日本サイト更新日: 2003年2月27日 12:30 W32.SQLExp.Worm 駆除ツール 発見日: 2003年1月25日 (米国時間) 最終更新日: 2003年1月31日 11:45 (米国時間) このツールが行うこと W32.SQLExp.Worm駆除ツールv1.0.4.1を現在配布中です。このツールは次のことを行います。 脆弱な.dllがコンピュータ上に存在するかチェックします。まず最初にレジストリ上でその.dllの存在を調べた後、次にすべてのローカルハードディスク上ssnetlib.dllを検索します。これはこの駆除ツールが次の動作を確実に行えるようにする目的で行われます。 Microsoft SQL Server 2000とMicrosoft Desktop Engine 2000の両方のバージョンを確実に認識して処理できるようにします。 脆弱なソフトウェアのコピーが複数存在し、そのコピーに適用されているパッチレベルが異なる可能性のあるシステムでも確実に処理できるようにします。 sqlserver.exeプロセスからワームのスレッドを探し出し、それをスリープ状態にします。 Microsoftの修正プログラムをインストールするよう促すメッセージを表示します。その修正プログラムは、マイクロソフトのセキュリティ情報MS02-061からダウンロードいただけます(Microsoft SQL Server 2000またはMicrosoft Desktop Engine 2000用のサービスパックを何もインストールしていない場合、ssnetlib.dllの脆弱なバージョンは8.00.194です。影響を受ける製品にService Pack 1をインストールしている場合、脆弱なバージョンは8.00.382です。影響を受ける製品にService Pack 2をインストールしている場合、脆弱なバージョンは8.00.534です。このDLLのバージョン8.00.636および8.00.679はこの脆弱性による影響を受けません)。 このツールで利用可能なコマンドライン スイッチ スイッチ 説明 /HELP, /H, /? ヘルプメッセージを表示します。 /SILENT, /S サイレントモードをオンにします。 /LOG= で指定した場所にツールの出力内容を保管するためのログファイルを作成します。標準では、FixSQLex.logというログファイルが駆除ツールと同じディレクトリに保存されます。 ツールの入手方法と使用方法: 注意:Windows NT 4.0/2000/XP上でこのツールを実行する場合は、管理者権限でログオンしておく必要があります。 下記のサイトからFixSQLex.exe ファイルをダウンロードします。 http://securityresponse.symantec.com/avcenter/FixSQLex.exe ファイルをダウンロードフォルダもしくはWindowsデスクトップなど都合のよい場所(できれば未感染のリムーバブル メディア)に保存します。 デジタル署名の信憑性をチェックするには、後述の「デジタル署名の確認方法」のセクションを参照してください。 ツールを実行する前に、すべてのプログラムを終了します。 FixSQLex.exe ファイルをダブルクリックして実行します。 Start ボタンを押して、駆除を開始させます。 コンピュータを再起動します。 駆除ツールを再度実行し、システムがクリーンな状態になったか確認します。 LiveUpdateを実行し、ウイルス定義を最新版に更新します。 デジタル署名の確認方法 FixLirva.exe はデジタル認証されています。シマンテックでは Security Response のダウンロードページから直接ダウンロードして入手したものだけを使用することを推奨します。デジタル認証の署名をチェックするには、以下の手順にしたがってください。 http://www.wmsoftware.com/free.htmをクリックします。 Chktrust.exeファイルをFixSQLex.exe と同じフォルダ(例:C:\Downloadsなど)にダウンロードします ご使用のWindowsのバージョンに応じて、次のいずれかの操作を実行します。 Windows 95/98/NTの場合: [スタート] ボタンをクリックし、[プログラム]-[MS-DOSプロンプト]を選択します。 Windows Me/XP/2000の場合:[スタート] ボタンをクリックし、[プログラム]-[アクセサリ]-[コマンド プロンプト]を選択します。 FixSQLex.exe と Chktrust.exeが保存されているフォルダに移動し、次のコマンドを入力し、Enterキーを押します。 chktrust -i FixSQLex.exe 例えば、C:\Downloads フォルダに保存している場合は、下記のようにコマンドを入力してください。( 1行入力するごとにEnterキーを押してください) cd\ cd downloads chktrust -i FixSQLex.exe デジタル認証が正当なものである場合、次のメッセージが表示されます。 "FixSQLex"は03/01/30 1:10 に署名されて次から配布されています。インストールして実行しますか: Symantec Corporation. 注意: 日時はセットしているタイムゾーンによって変わります。上記はタイムゾーンを(GMT+9:00)東京、大阪、札幌に設定してある場合です。 夏時間を設定してある場合はさらに一時間早く表示されます。 このメッセージ ダイアログが表示されない場合、次の2通りの原因が考えられます。 そのツールがシマンテックから配布されたものではない。ツールがシマンテックのWebサイトからダウンロードした正規のツールだという確信がない限り、そのファイルは使用しないでください。 そのツールはシマンテックから配布された正規のツールであるけれども、お使いのOSがSymantec Corporationからの内容を常に信頼するように設定されていた場合。詳しくは、ドキュメントHow to restore the Publisher Authenticity confirmation dialog box(英語)をご覧ください。 [はい]をクリックして、ダイアログボックスを閉じます。 exit と入力し、Enterキーを押します。(これでMS-DOSプロンプトが終了します。) 駆除ツールをフロッピーディスクから実行するには FixSQLex.exeが入っているフロッピーディスクをフロッピードライブに挿入します。 [スタート] - [ファイル名を指定して実行]を選択します。 下記の通り入力して、OKをクリックします。 a:\FixSQLex.exe 注意:a:\FixSQLex.exeにはスペースを入れないでください。 Startボタンをクリックして駆除ツールを実行します。 Windows Meをお使いの方は、この時点でシステムの復元機能を有効な状態に戻してください。