日本サイト更新日: 2004年2月4日 18:25 W32.Novarg.A@mm / W32.Mydoom.B@mm 駆除ツール 発見日: 2004年1月26日 (米国時間) 最終更新日: 2004年2月2日 15:56 Symantec Security Response は、 次のワームの感染を除去する駆除ツールを開発しました。 W32.Novarg.A@mm (別名: W32.Mydoom.A@mm ) W32.Mydoom.B@mm 駆除ツールの行うこと W32.Novarg.A@mm/W32.Mydoom.B@mm 駆除ツールは、次のことを行います。 W32.Novarg.A@mm/W32.Mydoom.B@mm の有害プロセスを停止させます。 Explorer.exe の下で実行する有害スレッドを停止させます。 W32.Novarg.A@mm/W32.Mydoom.B@mm ファイルを削除します。 \Run および \InProcServer32 に施された変更を元に戻します。 -------------------------------------------------------------------------------- 注意: 本ツールは、(正規のプログラムにより加えられた可能性があるため)次のレジストリキーを削除しません。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version 正規のプログラムが追加したキーでないという確証がある場合は、これらを手動で削除しても構いません。しかしながら、そのままにしておいても問題はありません。 -------------------------------------------------------------------------------- このツールで利用可能なコマンドライン スイッチ スイッチ 説明 /HELP, /H, /? ヘルプメッセージを表示します。 /NOFIXREG レジストリの修復をオフにします(このスイッチの使用は推奨しません)。 /SILENT, /S サイレントモードをオンにします。 /LOG= で指定した場所にツールの出力内容を保管するためのログファイルを作成します。標準では、FxMydoom.log というログファイルが駆除ツールと同じディレクトリに保存されます。 /MAPPED マッピングされているネットワークドライブをスキャンします(このスイッチの使用は推奨していません。)。 /START ツールによるスキャン操作をすぐに強制開始します。 /EXCLUDE= で指定した場所をスキャン対象から除外します(このスイッチの使用は推奨していません)。 /NOFILESCAN ファイルシステムのスキャンをオフにします。 -------------------------------------------------------------------------------- 注意:/MAPPED スイッチを使用した場合、次の理由により、リモートコンピュータ上のウイルスが完全に駆除されない可能性があります。 マッピングドライブのスキャンは、マッピングされているフォルダのみがスキャン対象となります。すなわち、リモートコンピュータの全フォルダがスキャンされるとは限らないため、検出漏れが発生するおそれがあります。 マッピングドライブ上でウイルスファイルを検出した場合でも、リモートのコンピュータ上でアプリケーションがそのファイルを使用していた場合、そのファイルを駆除することはできません。 このような理由により、(/MAPPEDスイッチを使用せずに) 駆除ツールを全コンピュータ上で個別に実行することを推奨します。 /EXCLUDE スイッチは、単一のパスに対してのみ動作します。複数のパスに対しては動作しません。このスイッチの代替方法として、/NOFILESCAN スイッチを使用し、その後、AntiVirus で手動スキャンを実行する方法があります。これにより、駆除ツールがレジストリを変更することが可能になります。その後、最新版のウイルス定義を使用して、AntiVirus によるコンピュータの完全スキャンを実行してください。これらの一連のステップを実行することで、ファイルシステムをクリーンな状態に戻すことができます。 以下は、単一ドライブをスキャン対象から除外したい場合に使用可能なコマンドラインの一例です。 >"C:\Documents and Settings\user1\Desktop\FxMydoom.exe" /EXCLUDE=M:\ /LOG=c:\FxMydoom.txt 不等号 (>) の部分はパスには含まれません。 上記の代わりに、下記のコマンドラインを使用してもかまいません。この場合、ファイルシステムのスキャンはスキップされますが、ワームによってレジストリに行われた変更は修復されます。その後、通常通りの方法で、スキャン対象を指定し、システムのスキャンを実行してください。 >"C:\Documents and Settings\user1\Desktop\FxMydoom.exe" /NOSCANFILE /LOG=c:\FxMydoom.txt ログファイルの名前は、任意に指定することが可能です。上記に記載のファイル名はこの例の説明目的で使用されているだけです。 -------------------------------------------------------------------------------- ツールの入手方法と使用方法 -------------------------------------------------------------------------------- 注意: Windows NT 4.0/2000/XP上でこのツールを実行する場合は、管理者権限でログオンしておく必要があります。 -------------------------------------------------------------------------------- -------------------------------------------------------------------------------- 警告: MS Exchange 2000 サーバ をご利用の場合、コマンドライン(EXCLUDEスイッチ)から駆除ツールを走らせることで、M ドライブをスキャン対象から外したいとお考えになるかもしれません。この作業を行う/行わないに関わらず、駆除ツールを実行する前に、必ず M ドライブ上の全てのデータのバックアップをとってください。この手順の必要性につきましては、マイクロソフト サポート技術情報 - 299046 "予定表アイテムがユーザーのフォルダから削除される "をご覧ください。 -------------------------------------------------------------------------------- 下記のサイトから FxMydoom.exe ファイルをダウンロードします。 http://securityresponse.symantec.com/avcenter/FxMydoom.exe ファイルをダウンロードフォルダもしくは Windows デスクトップなど都合のよい場所(できれば未感染のリムーバブル メディア)に保存します。 デジタル署名の信憑性をチェックするには、後述の「デジタル署名の確認方法」のセクションを参照してください。 