DOS/V Power Report 2004 June

home *** CD-ROM | disk | FTP | other *** search

/ DOS/V Power Report 2004 June / VPR0406.ISO / ANTI_VIR / FIXOPSRV / W32_Opaserv駆除ツール.txt < prev

Wrap

Text File | 2003-08-30 | 12KB | 243 lines

日本サイト更新日: 2003年2月3日 17:30 W32.Opaserv.Worm 駆除ツール発見日: 2002年9月30日 (米国時間) 最終更新日: 2003年1月28日 08:56 (米国時間) 重要－最初にお読みください－このワームはMicrosoft Windows 95/98/Meのセキュリティ上の脆弱性を利用します。ワームは1文字のパスワードをネットワーク共有に送信することで、Windows 95/98/Meのファイル共有に割り当てられているパスワード全部を知らなくても、そのファイル共有にアクセスできるようにします。この脆弱性の影響を受けるシステムはWindows 95/98/Meです。上記のOSを稼動しているコンピュータ用の修正プログラムは、下記ページからダウンロードいただけます。 http://www.microsoft.com/japan/technet/security/bulletin/MS00-072.asp 上記OSをお使いの方でまだ修正プログラムを適用していないお客様は、必ず修正プログラムを適用して今後の感染を防止してください。ネットワークに接続して作業している場合、あるいは、DSLやケーブルモデム等を使用してインターネットに常時接続している場合、コンピュータをネットワークまたはインターネットとの接続をいったん切り、有効になっていたファイル共有を無効にしてください。このワームはネットワーク接続しているコンピュータ上で共有されているフォルダを使って感染します。したがって、駆除ツールの実行後にワームの再感染を防ぐためには、ネットワークに接続したり、共有を有効に戻す前に必ず、いったんすべての共有を無効にし、ネットワーク上の全コンピュータに対して駆除作業を実行した後、全システムに修正プログラムを適用し、全コンピュータ上にあるウイルス定義を最新版に更新してください。重要：このステップは絶対に省略しないでください。このワームの駆除を行うためには、必ず事前にネットワークとの接続を切っておく必要があります。ファイル共有に関する詳細については、WindowsのマニュアルあるいはドキュメントHow to configure shared Windows folders for maximum network protection（英語）をご覧ください。駆除作業の完了後、ファイル共有を有効な状態に戻す際には、Cドライブのルートを共有するのではなく、共有したいフォルダのみに共有を設定することをお勧めします。共有フォルダには必ず安全なパスワードを設定するようにし、空白のパスワードの使用は避けてください。 Windows 95/98/Me上で共有設定を行う場合は必ず事前に、下記のページから配布されているマイクロソフトの修正プログラムをダウンロードし、インストールしてください。 http://www.microsoft.com/japan/technet/security/bulletin/MS00-072.asp このツールが行なうこと W32.Opaserv.Worm駆除ツールは次のことを行います。 W32.Opaserv.WormおよびW32.Opaserv.K.Wormを含む既知のすべての亜種の有害なプロセスをすべて停止させます。 W32.Opaserv.Wormおよび既知のすべての亜種の実行ファイルをすべて削除します。ワームがレジストリに追加した項目を削除します。 Win.iniファイルを復元します。 Microsoftの修正プログラムをインストールするよう促すメッセージを表示します。その修正プログラムは下記のページからダウンロードしてください。 http://www.microsoft.com/japan/technet/security/bulletin/MS00-072.asp このツールで利用可能なコマンドラインスイッチスイッチ説明 /HELP, /H, /? ヘルプメッセージを表示します。 /NOFIXREG レジストリの修復をオフにします（このスイッチの使用は推奨しません）。 /SILENT, /S サイレントモードをオンにします。 /LOG=<path name> <pathname>で指定した場所にツールの出力内容を保管するためのログファイルを作成します。標準では、FixOpsrv.logというログファイルが駆除ツールと同じディレクトリに保存されます。 /MAPPED マッピングされているネットワークドライブをスキャンします（このスイッチの使用は推奨していません。）。 /START ツールによるスキャン操作をすぐに強制開始します。 /EXCLUDE=<path> <path>で指定した場所をスキャン対象から除外します（このスイッチの使用は推奨していません）。注意：/MAPPED スイッチを使用した場合、次の理由により、リモートコンピュータ上のウイルスが完全に駆除されない可能性があります。マッピングドライブのスキャンは、マッピングされているフォルダのみがスキャン対象となります。