MS03-026 ワームにかかりました。 発症日 ： 9/26～

ワームの駆除・解決方法を教えて頂ければ幸いです。

修正を試みた結果、
現状が特に問題ない状態であるのか、早急に処置が必要であるのか
判断ができずにおりまして、投稿致しました。

解決の選択肢をA.B.C.と考えてみましたが、その他に良い方法がありましたら御意見いただければ幸いです。宜しく御願いします。

PC環境 : xp home sp2
発症 : ここ1～2日程から。
--- --- --- --- --- --- --- --- --- --- ---

●試した事
1. XP用修正プログラム MS03-026（「WindowsXP-KB823980-x86-JPN.exe）
2. XP用修正プログラム MS03-007（「Q815021_WXP_SP2_x86_JPN.exe」）

3. 「auto_ｔｓｃ」　　http://esupport.trendmicro.co.jp/supportjp/viewx …
4. ウィルスバスターオンラインスキャン
5. インストール済みのウィルススキャン(ウィルスバスター2008)

6. ファイヤーウォールA 設定確認(コントロールパネルから)
7. ファイヤーウォールB 設定確認(ウィルスソフトによる設定)
8. セキュリティソフト会社に問い合わせ。
--- --- --- --- --- ---

◆結果
1. KB823980 セットアップエラー
(インストールされているシステムのSPは、適用しようとしている更新より新しいバージョンです
この更新はSPががインストールされていないコンピュータにのみインストールできます。)
2. Q815021 セットアップエラー(上記同)

3. Execute pattern count(3023),→感染調査したウイルスの数
Virus found count(0),→?
Virus clean count(0),→感染が確認され、修復処理できたウイルスの数
Clean failed count(0)→感染が確認され、修復処理できなかったウイルスの数

4-7. 問題無し。
8. ソフトに関するセキュリティ対策(FW LAN等)は案内できるが、マイクロソフトのパッチ云々は、、、範囲外なので。との事。
--- --- --- --- --- --- --- --- --- --- ---

■選択肢

A.バックアップソフトで正常な状態へ戻す。(「発症する度に、リカバリする」というのは解決なのでしょうか？)
B.セキュリティホールの穴を塞ぐ。(エラーがでてあてれません)
C.特に何もしない。
(セキュリティパッチ(エラーが出る)があてれない=修正パッチより現在のSP2が最新だ。=このままでも問題はない？と解釈する。)

No.3 ベストアンサー 回答者： ryu-fiz 回答日時： 2008/09/29 17:49

なるほど。

経緯は大体のところ分かりました。しかし…おそらくどこかで見当違いをしておられると思います。

要するに、おそらくはRPCに異常をきたし、システム再起動が無限にかかる状態になったのだと思われます。それを検索エンジンなどでいろいろ調べた結果、Blasterワームが原因ではないかと考えられた。違いますか？

更に、Blasterワームに感染する原因を修正するパッチが当たっているかどうかを調べるスキャンツールのありかまで調べられ（正直感服です。私も今調べてその存在が分かりました）、それを使って検査した結果…MS03-026は当たっていないと判断された…ということでは？

長々書きましたが…最も最初に示した『システム再起動がBlasterワームによるもの』という判断が間違っていると思われます。確かに、MS03-026などの脆弱性、そしてそれを利用したBlasterワームはRPCに異常をきたす原因の一つとなり得ます。

でも、正確にはMS03-026自体がRPCに異常をもたらすのではありません。それを利用してRPCに悪影響を与える感染がたまたま出現した、ということに過ぎません。

RPCに異常をきたした結果、システムが再起動するようになる原因は他にもいろいろ存在します。その中にはBlasterワーム以外のものが原因となるケースもあるようですし、そうしたものの感染にMS03-026以外の脆弱性が関係する場合ももちろんあると考えられます。

更に…既にWindows XPにサービスパック２が当たっており、MS03-026を置き換えるMS03-039がその段階で当たった状態になっていると思われます。MS03-026が適用されていない、とスキャンツールで出てもおかしくないし、それが深刻な問題になるとは思えません。

なお、別のマルウェアが原因でシステム再起動がかかるようになる現象はここでも何度か報告されています。ほぼ全てのケースで質問者さんが『これはきっとBlasterワームの仕業に違いない』と誤った判断をされていました。

