Tokyo Automobile Service Promotion Association
Tokyo Automotive Service Industry Commerce Association

   入会関係認証指定関係講習関係駐車違反車検拒否フロン回収パソコン百科
   |速度抑制装置装着義務付け|PCウィルス|

コンピューターウィルス対策

『ウィルスの最新情報はどこから手に入れれば良いの?

 以下の法人・団体でコンピューターウィルスについての最新情報を手に入れることができます。
『注意!Windowsが再起動を繰り返すウィルスが蔓延しています

 Windowsが起動した直後、強制的に「再起動」を繰り返す症状が発生します。

 この現象を引き起こすコンピューターウィルスは「WORM_SASSER.B」(サッサー)と言い、【ワーム】の一種です。

 ワームの被害を避けるためには、以下の説明をご参照の上、セキュリティホールを修正してください。
【Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)】
●感染時の症状:
 以下のような症状があった場合は、本ワームへの感染を疑ってください。
 ・Windowsが「LSA Shell (Export Version)」あるいは「System Shutdown」(以下図)などの表示後、再起動する。

●感染時の対策:感染が疑われる場合には、以下の対処を行ってください。
 1)お手持ちのウィルス対策ソフトウェアを最新版に更新する。
 2)ウィルス対策メーカー各社の「駆除ツール」を利用する。(下のリンクからダウンロードできます)

【トレンドマイクロ:「トレンドマイクロ ダメージクリーンナップサービス」】

【シマンテック: 「W32.Sasser 駆除ツール」】

 W32.Sasser.worm(以下Sasser)は2003年8月に猛威をふるったBlasterウイルスと同様、OSの脆弱性を利用した、ネットワークに接続しているだけで感染する”タイプのウィルスです。

 修正プログラムの適用あるいは駆除ツールの入手を行う前にコンピュータがシャットダウンした場合の対処方法

 W32.Sasser.B.Worm は、Windows をシャットダウンと再起動を繰返し行う状態に陥らせる能力を持っています。
 このような事態が発生した場合、マイクロソフトから配布されている修正プログラムのインストールや、後述の駆除ツールのダウンロードができなくなります。このような状況下に陥った場合、システムがシャットダウンしないようにするためには、下記の手順を実行してください。

1:コンピュータをネットワーク/インターネットに接続している場合は、接続を切ります。
 (必要であれば、ケーブルを外してください。)

2:コンピュータを再起動します。

3:Windows が起動し、デスクトップ画面が表示されたら、すぐに [スタート] ボタンを押し、[ファイル名を指定して実行]をクリックします。

4:次のコマンド cmd を入力し、その後、Enter キーを押します。
5:次のコマンド shutdown -i を入力し、その後、Enter キーを押します。
6:[リモート シャットダウン ダイアログ] が開いたら、[警告を表示する時間]の値を、"20" 秒間から、次の値に変更し、 9999 その後、[OK] をクリックします。
7:これにより、修正プログラムのインストールやウイルス定義の更新などの操作を実行する時間的余裕が
3 時間与えられます。
8:ネットワーク/インターネットに再接続します。
9:インターネットに接続し、修正プログラムをダウンロードし、インストールします。その後、以下の駆除手順を実行します。
(修正プログラムの適用が終わり、脅威の駆除作業が終わった時点で、必要に応じて、[警告を表示する
時間]の値を初期値の 20 秒間に戻しても構いません。)

『注意!最近、Tossmailの発信者を語り、ウイルスが迷惑メールを送りつけています
 Tossmailの差出人(ウィルスが詐称しています)からメールが届いている場合は開かずに削除して下さい。
 誤ってメールの添付ファイルを開いてしまった場合、無料駆除ツールをご使用下さい。

 ウイルス駆除ツール(シマンテック社提供)(青字をクリック下さい
       説明文 : 駆除ツール(ダウンロードされます)

