などのシステムに侵入
することはできません。
しかし、W32.Sasser.B.Worm などの亜種は、Windows 95/98/Me
コンピュータ上でも動作することに注意してください (ただし感染活動は行いま
せん)。
Windows 95/98/Me システムは、このワームに感染することはないものの、
脆弱なシステムに接続するためにワームによって利用される可能性があります。
その場合、このワームは大量のリソースを消費するため、このワームの駆除
ツールも含め、様々なプログラムが正常に動作できなくなる可能性があります。
(Windows 95/98/Me コンピュータ上で駆除ツールを使用する際には、必ず
セーフモードでツールを実行してください。)
今後、国内で非常に広範囲に感染が拡大する恐れがあります。
今後の被害防止のため、ウイルス対策ソフトの使用や脆弱性の修正プログラム
の適用を行うなど、使用されているコンピュータのセキュリティの再確認をお
勧めします。
Windows脆弱性の修正プログラムとして
マイクロソフトから配布
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
Windows 2000 用セキュリティ問題の修正プログラム (KB835732)
Windows2000-KB835732-x86-JPN.EXE
Windows XP 用セキュリティ問題の修正プログラム (KB835732)
WindowsXP-KB835732-x86-JPN.EXE
駆除ツールとして
マイクロソフトから配布
http://www.microsoft.com/downloads/details.aspx?FamilyId=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en
Sasserワームの駆除ツール
Windows-KB841720-ENU-V2.exe
シマンテックから配布
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html
W32.Sasser 駆除ツール
FxSasser.exe
トレンドマイクロから配布
http://www.trendmicro.com/jp/support/dcs-licence.htm
ダメージクリーンナップサービス
auto_tsc.com
http://www.networkassociates.com/japan/security/stinger.asp
AVERTウイルス駆除ツール
stinger.exe
などが公表されていますので、ご確認、ご利用ください。
W32.Sasser.B.Worm は、Windows をシャットダウンと再起動を繰返し行う
状態に陥らせる能力を持っています。
このような事態が発生した場合、修正プログラムのインストールや、駆除
ツールの実行ができなくなります。
このような状況下に陥った場合、システムがシャットダウンしないように
するためには、下記の手順を実行してください。
(ステップを実行するための時間的余裕は約 20 秒間しかないため、
数回実行する必要があるかもしれません。)
(Windows 2000 上では、この手順を行っても効果はありません。)
手順は、
コンピュータをネットワーク/インターネットに接続している場合は、接続を
切ります。(必要であれば、ケーブルを外してください。)
コンピュータを再起動します。
Windows が起動し、デスクトップ画面が表示されたら、すぐに
[スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。
次のコマンドを入力し、
cmd
その後、Enter キーを押します。
次のコマンドを入力し、
shutdown -i
その後、Enter キーを押します。
[リモート シャットダウン ダイアログ] が開いたら、[警告を表示する時間]
の値を、"20" 秒間から、次の値に変更し、
9999
その後、[OK] をクリックします。
これにより、修正プログラムのインストールやウイルス定義の更新などの
操作を実行する時間的余裕が 3 時間与えられます。
この間に、修正プログラムのインストールや、駆除ツールの実行を行って
ください。
よろしくお願いいたします。