- ベストアンサー
MS03-026 ワームの駆除・解決方法を教えてください
- MS03-026ワームに感染し、解決策を求めています。
- 試した修正プログラムやセキュリティ対策の結果、特に問題はない状態か判断ができません。
- 選択肢はバックアップソフトでのリカバリ、セキュリティホールの塞ぎ、何もしないです。
- f0034
- お礼率75% (15/20)
- ウィルス・マルウェア
- 回答数3
- ありがとう数2
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
なるほど。経緯は大体のところ分かりました。しかし…おそらくどこかで見当違いをしておられると思います。 要するに、おそらくはRPCに異常をきたし、システム再起動が無限にかかる状態になったのだと思われます。それを検索エンジンなどでいろいろ調べた結果、Blasterワームが原因ではないかと考えられた。違いますか? 更に、Blasterワームに感染する原因を修正するパッチが当たっているかどうかを調べるスキャンツールのありかまで調べられ(正直感服です。私も今調べてその存在が分かりました)、それを使って検査した結果…MS03-026は当たっていないと判断された…ということでは? 長々書きましたが…最も最初に示した『システム再起動がBlasterワームによるもの』という判断が間違っていると思われます。確かに、MS03-026などの脆弱性、そしてそれを利用したBlasterワームはRPCに異常をきたす原因の一つとなり得ます。 でも、正確にはMS03-026自体がRPCに異常をもたらすのではありません。それを利用してRPCに悪影響を与える感染がたまたま出現した、ということに過ぎません。 RPCに異常をきたした結果、システムが再起動するようになる原因は他にもいろいろ存在します。その中にはBlasterワーム以外のものが原因となるケースもあるようですし、そうしたものの感染にMS03-026以外の脆弱性が関係する場合ももちろんあると考えられます。 更に…既にWindows XPにサービスパック2が当たっており、MS03-026を置き換えるMS03-039がその段階で当たった状態になっていると思われます。MS03-026が適用されていない、とスキャンツールで出てもおかしくないし、それが深刻な問題になるとは思えません。 なお、別のマルウェアが原因でシステム再起動がかかるようになる現象はここでも何度か報告されています。ほぼ全てのケースで質問者さんが『これはきっとBlasterワームの仕業に違いない』と誤った判断をされていました。 Blasterワームはテレビや新聞でも取り上げられ、社会現象になった位のものですから、それもある程度致し方ないのですが…。 なので、RPCが原因でシステムが再起動するようになっても、MS03-026にとらわれるべきではないのです。そういうことです。 質問者さんの場合、取り敢えずシステム上の目立った異常はなくなり、F-Secureオンラインスキャンによって感染の確認と除去は行われたようなので、当面の心配はないと思います。しかし…ある種の感染が原因で今回のような事態が発生したのなら、同様な状況に陥る可能性はこれから先も十分にあると考えられます。それを避けるためには、今までとは別の感染対策を考えて行かねばならないと思います。 昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。 1)各種アプリケーションソフトのセキュリティ更新を怠らない。 Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、 ・Firefox、Operaなどのブラウザ。 ・Sun Java 仮想マシン(JRE)。 ・Flash PlayerやShockwave Playerなどのプラグイン。 ・Real Player、QuickTimeなどのメディアプレイヤー。 ・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。 最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。 http://internet.watch.impress.co.jp/ http://www.itmedia.co.jp/enterprise/security/ こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。 2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。 IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。 でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。 http://www.mozilla-japan.org/products/firefox/ http://jp.opera.com/ もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。 もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。 http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html 制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。 なお、Windows Vista上のIE7では、感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点=脆弱性の影響には十分注意しなくてはいけません。その辺は1)で説明した通りです。
その他の回答 (2)
- ryu-fiz
- ベストアンサー率63% (2705/4228)
>MS03-026 ワームにかかりました。 発症日 : 9/26~ 正直…状況がイマイチ飲み込めません。もっと分かりやすく説明していただけないでしょうか? まず、ワームというのは感染の一形態に過ぎません。にもかかわらず、トロイの木馬もウイルスも引っくるめて『ワーム』と呼ぶ方も中にはいらっしゃいますが、間違いです。 どうしても感染全般を横文字で総称したいのなら『マルウェア』という言葉を使ってください。この言葉にはスパイウェアやトロイの木馬など、あらゆる感染を全て含めた意味合いがあります。 で、『ワームに感染した』とのことなのですが…これって本当に『感染』したのですか??ウイルス対策ソフトでスキャンして出た表示は全て『感染』だとは限りません。ウイルスバスターの場合だと、きちんと適用されていないWindowsのセキュリティ更新が存在していると判断された場合にもその種の表示がされるようです。 その場合、それは感染を意味しません。あくまでも感染のリスクがあるだけに過ぎず、無論『ワーム』なんかではありません。 もし、正しく『ワーム』という名目で検出されたのだということならその旨補足をお願いします。 