 オンラインスキャン(トレンドマイクロ社提供)
  その他のウイルスに感染していないか確認できます。こちらをクリックして下さい。(繋がるまで時間が掛かります)
どんなウィルスなの?
○ウィルスの種類
ウイルス名 : W32/Netsky.d@MM
別名:

I-Worm/Netsky.D (Grisoft)
W32.Netsky.D@mm (NAV)
W32/Netsky.D.worm (Panda)
種別 : ワーム
対象OS: Windows全般

 W32.Netsky.D@mm は、大量メール送信型のワーム、W32.Netsky.C@mm の亜種です。
 このワームは、ドライブ C からドライブ Z までスキャンを行うことによって電子メールアドレスを探し出し、
発見したアドレスに対して自分自身を送付します。件名、本文、および添付ファイル名は不定です。
 添付ファイルの拡張子として、".pif" が付きます。

○感染方法
・W32/Netsky.d@MMは電子メールを介して繁殖し、自身のSMTPエンジンを使用してメッセージを作成します。

○説明
・W32/Netsky@MMの新しい亜種であるW32/Netsky.d@MMは定義ファイル 4328 以降を
使用して圧縮ファイルスキャンをオンにして検索すると、W32/Netsky.c@MM として検出、駆除されます。

・W32/Netsky.d@MMは電子メールおよびマッピングされたネットワークを介して繁殖します。
ターゲットマシンで検出したアドレスへ自身を送信し、C〜Zドライブ上のフォルダにウイルス自身をコピーします。
 また、W32/Mydoom.a@MMおよびW32/Mydoom.b@MMウイルスの無力化を試みます

○電子メールを介した繁殖
 差出人は感染マシンから取り出したアドレスで偽装されます。
添付ファイルは、ワーム内に含まれる文字列に拡張子.PIFをつけたファイル名が使用されます。

メールコンポーネントがローカルシステムからアドレスを抽出します。
ウイルスはSMTP経由で自身を送信します。メッセージはウイルス自身が持つSMTPエンジンで作成されます。
 DNSサーバのMXレコードを探し出し、ターゲットドメインのMTAに直接接続し、メッセージを送信します。

○システムの変更
ウイルスは「WINLOGON.EXE」というファイル名で自身をウィンドウズディレクトリフォルダにコピーします。

C:\WINNT\WINLOGON.EXE (17,424 バイト)
注意:ウィンドウズシステムディレクトリ内に有効なファイルが存在します。
・システムスタート時にワームをロードするために以下のレジストリキーが作成されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"ICQ Net" = %WinDir%\WINLOGON.EXE -stealth

○ウイルス駆除
ウイルスは様々なレジストリー値を削除します。このレジストリー値は他のウイルス、トロイの木馬、
アプリケーションと関連していることがあります。

○感染症状
・上記のファイルとレジストリキーが存在します。
・予想せず、ネットワークトラフィックが存在します。
・オーディオペイロード - ローカルのシステム時刻が 2004年3月の火曜日 午前 6:00 から 午前 8:00 の間、
  コンピュータのスピーカーから、ビープ音がランダムな長さ、ランダムな頻度で鳴り続けます。
・きめ打ちされたIPアドレスのいずれかのための送信DNSクエリーが存在します。

どうすればウィルス感染を防げるの?
 ・市販のウイルス対策ソフトを必ず使用し、ウイルス定義ファイルの更新を欠かさないこと
 ・Windows Updateのセキュリティ修正プログラムを欠かさないこと
 以上2点は必須です。
 その他、被害に遭いにくくする秘訣を以下に掲載します。
大切なデータは常にバックアップ
市販のウイルス対策ソフトを使う
Windows Updateを欠かさない
インターネットは必要なときだけ接続する
メールをプレビューしない、添付ファイルは要注意
怪しいサイトはセキュリティ設定を「高」に
もらったデータは必ずウイルス検査
デマメールを広めない
感染したと思ったら、インターネットを遮断する
(ブロードバンドの場合はケーブルを抜く)

▲BACK▲PAGE TOP