19 :
前スレの967:
20 :
前スレの967:03/10/13 05:22
【WORM_MSBLAST.D miniFAQ 緊急です! 感染しちゃったらしいぽ】No.2
Q 駆除ツールとか拾ってきたんですが、なんかうまくいきません。
A まずウィールス本体のプログラムの動作を停止する必要があります。
Q ウィールス本体のファイル名は何ですか?
A WINNT\system32\winsディレクトリ中のDLLHOST.EXE SVCHOST.EXEの二つです
Q svchost.exe dllhost.exeってそもそも何ですか?
A どちらもWindowsの重要なシステムファイルです。本物を停止させちゃうと
Windowsが死にますです
Q ニセモノと本物の見分け方は?
A ニセモノは\WINNT\system32\winsというデイレクトリに巣食っています。
ニセモノはエクスプローラで作成日を見ると感染日(最近)になっています。
また本物とはサイズも違います。
Q タスクマネージャーのプロセスイメージ欄で本物とニセモノの区別がつきますか?
A ニセモノは大文字でSVCHOST.EXE DLLHOST.EXEと表示されるという報告あり。
(注 全ての場合にそうかどうか未確認)
Q タスクマネージャーでニセモノのSVCHOST.EXE DLLHOST.EXEが停止できません。
A セーフモードで起動してからタスクマネージャーで停止させます。
Q セーフモードって?
A まずOSの再起動をかけます。OSの起動中にF8キーを何度か押す。セーフモードで
起動したらタスクマネージャーで糞プログラムを停止し、ゴミ箱に捨ててやります。
それからおもむろに駆除ツールで修復へ
【WORM_MSBLAST.D miniFAQ 緊急対策=DCOM無効化】
Q 削除したら安心ですか?
A だめです。そのままだとあっというまに再感染。
Q どうすれば感染/再感染を予防できますか?
A 緊急対策として、まずDCOMを無効にします。Shields Up!で有名なセキュリティ
サイトからこのツールを落としてきて実行するだけ。英文ですが操作はかんたんです。
http://grc.com/files/DCOMbob.exe 左側の「DCOMbobulate Me!」というタブをクリック→Disable DCOMボタンをクリック
→Windows 再起動 これでもうブラスタD=Nachiには感染しません(゚д゚)ウマー
(Win2000でSP4未適用の場合はがんばってまずSP4適用してくださいでつ)
【WORM_MSBLAST.D miniFAQ 緊急です!2 PCが勝手に再起動しちゃうです 】No.3
あひゃ、それはスレ違い。ブラスタDではなくて、ブラスタAorBroCに感染してますねー。まだそんなのに感染するなんてカコワルーイ。ウィールス広めないようにまずケーブルを抜きましょう。
!!ウィールスは広めるあなたもウィールスじゃ!!
本体プログラム名はそれぞれ
WORM_MSBLAST.A→"MSBLAST.EXE"
WORM_MSBLAST.B→"PENIS32.EXE"
WORM_MSBLAST.Cの→"TEEKIDS.EXE"
ケーブル抜いたらセーフモードで起動(再起動の時F8を押す)してウィールス
本体を削除。修正パッチその他対策はブラスタDと同じ。↑のほう見てトレンド
とかシマンテックで対策してください。
【WORM_MSBLAST.D miniFAQ 日ごろの対策】
Q 日ごろどんなことに気をつければいいですか?
A ブラスターに限らず次のような対策をしていれば大きな被害を受けることは
まずないです。
Windows をアップデート
ウィールス/ワームが利用するセキュリティの穴を塞ぐ
Windows の不要なサービスを停止(↑にあるように、BlastD=Nachiの場合DCOM停止)
インターネットとの接続にルータを設置
外部からの侵入を防ぐ。(社内LAN等ルータの内側に持ち込まれたPCからの
感染は防げない)
各PCにファイアウォールソフトを常駐
LANからの侵入・拡散を防ぐ。(ルータなしの環境では外部からの侵入も防ぐ)
起動時のタイムラグに注意。(起動の際ケーブルを抜いておくと万全)
アンチウィールスソフトを常駐
FDやCDなどのメディアからの侵入も防ぐ。万一感染したときに駆除してくれる。
【WORM_MSBLAST.D miniFAQ 一般的なお話】No.4
Q このごろやたらにICMP(2048)とかいう接続要求がくるんですが?
A それがブラスタDのしわざです。
Q このICMPの接続要求って攻撃されてるってこと?
A このウィールス(正確にはワーム)はICMP(2048)を自分の周囲のPCに猛烈に打ち
まくり、返事があるとport135というドアから入りこみます。鯖立ててる場合以外は
ファイアウォールでport135を閉めておけばOK。ping自体は無害です。
Q ブラスタDってどのポートから入ってきやがりますか?
A 普通はport135から入ってきてバックドアをport707に作りやがります。プログラム
本体が転送されるのはこのport707(なお、IIS5.0を利用しているサーバーマシンの
場合、port80を通じてWebセッションが攻撃されます)
Q ICPMのping、うぜーんだけど。どーにかなんね?
A 残念ながら打つ手なし。ファイアーウォールやルータをしかるべく設定した上でシカト。
Q pingなんかプロバで止めろよ
A ICMP止めてもWebセッションにはほとんど影響ないんですが、プロバがユーザーの
様子見るのに使ってたり、企業ネットでも使われてたりして、止めにくいみたいでつ
【WORM_MSBLAST.D miniFAQ ファイアーウォール編】
Q ファイアーウォールって何?
A ファイアーウォール(FW)はデータ通路の玄関(port)の警備員みたい
なものです。通行許可証のない人(データ)を通さないようにします。
Q ファイアーウォール入れていても感染しますか?
A 感染します。OSがネットに接続してからFWソフトが立ち上がるまでの
わずかなスキに侵入されることがあります。修正パッチ当てる前のOSを立ち
上げるときはケーブルを抜くか、モデムの電源を落としておきます。
Q 無料のファイアウォールってどうなのよ? ちゃんと役に立つ?
A 次のような製品があります。機能は十分です。詳しいことはそれぞれのサイトやスレで
【WORM_MSBLAST.D miniFAQ Windows 2000編】No.6
Q これからWindows2000 Pro をインストールしようと思ってますが、そのままつないで
大丈夫ですか?
A 大丈夫ではありません。Win2000 SP4適用済み だったら、ネットにつなぐ前に
まず応急措置としてDCOMを無効にします。
>>20にあるツールを使うか、
スタート→ファイル名を指定して実行→dcomcnfg.exe
→「既定のプロパティ」タブ
→「このコンピュータ上で分散COMを有効にする」のチェックを外す。
→ネットにつないでパッチをダウンロード
Q Win2000のSP4適用しようと思うけどブラスタに邪魔されて落とせません(泣
A まずウィルス駆除。ファイアウォールとアンチウィールスを入れる。
それからSP4適用、DCOM無効化…たいへんでつね