Blasterワームはテレビや新聞でも取り上げられ、社会現象になった位のものですから、それもある程度致し方ないのですが…。

なので、RPCが原因でシステムが再起動するようになっても、MS03-026にとらわれるべきではないのです。そういうことです。

質問者さんの場合、取り敢えずシステム上の目立った異常はなくなり、F-Secureオンラインスキャンによって感染の確認と除去は行われたようなので、当面の心配はないと思います。しかし…ある種の感染が原因で今回のような事態が発生したのなら、同様な状況に陥る可能性はこれから先も十分にあると考えられます。それを避けるためには、今までとは別の感染対策を考えて行かねばならないと思います。

昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。

１）各種アプリケーションソフトのセキュリティ更新を怠らない。

Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点＝脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、

・Firefox、Operaなどのブラウザ。
・Sun Java 仮想マシン(JRE)。
・Flash PlayerやShockwave Playerなどのプラグイン。
・Real Player、QuickTimeなどのメディアプレイヤー。
・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。

最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。

http://internet.watch.impress.co.jp/
http://www.itmedia.co.jp/enterprise/security/

こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。

２）標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。

IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。

でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。

http://www.mozilla-japan.org/products/firefox/
http://jp.opera.com/

もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。

もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。

http://www.oshiete-kun.net/archives/2006/05/iere …

制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。

なお、Windows Vista上のIE7では、感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点＝脆弱性の影響には十分注意しなくてはいけません。その辺は１）で説明した通りです。

この回答への補足

>要するに、おそらくはRPCに異常をきたし、システム再起動が無限にかかる状態になったのだと思われます。それを検索エンジンなどでいろいろ調べた結果、Blasterワームが原因ではないかと考えられた。違いますか？
はい

>更に、Blasterワームに感染する原因を修正するパッチが当たっているかどうかを調べるスキャンツールのありかまで調べられそれを使って検査した結果…MS03-026は当たっていないと判断された…ということでは？
はい

>長々書きましたが…最も最初に示した『システム再起動がBlasterワームによるもの』という判断が間違っていると思われます。確かに、MS03-026などの脆弱性、そしてそれを利用したBlasterワームはRPCに異常をきたす原因の一つとなり得ます。
なるほど、ここですね。ここがNo.3さんと、当方の認識の違いが生じたのですね。

>でも、正確にはMS03-026自体がRPCに異常をもたらすのではありません。それを利用してRPCに悪影響を与える感染がたまたま出現した、ということに過ぎません
納得です。

>ほぼ全てのケースで質問者さんが『これはきっとBlasterワームの仕業に違いない』と誤った判断をされていました。
当方もです。

>なので、RPCが原因でシステムが再起動するようになっても、MS03-026にとらわれるべきではないのです。
納得です。


改めて↓

「MS03-026自体」は悪ではない。
「MS03-026自体」というスィッチをピンポンダッシュする悪ガキがおる
その「悪ガキ」は、OSだけではなく
OS上で動く個々のアプリ。の、セキュリティが甘くなってる(更新を怠ってる)隙間を目ざとく突いて
「！っ　ここ攻めようぜ！」という具合ですかね。
んーーーっ、なるほど！

補足日時：2008/09/29 20:17

この回答へのお礼

御連絡が遅くなりました事お詫び申上げます。

セキュリティ対策や、その概念について 懇切丁寧なご説明に大変感謝しております。

個人の知識ではそれについて深く掘下げ、概念を理解するに至るまで
容易ではありません
大変参考になり、１つまた学びました　有難うございます。

お礼日時：2008/10/07 16:56

No.2 回答者： ryu-fiz 回答日時： 2008/09/29 00:23

>MS03-026　ワームにかかりました。

発症日 ： 9/26～

正直…状況がイマイチ飲み込めません。もっと分かりやすく説明していただけないでしょうか？

まず、ワームというのは感染の一形態に過ぎません。にもかかわらず、トロイの木馬もウイルスも引っくるめて『ワーム』と呼ぶ方も中にはいらっしゃいますが、間違いです。

どうしても感染全般を横文字で総称したいのなら『マルウェア』という言葉を使ってください。この言葉にはスパイウェアやトロイの木馬など、あらゆる感染を全て含めた意味合いがあります。

で、『ワームに感染した』とのことなのですが…これって本当に『感染』したのですか？？ウイルス対策ソフトでスキャンして出た表示は全て『感染』だとは限りません。ウイルスバスターの場合だと、きちんと適用されていないWindowsのセキュリティ更新が存在していると判断された場合にもその種の表示がされるようです。

