ホームユーザー向け - Sasser ウイルスに関する情報 Windows 2000 編

公開日: 2004年5月2日 | 最終更新日: 2004年5月16日

マイクロソフトは、Sasser ワームがインターネット上で感染を広げていることを確認し、そのワームについて調査しております。このワームは 2004 年 4 月 14 日 (日本時間) に公開したマイクロソフトセキュリティ情報 MS04-011で修正された Local Security Authority Subsystem Service (LSASS) の問題を悪用していることを確認しています。

*
セキュリティ関連リンク

マイクロソフト セキュリティ

マイクロソフトのセキュリティに関するポータルサイトです。マイクロソフト製品のセキュリティ情報や、セキュリティに関するイベント、および、公開されたセキュリティ関連資料を紹介します。

TechNet Security Center

IT Pro 向けにマイクロソフト製品のセキュリティに関する情報を紹介します。

Microsoft Update

Microsoft Update ではコンピュータのセキュリティ対策に必要な更新プログラム を簡単にインストールすることができます。

トピック
Sasser ワームに感染した場合の症状についてSasser ワームに感染した場合の症状について
Sasser ワームの対策方法Sasser ワームの対策方法
ウイルス対策ベンダーの情報ウイルス対策ベンダーの情報
Sasser ワームに関する電話窓口Sasser ワームに関する電話窓口

Sasser ワームに感染した場合の症状について

コンピュータの動作が遅くなったり、ネットワークの速度が遅くなります。

LSASS.exe のエラー画面が表示され、コンピュータが再起動します。

エラー画面

このような症状が見られた場合、Sasser ワームに感染している可能性がありますので、「Sasser ワームの対策方法」をご確認のうえ Sasser ワームを駆除してください。

ページのトップへページのトップへ

Sasser ワームの対策方法

ステップ 1: コンピュータをシャットダウンします

ステップ 2: ネットワークケーブルを抜きます

電源投入前に、コンピュータのネットワークケーブルを抜いてください。これにより、インターネットなどのネットワークから攻撃を受けないようにします。ダイアルアップ接続の場合には、電話回線の接続を切断します。

電源投入前に、コンピュータのネットワークケーブルを抜きます

LAN ケーブルを抜く際は、ツメ (左図赤枠内の部分) をつまんだ状態で抜きます

ケーブルを抜く際は、ツメをつまんだ状態で抜きます

ステップ 3: セーフモードで起動します

1.

コンピュータの電源を入れ、[Windows 2000 拡張オプションメニュー] が表示されるまでキーボードの F8 キーを何度か押します。

2.

キーボードの矢印ボタンを押して、”セーフモード” を選択し、[Enter] キーを押します。

セーフモードで起動します

3.

コンピュータの起動後に以下の画面が表示された場合は、[OK] ボタンをクリックします。

[OK] をクリックします

ステップ 4: Sasser ワームの起動を防止します

1.

[スタート] ボタンをクリックして [ファイル名を指定して実行] をクリックします。

[スタート] ボタンをクリックして [ファイル名を指定して実行] をクリックします。

2.

"regedit" と入力し [OK] ボタンをクリックします。

regedt32 と入力し [OK] ボタンをクリックします

3.

レジストリ エディタが起動しますので左側の [+] マークを順にクリックし、以下のレジストリキーを選択します。

キー: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

注:お使いの Windows 環境によっては、"\ " (バックスラッシュ) は "¥"(円マーク)の場合があります。

レジストリ キーの表示delimiterレジストリ2

レジストリ エディタの右側の画面にて、以下の名前とデータが存在する場合、削除します。以下の名前と値はコンピュータによっては、無い場合もあります。

名前データ

avserve.exe

C:\WINNT\avserve.exe

avserve2.exe

C:\WINNT\avserve2.exe

skynetave.exe

C:\WINNT\skynetave.exe

lsasss.exe

C:\WINNT\lsasss.exe

napatch.exe

C:\WINNT\napatch.exe

注1:この手順には、レジストリの操作が含まれます。レジストリの操作を誤った場合、お使いのパソコンに深刻な問題が発生することがあります。 手順を十分に確認して操作を行ってください。

注2:お使いの Windows 環境によっては、"\ " (バックスラッシュ) は "¥"(円マーク)の場合があります。

ステップ 5: 攻撃を受けた際の再起動を予防します

1.

[スタート] ボタンから [ファイル名を指定して実行] をクリックします。

[スタート] ボタンから [ファイル名を指定して実行] をクリックします

2.

"cmd" と入力し [OK] ボタンをクリックします。

Cmd と入力し [OK ]ボタンをクリックします

3.

