WORM_DOWNAD
2008年末から広がっているワームです。
ワームというのは広い意味ではウィルスの一種。ネットワークを利用して自分自身をコピーしたり、パソコンを乗っ取ったりします。
多いのが、Windowsの脆弱性を衝くワームです。
古くは2003年に流行して、住基ネットなどに被害を出したBlasterやSasserなど挙げられますが、ここ最近はなんと言ってもWORM_DOWNAD(ダウンアド)です。
W32.Downadupとも言います。
感染経路
-
RPCの脆弱性によるセキュリティホール
MS08-067のMicorosoftの修正パッチ(下記、関連リンク参照)が適用されていないパソコンはネットワークに接続するだけで、自動的にウィルスがダウンロードされます。
-
Windowsの共有フォルダ経由
Windows XP Professional は、初期設定で管理共有という特殊な共有フォルダが設定され、管理者パスワードに単純なものを設定していると、共有フォルダを経由して他のパソコンにコピーされます。
-
USBメモリのautorun
USBメモリにautorun.infという自動起動ファイルがコピーされ、接続しただけで自動起動し感染します。
以下のような症状が出たら要注意。
典型的症状
-
Windowsの起動が遅い、動作・反応がぎこちない、よく固まるなどOS自体が不安定。
-
WinodwsUpdateやTrendMicro、Symantecなどウィルス対策ソフトメーカーサイトにつながらない。
-
WindowsUpdateに関連するサービス(Background Intelligent Transfer Service)が無効になる。
-
Windowsファイアーウォールの例外タブに変な名前のプログラムがランダムなポート番号で登録される。
-
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5 以下のフォルダに同じサイズ(163kB)の偽装画像ファイル(jpg、pngファイルなど)が複数生成される。
2については、nslookupで名前解決ができているにもかかわらず、pingコマンドをたたくとHost Unknownを返します。通常あり得ない現象です。
WindowsUpdateができないと該当するセキュリティホールを修正できず、ウィルス対策ソフトメーカーの無償駆除ツールも取りに行けません。
別のPCでダウンロードして、移して使ってください。
この際、USBメモリを使う際は、決して他のPCには取り付けないこと。Autorun.infファイルを書きこまれてさらなる拡散につながります。
CDに焼き付けるなど書き込みできないメディアを利用するのが理想的です。
以下、関連リンクです。
-
トレンドマイクロセキュリティブログ 系譜から探る深刻度が増した「WORM_DOWNAD」
-
無償駆除ツール トレンドマイクロ WORM_DOWNAD駆除ツール
-
無償駆除ツール シマンテック W32.Downadup Removal Tool
-
マイクロソフト セキュリティ情報 MS08-067 – 緊急
対処方法
-
上記リンクのどちらかから無償駆除ツールをダウンロードして、スキャンをかけてください。
-
WindowsUpdateでセキュリティホールを修正してください。(Background Intelligent Transfer Serviceが無効になっている場合は、有効にしてください)
-
それでもWindowsUpdateにつながらない場合は、上記リンクよりMS08-067修正プログラムをダウンロードして手動で適用してください。
-
Windowsファイアーウォールの例外タブをチェックしてください。アルファベト小文字だけの名前のプログラムでランダムなポート番号のプログラムを例外から削除してください。
-
パソコンを再起動して、もう一度WindowsUpdateをしてください。重要な更新がなければOK。
-
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5 以下のフォルダに存在する163kB(固定サイズ)の偽装画像ファイルをすべて削除してください。これらはワーム自身のコピーです。ウィルス対策ソフトでは削除できないことがあります。この際、フォルダオプションで「保護されたオペレーティングシステムファイルを表示しない」のチェックを外さないと表示されません。
-
インターネット一時ファイルは削除してください。ワームの場合、ここに潜んでいる場合も多いです。これは他のワームにも言えます。
-
USBメモリ経由のさらなる感染を防ぐために、自動再生を無効にしてください。「gpedit.msc」→コンピュータの構成→管理用テンプレート→システム→「自動再生機能をオフにする」のポリシーを有効にしてください。
-
ウィルス対策ソフトを入れて、全ドライブをスキャンしてください。無償のものもありますので、必ず入れてください(本サイトのフリーソフトの項目を参照)
-
何も見つからなければOKです。他にネットワークでつながっているパソコンがある場合は、念のためウィルススキャンをしてください。
関連する投稿
ウィルス対策ソフト
無料のウィルス対策ソフトにはいくつかあります。
特に有名なのが以下の5つ。
-
avast! 4 Home Edition
-
AVG Anti-Virus Free Edition
-
Avira AntiVir Personal – FREE Antivirus
-
Kingsoft Internet Security
-
Microsoft Security Essentials
avast! 4 Home Edition
古くからあるソフトで日本語版あり。年に1回メールアドレスの登録が必要だが、個人・非営利利用は完全に無料。
登録は以下から。
avast! 4 Home Edition の登録
AVG Anti-Virus Free Edition
こちらも古くからあるソフトで、最近日本語化されました。個人・非営利利用は無料。
Avira AntiVir Personal – FREE Antivirus
傘のマークの無料ウィルス対策ソフト。雑誌の紹介では検出率が無料ソフトの中では高いらしい。
Kingsoft Internet Security
Kingsoft Office というMicorosoft Office互換のソフトも販売している会社が作ったソフト。中国製。
最近、無料化されました。広告が付きますが、統合セキュリティソフトなので高機能です。
Microsoft Security Essentials
Microsoftが配布している無償のウィルス・スパイウェア対策ソフトです。
非常にシンプルな作りで分かりやすくできてます。
Micorosoft純正ということもあり、信頼性は高いと思われます。
関連する投稿
Micorosoftのウィルス対策ソフト
WORM_DOWNAD(ダウンアド)が広がりを見せています。
感染したPCを見ると、Windowsファイアーウォールの例外にランダムで変なポートが登録されています。
この例外を削除しないと、また感染するみたいです。
被害に遭った方、気をつけてください。
ウィルス対策といえば、いろいろなベンダーが有料・無料で出していますが、
Microsoftが無償でウィルス対策を今年末くらいに提供するそうです。
我々からすればありがたいことですが、既存のベンダーにとっては脅威かもしれません。
参考記事
MS、コンシューマー向けセキュリティ対策スイートを無償提供へ
米Microsoftが来年にも無料のマルウェア対策機能を提供開始
関連する投稿
Windows Server Update Service
Winodows Server Update Service(WSUS)を追加しました。
Windowsのパッチを配布するサーバを構築できるMicorosoftの無償ソフトです。
Winodws Server 2003 以上で動作します。
なお、WSUSを使用するために必要なグループポリシーの設定については、自動更新の項を参照。
関連する投稿
自動更新
WSUSを使用するためには、クライアントの設定が必要です。
グループポリシーで指定するとドメイン内のPCにまとめて適用できて便利です。
設定箇所は、グループポリシーエディタで
コンピュータの構成→管理用テンプレート→Winodwsコンポーネント→Windows Updateを開いて以下の項目を設定。
- 自動更新を構成する 有効
- イントラネットのMicorosoft更新サービスの場所を指定する 有効 (WSUSサーバのアドレスを入力)
参考サイトは以下