その場合、それは感染を意味しません。あくまでも感染のリスクがあるだけに過ぎず、無論『ワーム』なんかではありません。

もし、正しく『ワーム』という名目で検出されたのだということならその旨補足をお願いします。

というか…もしかすると、こんな感じのものが検出されたのでしょうか？

http://www.trendmicro.co.jp/vinfo/secadvisories/ …

これと全く同じ名称でなくても末尾に"_EXPLOIT"とついていて、先頭に"MS03-026"とついているものが検出されたのだとしたら…それは、ブラウザで閲覧したページの中に、MS03-026として見つかったWindowsOSのセキュリティ上の弱点＝脆弱性を突く感染の仕掛けが見つかった、ということになると思います。

その場合これは、そういう悪質な仕掛けが見つかった、そして一応それがブラウザに解釈されないように処理した、という警告と考えてください。例えセキュリティパッチがきちんと当たっていても、そういう仕掛けが見つかったときは警告して、万一の事態を防ぐような処理は行われます。なので、警告されたからすぐにそのセキュリティ更新を適用する必要がある、とは限りません。

つまりは、この警告で表示されたものに関しては安全だということで考えて良いかと思います。ウイルスバスターで見つけられない感染が絡む可能性もあり得ますが…既にF-Secureのオンラインスキャンで検出されたものの対処が済んでいるのであれば、まぁ大丈夫でしょう。

よっておそらく適切な選択肢は"C"ではないかと。

この回答への補足

こんばんわ、的確なアドバイス有難うございます。

当時の状況をご説明致します
パソコンで普段通り作業をしており、休憩のためPCのある部屋を離れ そのまま放置。
部屋に戻るとPCが再起動されていました。
(当方のPCは起動、再起動する時F1を押さないと立上がらないのです。(苦笑))

その後、その動作を不審に思いながら作業を続けていると「強制終了」が起こるようになりました。
そのRPC画面を元にネットで調べてみると MS03-026 である事が判り、色々手を打ってみたり
この掲示板へ投稿した次第です。

>これと全く同じ名称でなくても末尾に"_EXPLOIT"とついていて、先頭に"MS03-026"とついているものが…
ウィルス検査の結果、その名目はありませんでした。

>脆弱性を突く感染の仕掛けが見つかった
>一応それがブラウザに解釈されないように処理した、という警告と考えてください。
なるほど、そうなのですね　ここは早とちりをしてはいけないところですね。

アドバイスとともに、もう1度振返ってみますと↓
「強制終了」が走った。
ウィルス検査の結果、「その名目」はなかった。

と、いう状況でした。(一、二言 御見解を頂けたら幸いです。　お暇な時で結構ですので(すみません))

現状をご報告しますと、その後「RPC」は走る事はありません。
アドバイスを頂きまして、ワームについての定義が明確に判りました
今後、『マルウェア』と、改めます。有難うございます。

補足日時：2008/09/29 02:57

No.1 回答者： KengaKS 回答日時： 2008/09/27 21:53

こんにちは。

＞ウィルスバスターオンラインスキャン
ウイルスバスター２００８を入れているのに、バスターのオンラインスキャンをしても意味がないのでは？

F-Secureのオンラインスキャンを試してみてください。
http://www.f-secure.co.jp/v-descs/disinfestation …

これでもだめなら、選択肢「A」またはリカバリですね。その方が早いと思います。
また、
＞「発症する度に、リカバリする」というのは解決なのでしょうか？
「発症させない」というのがベストだと思うのですが…。ウイルスの中には駆除が難しいものもあります。そのようなウイルスには、リカバリが最も早く解決する手段だと思います。

この回答へのお礼

こんにちわ、url頂きまして有難うございます。

>「発症させない」というのがベストだと思うのですが…。

なるほど、仰る通りです。当方も、そう認識を改めた方が良いですよね。
加えて、勧めて頂いたスキャンのご報告致します。
--------------------------------------------------
Result: 8 malware found
TrackingCookie.2o7 (spyware) System
TrackingCookie.Adbrite (spyware) System
TrackingCookie.Doubleclick (spyware) System
TrackingCookie.Imrworldwide (spyware) System
TrackingCookie.Webtrends (spyware) System
Trojan-Downloader.Win32.Agent (virus) System
Trojan-Downloader.Win32.Agent.ahts (virus)
C:\WINDOWS\SYSTEM32\SPRINT.DLL
Trojan-Spy.Win32.BHO.i (virus)
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER\QUARANTINE\SKYPECOMM.DLL (Submitted)
--------------------------------------------------
spy:5 virus:3 見つかり、駆除しました。有難うございます。

追伸: LAN接続時間が、現在約7時間若です　ワームによる強制終了はない模様です。

お礼日時：2008/09/27 23:43