Blasterワームの駆除をしてみた。 - 気まぐれコンピュータセキュリティ日記？

Blaster ワームに一番感染し易い環境は、インターネットからTCPポート135番にアクセス可能な環境、つまり、モデムによるダイアルアップ接続や、ルータのパケットフィルタを介さないケーブルモデム接続である。その上で、MS03-026パッチを適用していない。なおかつ、ウィルス対策ソフトを導入していない、あるいは定義ファイルを更新していない状態であれば、ほぼ間違いなく感染することだろう。

◆Blasterウイルス対策マニュアル
http://bb.watch.impress.co.jp/cda/special/2385.html

PCがこのウイルスに感染してしまった場合に起きる現象は以下の通りだ。
・画面にエラーメッセージが表示され、Windowsが起動・再起動を繰り返してし
まう。
　例:「問題が発生したためGeneric Host Process for Win32を終了します」
　　　「Remote Procedure Call （RPC）サービスが異常終了しました」

これは未対策のマシンで起こる典型的な現象で、「再起動します。よろしいですか？はいいいえ」のダイアログでなく、問答無用でシャットダウンへのカウントダウンが始まる。

これは Blaster ワームから攻撃を受け、バッファオーバーフローが発生した結果、RPCが不安定になっている状態だ。これだけでは感染していると断定できないが、タスクマネージャーのプロセスリストに msblast.exe が存在していれば、そのマシンは感染しているということになる。

・msblast.exeというプロセスが起動し、終了することができない。

これは間違いだろう。感染しているマシンで、タスクマネージャーからプロセスの終了は行なえた。

復旧手順はマイクロソフトのページが分かり易い。

Windows XP であれば、下記の絵入りページが該当する。
◆Blaster ワームへの対策 - Windows XP 編
http://www.microsoft.com/japan/technet/security/virus/blasterE_xp.asp

脆弱な状態では頻繁に再起動されてしまい、以後の対策が行なえないため、まずはブロックすることから始める。

1.ネットワークケーブルを抜きます。
2.インターネット接続ファイアウォールを有効にします。
3.分散 COM (DCOM) を無効にします。
4.感染していたら msblast.exe プログラムを停止します。
5.ネットワークケーブルを接続します。
6.MS03-026を適用します。
7.ワームを駆除します。
7-1.次のレジストリキーを削除します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update"="msblast.exe"
7-2.msblast.exe を削除します。
>del -f %windir%\system32\msblast.exe
8.今後の予防措置として tftp.exe をリネームします。
tftp.exe はユーザーログインや認証がない TFTPクライアントで、ウィルスやワームが利用する他は、ルータのファームウェアのアップデート等、使用するケースは限定的だ。
>move %windir%\system32\tftp.exe %windir%\system32\tftp.ex_

インターネット接続ファイアウォールでログを有効にすると、DROPしたパケットの記録が残る。(デフォルトでは、%windir%\pfirewall.log)
────────────────────────────────────
#Verson: 1.0
#Software: Microsoft Internet Connection Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info

#Verson: 1.0
#Software: Microsoft Internet Connection Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info

2003-08-14 21:32:26 DROP TCP 219.XXX.125.189 172.XX.198.139 2986 135 48 S 2300180429 3747215650 16384 - - -
2003-08-14 21:32:29 DROP TCP 219.XXX.125.189 172.XX.198.139 2986 135 48 S 2300180429 3747215650 16384 - - -
2003-08-14 21:32:35 DROP TCP 219.XXX.125.189 172.XX.198.139 2986 135 48 S 2300180429 3747215650 16384 - - -
2003-08-14 21:36:17 DROP TCP 172.XX.124.113 172.XX.198.139 2096 135 48 S 2539532854 0 14520 - - -
2003-08-14 21:37:18 DROP TCP 172.XX.198.175 172.XX.198.139 3919 135 48 S 2174004160 0 16384 - - -
2003-08-14 21:38:58 DROP TCP 219.XXX.128.2 172.XX.198.139 4860 135 48 S 920147467 4184160502 16384 - - -
2003-08-14 21:39:01 DROP TCP 219.XXX.128.2 172.XX.198.139 4860 135 48 S 920147467 4184160502 16384 - - -
2003-08-14 21:39:07 DROP TCP 219.XXX.128.2 172.XX.198.139 4860 135 48 S 920147467 4184160502 16384 - - -
2003-08-14 21:41:31 DROP TCP 219.XXX.59.59 172.XX.198.139 4377 135 48 S 3755720433 4179759142 16384 - - -
2003-08-14 21:41:34 DROP TCP 219.XXX.59.59 172.XX.198.139 4377 135 48 S 3755720433 4179759142 16384 - - -
2003-08-14 21:41:41 DROP TCP 219.XXX.59.59 172.XX.198.139 4377 135 48 S 3755720433 4179759142 16384 - - -
────────────────────────────────────