コマンドプロンプトから次のようにコマンドを入力し、一行毎に [Enter] キーを押します。

注:お使いの Windows 環境によっては、"\ " (バックスラッシュ) は "¥"(円マーク)の場合があります。

echo dcpromo > %systemroot%\debug\dcpromo.log

attrib +R %systemroot%\debug\dcpromo.log

ステップ 6: コンピュータをシャットダウンします

ステップ 7: ネットワークケーブルを接続して、コンピュータを起動します(通常通りの起動です。[F8] キーは押さないでください)

ステップ 8: セキュリティ更新プログラムをインストールします

Sasser ワームやその亜種からコンピュータを保護するために、Microsoft Update からセキュリティ更新プログラムをインストールしてください。

1.

Microsoft Update にアクセスします。

ダイヤルアップをご利用のお客様は、ダウンロードセンターから個別のセキュリティ更新プログラム MS04-011(PC/AT 互換機用)をご利用ください。

注: PC-9800 版は、こちらをご利用下さい。

インストールの手順は、修正プログラム インストール方法をご覧下さい。なお、Sasser 以外のウイルスは様々な Windows の問題を悪用するため、 Microsoft Update から全てのセキュリティ更新プログラムをインストールすることをお勧めします。

2.

セキュリティ警告の画面が数回表示されることがありますが、その場合には [はい] ボタンをクリックしてください。

セキュリティ警告の画面が数回表示されることがありますが、その場合には [はい] ボタンをクリックしてください

3.

Microsoft Update の画面が表示されたら、[更新をスキャンする] をクリックします。

Microsoft Update の画面が表示されたら、[更新をスキャンする] をクリックします

4.

[更新の確認とインストール] をクリックします。

[更新をスキャンする] をクリックします

5.

インターネットへ情報を送信するに当たり注意画面が表示されることがあります。その場合は [はい] ボタンをクリックしてください。

インターネットへ情報を送信するに当たり注意画面が表示されることがあります。その場合は [はい] ボタンをクリックしてください

6.

セキュリティ更新プログラムのリストが表示されます。それぞれのファイルの説明を確認した後 [今すぐインストールする] ボタンをクリックします。

セキュリティ更新プログラムのリストが表示されます。それぞれのファイルの説明を確認した後 [今すぐインストールする] ボタンをクリックします

7.

[今すぐインストール] ボタンをクリックすると、左図のような画面が表示されることがあります。他の更新プログラム とは別にインストールが必要な更新プログラム がある場合、このような画面が表示されます。[OK] ボタンをクリックして画面の指示に従ってインストールを進めてください。インストール終了後は再度 Microsoft Update を実行してください。

[今すぐインストール] ボタンをクリックすると、左図のような画面が表示されることがあります

8.

セキュリティ更新プログラムがインストールされます。

セキュリティ更新プログラムがインストールされます

9.

インストールが完了すると Windows の再起動の要求画面が表示されます。 [OK] ボタンをクリックし、Windows を再起動するとセキュリティ更新プログラムのインストールが完了します。

インストールが完了すると Windows の再起動の要求画面が表示されます

ステップ 9: Sasser ワームの感染の確認、および駆除をします。

1.

Sasser ワームの感染の確認、駆除を行うために以下のボタンを押してツールを起動してください。

ツールを起動する

Sasser ワームの感染の確認/駆除を行う

ステップ 10: ファイルを削除します

1.

[スタート] ボタンから [ファイル名を指定して実行] をクリックします。

start2k

2.

"cmd" と入力し [OK] ボタンをクリックします。

cmd

3.

コマンドプロンプトから次のようにコマンドを入力し、一行毎に [Enter] キーを押します。

注:お使いの Windows 環境によっては、"\ " (バックスラッシュ) は "¥"(円マーク)の場合があります。

attrib -R %systemroot%\debug\dcpromo.log

del %systemroot%\debug\dcpromo.log

以上で Sasser ワームの駆除と対策が完了です。ただし、流行したコンピュータ ウイルスは、近い将来より強力な亜種が発生する恐れがあります。したがって、安全にコンピュータをご利用するために次のリンクにある 3 つのステップを実行することをお勧めします。

最低限必要なセキュリティ対策

ページのトップへページのトップへ

ウイルス対策ベンダーの情報

上記ツールでエラーが発生した場合は、お客様がご利用のウイルス対策ベンダーから駆除ツールを入手し Sasser ワームを駆除してください。

株式会社シマンテック: W32.Sasser.Worm

トレンドマイクロ株式会社: WORM_SASSER.A

日本ネットワークアソシエイツ株式会社: W32/Sasser.worm

ページのトップへページのトップへ

Sasser ワームに関する電話窓口

マイクロソフトでは、Sasser ワームや、その他のウイルスに関する電話窓口としてマイクロソフトセキュリティ情報センターをオープンしています。ゴールデン ウィーク期間中の営業時間帯については次のページをご覧下さい。

マイクロソフトセキュリティ情報センター


ページのトップへページのトップへ