ツールを実行する前に、稼動中のプログラムを全て閉じてください。 お使いのコンピュータがネットワークに接続している、あるいはインターネットに常時接続している場合、ネットワークあるいはインターネットへの接続を遮断してください。 Windows Me/XP システム上で作業している場合、システムの復元機能をオフにしてください。詳しくは、後述の「Windows Me/XP のシステムの復元オプション」をご覧ください。 -------------------------------------------------------------------------------- 注意:Windows Me/XP をお使いのお客様は、このステップを必ず実行してください。 -------------------------------------------------------------------------------- FxMydoom.exe ファイルをダブルクリックして実行します。 Start ボタンを押して、駆除を開始させます。 コンピュータを再起動します。 駆除ツールを再度実行し、システムがクリーンな状態になったか確認します。 Windows Me/XP をご使用の場合は、この時点でシステム復元機能をオンに戻します。 Active Desktop をご利用の場合は、設定を復元する必要があります。 LiveUpdate を実行し、ウイルス定義を最新版に更新します。 -------------------------------------------------------------------------------- 注意:Windows Me/XP を使用している場合にシステム復元機能を有効にしたまま駆除ツールを実行すると、Windows によって外部のプログラムによるシステムの復元の改変操作が妨げられるため、駆除に失敗し、駆除ツールが行うワーム駆除操作がすべて失敗する可能性があります。 -------------------------------------------------------------------------------- 駆除処理が終わると、お使いのコンピュータが W32.Novarg.A@mm/W32.Mydoom.B@mm に感染していたかどうかを示すメッセージが表示されます。ワームの駆除に成功した場合、次の結果が表示されます。 Total number of the scanned files. (スキャンされたファイル数) Number of deleted files. (削除されたファイル数) Number of repaired files. (修復されたファイル数) Number of terminated viral processes. (終了された有害プロセス数) Number of fixed registry entries. (復元されたレジストリ項目) デジタル署名の確認方法 FxMydoom.exe はデジタル認証されています。シマンテックでは Security Response のダウンロードページから直接ダウンロードして入手したものだけを使用することを推奨します。デジタル認証の署名をチェックするには、以下の手順にしたがってください。 http://www.wmsoftware.com/free.htmをクリックします。 Chktrust.exe ファイルを FxMydoom.exe と同じフォルダ(例: C:\Downloadsなど)にダウンロードします ご使用の Windows のバージョンに応じて、次のいずれかの操作を実行します。 Windows 95/98/NT の場合: [スタート] ボタンをクリックし、[プログラム]-[MS-DOSプロンプト]を選択します。   Windows Me/XP/2000 の場合:[スタート] ボタンをクリックし、[プログラム]-[アクセサリ]-[コマンド プロンプト]を選択します。 FxMydoom.exe と Chktrust.exe が保存されているフォルダに移動し、次のコマンドを入力し、Enter キーを押します。 chktrust -i FxMydoom.exe 例えば、C:\Downloads フォルダに保存している場合は、下記のようにコマンドを入力してください(1行入力するごとに Enter キーを押してください)。 cd\ cd downloads chktrust -i FxMydoom.exe デジタル認証が正当なものである場合、次のメッセージが表示されます。 "FxMydoom.exe"は 2004/01/31 02:46 に署名されて次から配布されています。インストールして実行しますか? Symantec Corporation -------------------------------------------------------------------------------- 注意: 日時はセットしているタイムゾーンによって変わります。上記はタイムゾーンを(GMT+9:00)東京、大阪、札幌に設定してある場合です。 夏時間を設定してある場合はさらに一時間早く表示されます。 このメッセージ ダイアログが表示されない場合、次の2通りの原因が考えられます。 そのツールがシマンテックから配布されたものではない。ツールがシマンテックのWebサイトからダウンロードした正規のツールだという確信がない限り、そのファイルは使用しないでください。 そのツールはシマンテックから配布された正規のツールであるけれども、お使いのOSがSymantec Corporationからの内容を常に信頼するように設定されていた場合。詳しくは、ドキュメント"Chktrust.exe で発行者の認証ダイアログが表示されるように設定する方法"をご覧ください。 -------------------------------------------------------------------------------- [はい]をクリックして、ダイアログボックスを閉じます。 exit と入力し、Enter キーを押します。(これでMS-DOSプロンプトが終了します。) システムの復元オプションを無効にする (Windows Me/XP) Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。 Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。 また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に Restore フォルダ内の脅威が検出されることがあります。 システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。 Windows Me のシステムの復元機能を有効/無効にする方法 Windows XP のシステムの復元機能を有効/無効にする方法 システムの復元機能についての詳細および別の無効化方法については、Microsoft Knowledge Base article :_RESTORE フォルダにウィルスが発見された場合の対応方法について ID: Q263455をご覧ください。 改編履歴: 2004年2月2日: レジストリキーの削除に関する情報を更新しました。 2004年1月30日: W32.Mydoom.B@mm に対応しました。 2004年1月27日: マイナー・バグを修正したVersion 1.0.3 をリリース。