すなわち、リモートコンピュータの全フォルダがスキャンされるとは限らないため、検出漏れが発生するおそれがあります。マッピングドライブ上でウイルスファイルを検出した場合でも、リモートのコンピュータ上でアプリケーションがそのファイルを使用していた場合、そのファイルを駆除することはできません。このような理由により、（/MAPPEDスイッチを使用せずに）駆除ツールを全コンピュータ上で個別に実行することを推奨します。ツールの入手方法と使用方法：注意：Windows NT4/2000/XP上でこのツールを実行する場合は、管理者権限でログオンしておく必要があります。下記のサイトからFixOpsrv.exe ファイルをダウンロードします。 http://securityresponse.symantec.com/avcenter/FixOpsrv.exe ファイルをダウンロードフォルダもしくはWindowsデスクトップなど都合のよい場所（できれば未感染のリムーバブルメディア）に保存します。デジタル署名の信憑性をチェックするには、後述の「デジタル署名の確認方法」のセクションを参照してください。ツールを実行する前に、すべてのプログラムを終了します。ネットワークに接続して作業している場合、あるいは、インターネットに常時接続している場合、ネットワークまたはインターネットとの接続をいったん切ります。 Windows Me/XPシステム上で作業している場合、システムの復元機能をオフにしてください。詳しくは、後述の「Windows Me/XPのシステムの復元オプション」をご覧ください。注意: Windows Me/XP上で作業している場合は、このステップは絶対に省略しないでください。 FixOpsrv.exe ファイルをダブルクリックして実行します。 Start ボタンを押して、駆除を開始させます。コンピュータを再起動します。駆除ツールを再度実行し、システムがクリーンな状態になったか確認します。 Windows Me/XPをご使用の場合は、この時点でシステム復元機能をオン状態にします。 LiveUpdateを実行し、ウイルス定義を最新版に更新します。注意：WindowsMe/XPを使用している場合にシステム復元機能を有効にしたまま駆除ツールを実行すると、Windowsによって外部のプログラムによるシステムの復元の改変操作が妨げられるため、駆除に失敗し、駆除ツールが行うワーム駆除操作がすべて失敗する可能性があります。駆除処理が終わると、お使いのコンピュータがW32.Opaserv.Wormに感染していたかどうかを示すメッセージが表示されます。ワームの駆除に成功した場合、次の結果が表示されます。 The total number of the scanned files..(スキャンされたファイル数) The number of deleted files. （削除されたファイル数） The number of terminated viral processes. （停止された有害プロセスの数） The number of deleted viral registry entries.（削除されたレジストリ項目）デジタル署名の確認方法 FixOpsrv.exe はデジタル認証されています。シマンテックでは Security Response のダウンロードページから直接ダウンロードして入手したものだけを使用することを推奨します。デジタル認証の署名をチェックするには、以下の手順にしたがってください。 http://www.wmsoftware.com/free.htmをクリックします。 Chktrust.exeファイルをFixOpsrv.exe と同じフォルダ（例：C:\Downloadsなど）にダウンロードしますご使用のWindowsのバージョンに応じて、次のいずれかの操作を実行します。 Windows 95/98/NTの場合： [スタート] ボタンをクリックし、[プログラム]-[MS-DOSプロンプト]を選択します。 Windows Me/XP/2000の場合：[スタート] ボタンをクリックし、[プログラム]-[アクセサリ]-[コマンドプロンプト]を選択します。 FixOpsrv.exe と Chktrust.exe が保存されているフォルダに移動し、次のコマンドを入力し、Enterキーを押します。 chktrust -i FixOpsrv.exe 例えば、C:\Downloads フォルダに保存している場合は、下記のようにコマンドを入力してください。（１行入力するごとにEnterキーを押してください） cd\ cd downloads chktrust -i FixOpsrv.exe デジタル認証が正当なものである場合、次のメッセージが表示されます。 "W32.Opaserv.Worm Removal Tool" は 02/12/28 5:42 に署名されてから次から配布されています。インストールして実行しますか： Symantec Corporation. 注意：日時はセットしているタイムゾーンによって変わります。上記はタイムゾーンを（GMT+9:00）東京、大阪、札幌に設定してある場合です。夏時間を設定してある場合はさらに一時間早く表示されます。このメッセージダイアログが表示されない場合、次の2通りの原因が考えられます。そのツールがシマンテックから配布されたものではない。ツールがシマンテックのWebサイトからダウンロードした正規のツールだという確信がない限り、そのファイルは使用しないでください。