というか…もしかすると、こんな感じのものが検出されたのでしょうか? http://www.trendmicro.co.jp/vinfo/secadvisories/default6.asp?VName=MS03%2D026%5FRPC%5FDCOM%5FREMACT%5FEXPLOIT これと全く同じ名称でなくても末尾に"_EXPLOIT"とついていて、先頭に"MS03-026"とついているものが検出されたのだとしたら…それは、ブラウザで閲覧したページの中に、MS03-026として見つかったWindowsOSのセキュリティ上の弱点=脆弱性を突く感染の仕掛けが見つかった、ということになると思います。 その場合これは、そういう悪質な仕掛けが見つかった、そして一応それがブラウザに解釈されないように処理した、という警告と考えてください。例えセキュリティパッチがきちんと当たっていても、そういう仕掛けが見つかったときは警告して、万一の事態を防ぐような処理は行われます。なので、警告されたからすぐにそのセキュリティ更新を適用する必要がある、とは限りません。 つまりは、この警告で表示されたものに関しては安全だということで考えて良いかと思います。ウイルスバスターで見つけられない感染が絡む可能性もあり得ますが…既にF-Secureのオンラインスキャンで検出されたものの対処が済んでいるのであれば、まぁ大丈夫でしょう。 よっておそらく適切な選択肢は"C"ではないかと。
補足
こんばんわ、的確なアドバイス有難うございます。 当時の状況をご説明致します パソコンで普段通り作業をしており、休憩のためPCのある部屋を離れ そのまま放置。 部屋に戻るとPCが再起動されていました。 (当方のPCは起動、再起動する時F1を押さないと立上がらないのです。(苦笑)) その後、その動作を不審に思いながら作業を続けていると「強制終了」が起こるようになりました。 そのRPC画面を元にネットで調べてみると MS03-026 である事が判り、色々手を打ってみたり この掲示板へ投稿した次第です。 >これと全く同じ名称でなくても末尾に"_EXPLOIT"とついていて、先頭に"MS03-026"とついているものが… ウィルス検査の結果、その名目はありませんでした。 >脆弱性を突く感染の仕掛けが見つかった >一応それがブラウザに解釈されないように処理した、という警告と考えてください。 なるほど、そうなのですね ここは早とちりをしてはいけないところですね。 アドバイスとともに、もう1度振返ってみますと↓ 「強制終了」が走った。 ウィルス検査の結果、「その名目」はなかった。 と、いう状況でした。(一、二言 御見解を頂けたら幸いです。 お暇な時で結構ですので(すみません)) 現状をご報告しますと、その後「RPC」は走る事はありません。 アドバイスを頂きまして、ワームについての定義が明確に判りました 今後、『マルウェア』と、改めます。有難うございます。
- KengaKS
- ベストアンサー率21% (45/209)
こんにちは。 >ウィルスバスターオンラインスキャン ウイルスバスター2008を入れているのに、バスターのオンラインスキャンをしても意味がないのでは? F-Secureのオンラインスキャンを試してみてください。 http://www.f-secure.co.jp/v-descs/disinfestation.html これでもだめなら、選択肢「A」またはリカバリですね。その方が早いと思います。 また、 >「発症する度に、リカバリする」というのは解決なのでしょうか? 「発症させない」というのがベストだと思うのですが…。ウイルスの中には駆除が難しいものもあります。そのようなウイルスには、リカバリが最も早く解決する手段だと思います。
お礼
こんにちわ、url頂きまして有難うございます。 >「発症させない」というのがベストだと思うのですが…。 なるほど、仰る通りです。当方も、そう認識を改めた方が良いですよね。 加えて、勧めて頂いたスキャンのご報告致します。 -------------------------------------------------- Result: 8 malware found TrackingCookie.2o7 (spyware) System TrackingCookie.Adbrite (spyware) System TrackingCookie.Doubleclick (spyware) System TrackingCookie.Imrworldwide (spyware) System TrackingCookie.Webtrends (spyware) System Trojan-Downloader.Win32.Agent (virus) System Trojan-Downloader.Win32.Agent.ahts (virus) C:\WINDOWS\SYSTEM32\SPRINT.DLL Trojan-Spy.Win32.BHO.i (virus) C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER\QUARANTINE\SKYPECOMM.DLL (Submitted) -------------------------------------------------- spy:5 virus:3 見つかり、駆除しました。有難うございます。 追伸: LAN接続時間が、現在約7時間若です ワームによる強制終了はない模様です。
お礼
御連絡が遅くなりました事お詫び申上げます。 セキュリティ対策や、その概念について 懇切丁寧なご説明に大変感謝しております。 個人の知識ではそれについて深く掘下げ、概念を理解するに至るまで 容易ではありません 大変参考になり、1つまた学びました 有難うございます。
補足
>要するに、おそらくはRPCに異常をきたし、システム再起動が無限にかかる状態になったのだと思われます。それを検索エンジンなどでいろいろ調べた結果、Blasterワームが原因ではないかと考えられた。違いますか? はい >更に、Blasterワームに感染する原因を修正するパッチが当たっているかどうかを調べるスキャンツールのありかまで調べられそれを使って検査した結果…MS03-026は当たっていないと判断された…ということでは? はい >長々書きましたが…最も最初に示した『システム再起動がBlasterワームによるもの』という判断が間違っていると思われます。確かに、MS03-026などの脆弱性、そしてそれを利用したBlasterワームはRPCに異常をきたす原因の一つとなり得ます。 なるほど、ここですね。ここがNo.3さんと、当方の認識の違いが生じたのですね。 >でも、正確にはMS03-026自体がRPCに異常をもたらすのではありません。それを利用してRPCに悪影響を与える感染がたまたま出現した、ということに過ぎません 納得です。 >ほぼ全てのケースで質問者さんが『これはきっとBlasterワームの仕業に違いない』と誤った判断をされていました。 当方もです。 >なので、RPCが原因でシステムが再起動するようになっても、MS03-026にとらわれるべきではないのです。 納得です。 改めて↓ 「MS03-026自体」は悪ではない。 「MS03-026自体」というスィッチをピンポンダッシュする悪ガキがおる その「悪ガキ」は、OSだけではなく OS上で動く個々のアプリ。の、セキュリティが甘くなってる(更新を怠ってる)隙間を目ざとく突いて 「!っ ここ攻めようぜ!」という具合ですかね。 んーーーっ、なるほど!