そのツールはシマンテックから配布された正規のツールであるけれども、お使いのOSがSymantec Corporationからの内容を常に信頼するように設定されていた場合。詳しくは、ドキュメントHow to restore the Publisher Authenticity confirmation dialog box（英語）をご覧ください。 [はい]をクリックして、ダイアログボックスを閉じます。 exit と入力し、Enterキーを押します。これでMS-DOSプロンプトが終了します。 Windows Me/XPのシステムの復元オプション Windows Me/XPをお使いの場合は、駆除ツールを使用する前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XPの新機能の一つで、標準では有効に設定されています。この機能は、Windowsがコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが_RESTOREフォルダ内に作成されている可能性があります。デフォルトでは、Windowsは、外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、感染したファイルが誤って復元されたり、オンラインスキャンによってその場所の脅威が検出される可能性があります。システムの復元機能を無効にする方法についての詳細は、下記のドキュメントをご覧ください。 Windows Me のシステムの復元機能を有効/無効にする方法 Windows XP のシステムの復元機能を有効/無効にする方法システムの復元機能についての詳細および別の無効化方法については、Microsoft Knowledge Base article :_RESTORE フォルダにウィルスが発見された場合の対応方法について ID: Q263455をご覧ください。駆除ツールをフロッピーディスクから実行するには FixOpsrv.exe が入っているフロッピーディスクをフロッピードライブに挿入します。 [スタート] - [ファイル名を指定して実行]を選択します。下記の通り入力して、OKをクリックします。 a:\fixopsrv.exe 注意： a:\fixopsrv.exeにはスペースを入れないでください。 Windows Meをお使いの方で、システムの復元機能を有効にしたままこのツールを実行すると警告メッセージが表示されます。その場合、システムの復元オプションを無効にして実行を続けるか、駆除ツールの実行を終了するかを選択してください。 Startボタンをクリックして駆除ツールを実行します。 Windows Meをお使いの方は、この時点でシステムの復元機能を有効な状態に戻してください。注意: このワーム自身がウイルスに感染し、その後ウイルスが侵入先コンピュータに感染を広げたという報告が幾つか寄せられています。そのため、W32.Opaserv.Wormの駆除作業を終了した後に、システム全体のスキャンを実行することをお勧めします。このワームとは異なる脅威に感染しているファイルが検出された場合、http://www.symantec.com/region/jp/sarcj/vinfodb.htmlを開き、入力フィールドに検出された脅威の名称を入力し、[検索]をクリックしてください。その名前が見つかった場合、そのページを開き、駆除手順を実行してください。追加情報ネットワークに接続して作業しているか、DSLやケーブルモデム等を使ってインターネットに常時接続しているか、あるいは、ダイアルアップ接続を長時間接続したままにすることが多い場合は、付加的な保護対策としてファイアウォールをインストールすることを強く推奨します。シマンテックのファイアウォール製品に関する詳細は、下記のページをご覧ください。　http://www.symantec.com/region/jp/products/index.html 個人のお客様向けNAV製品をお使いの場合は、ドキュメント" ow to prevent reinfections of W32.Opaserv.Worm"(英語)も併せてお読みください。この駆除ツールを実行できた場合でもシステム全体のスキャンを実行した際にC:Windows\SysbckupフォルダまたはNortonごみ箱でW32.Opaserv.Wormが検出されたにもかかわらず、それを削除できない場合には、次の手順に従ってください。 Sysbckupフォルダ: W32.Opaserv.WormがC:\Windows\Sysbckup\<ファイル名>.cabフォルダで検出された場合 ( <ファイル名> はRb###またはPrb###の形式)：感染ファイル名を書き留めます。コンピュータをセーフモードで再起動します。Windows NT以外のすべてのWindows 32-ビットOSはセーフモードで再起動することができます。具体的な手順については、次のうち、ご使用のOSに該当するドキュメントをご覧ください。 Windows XPをセーフモードで起動する方法 Windows 2000　をセーフモードで起動する方法 Windows 9x または Windows Me をセーフモードで起動する方法その後、Windowsエクスプローラを使って、C:\Windows\Sysbckupフォルダを探し、感染ファイルを選択して削除します。 Nortonごみ箱：Nortonごみ箱を空にしてください。