ホームユーザー向け - Sasser ウイルスに関する情報 Windows XP 編

公開日: 2004年5月2日 | 最終更新日: 2004年9月1日

現在、インターネット上では W32.Sasser.worm が活動を活発化しており、マイクロソフトおよびセキュリティ関連組織は、このワームに対する調査を行っています。このワームは 2004 年 4 月 14 日（日本時間）のマイクロソフトセキュリティ情報 MS04-011 で修正される Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用している事が確認されました。

セキュリティ関連リンク

•

マイクロソフトセキュリティ

マイクロソフトのセキュリティに関するポータルサイトです。マイクロソフト製品のセキュリティ情報や、セキュリティに関するイベント、および、公開されたセキュリティ関連資料を紹介します。

•

TechNet Security Center

IT Pro 向けにマイクロソフト製品のセキュリティに関する情報を紹介します。

•

Microsoft Update

Microsoft Update ではコンピュータのセキュリティ対策に必要な更新プログラムを簡単にインストールすることができます。

トピック

	Sasser ワームに感染した場合の症状について
	Sasser ワームの対策方法
	ウイルス対策ベンダーの情報
	Sasser ワームに関する電話窓口

Sasser ワームに感染した場合の症状について

•	コンピュータの動作や、ネットワークの速度が遅くなります。
•	指示をしていないのにコンピュータが再起動して、次のようなダイアログボックスが表示されます。

LSA Shell (Export Version) はエラーが発生し閉じられる必要がありました。

以上のような症状が見られた場合、Sasser ワームに感染している可能性がありますので、「Sasser ワームの対策方法」をご確認のうえ Sasser ワームを駆除してください。

ページのトップへ

Sasser ワームの対策方法

Sasser ワームに感染した場合は次の手順で駆除することができます。

ステップ 1: コンピュータをシャットダウンします

ステップ 2: ネットワークケーブルを抜きます

•

電源投入前に、コンピュータのネットワークケーブルを抜いてください。これにより、インターネットなどのネットワークから攻撃を受けないようにします。ダイヤルアップ接続の場合には、電話回線の接続を切断します。

•

LAN ケーブルを抜く際は、ツメ (左図赤枠内の部分) をつまんだ状態で抜きます。

ステップ 3: セーフモードで起動します

1.	コンピュータの電源を入れ、[Windows 拡張オプションメニュー] が表示されるまでキーボードの [F8] キーを何度か押します。
2.	キーボードの矢印ボタンを押して、"セーフモード" を選択して [Enter] キーを押します。
3.	[オペーレーティングシステムの選択] が表示される場合は、 [Enter] キーを押します。
4.	コンピュータが起動したら、ログオンしてください。ログオン時に以下の画面が表示される場合は、[はい]をクリックします。

ステップ4: Sasser ワームの起動を防止します

[スタート] ボタンをクリックして [ファイル名を指定して実行] をクリックします。選択し、以下コマンドを入力します。

"regedit" と入力し [OK] ボタンをクリックします。

レジストリエディタが起動しますので左側の [+] マークを順にクリックし、以下のレジストリキーを選択します。

•

キー: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

注：お使いの Windows 環境によっては、"＼ " (バックスラッシュ) は "￥"（円マーク）の場合があります。

レジストリキーの表示 delimiter レジストリ2

•

レジストリエディタの右側の画面にて、以下の名前とデータが存在する場合、削除します。以下の名前と値はコンピュータによっては、無い場合もあります。

名前	データ
avserve.exe	C:\WINDOWS\avserve.exe
avserve2.exe	C:\WINDOWS\avserve2.exe
skynetave.exe	C:\WINDOWS\skynetave.exe
lsasss.exe	C:\WINDOWS\lsasss.exe
napatch.exe	C:\WINDOWS\napatch.exe

注１：この手順には、レジストリの操作が含まれます。レジストリの操作を誤った場合、お使いのパソコンに深刻な問題が発生することがあります。手順を十分に確認して操作を行ってください。

注２：お使いの Windows 環境によっては、"＼ " (バックスラッシュ) は "￥"（円マーク）の場合があります。

ステップ 5: コンピュータを再起動します (通常通りの起動です。[F8] キーは押さないでください。)

ステップ 6: Windows XP付属のインターネット接続ファイアウォールを有効にします

1.	[スタート] メニューから [コントロールパネル] を開き、[ネットワークとインターネット接続] をクリックします。下のような画面が表示されない場合、手順 2. に進んでください。
2.	[ネットワーク接続] をクリックします。 (下のような画面が表示されない場合、[ネットワーク接続] のアイコンを探してダブルクリックしてください。)
3.	使用しているネットワーク接続設定を選択して、[ネットワークタスク] の [この接続の設定を変更する] をクリックします。下図では [LAN または高速インターネット] 内の「ローカルエリア接続」が選択されていますが、接続方法によって異なりますので、ご注意ください。ここではインターネットを接続するために使用されているネットワーク接続を選択してください。たとえば、モデムを使ってインターネットに接続されている場合のネットワーク接続は [ダイヤルアップ] または [広帯域] 内に表示されます。注意: インターネット接続サービスプロバイダ (ISP) の提供する接続ソフトウェア (例えばフレッツ(FLET'S) などがあります) をお使いの場合、ダイヤルアップ接続でない場合でもネットワーク接続が下図のように [ダイヤルアップ] または [広帯域] 内に表示されることがあります。
4.	[詳細設定] タブをクリックして、[インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する] という項目のチェックをオンにし [OK] ボタンをクリックします。

ステップ 7: ネットワークケーブルを接続します

ステップ 8: セキュリティ更新プログラムをインストールします

1.	Microsoft Update にアクセスします。ダイヤルアップをご利用のお客様は、ダウンロードセンターから個別のセキュリティ更新プログラム MS04-011 をご利用ください。インストールの手順は、修正プログラムインストール方法をご覧下さい。なお、Sasser 以外のウイルスは様々な Windows の問題を悪用するため、全てのセキュリティ更新プログラムをインストールすることをお勧めします。重要: Windows XP をご利用のお客様は、Windows XP Service Pack 2 をインストールすることで Sasser からの感染を抑えることができますので早急に Service Pack 2 をインストールすることをお勧めします。
2.	セキュリティ警告の画面が数回表示されることがありますが、その場合には [はい] ボタンをクリックしてください。
3.	Microsoft Update の画面が表示されたら、[更新をスキャンする] をクリックします。
4.	[更新の確認とインストール] をクリックします。
5.	インターネットへ情報を送信するにあたり注意画面が表示されることがあります。その場合は [はい] ボタンをクリックしてください。
6.	セキュリティ更新プログラムのリストが表示されます。それぞれのファイルの説明を確認した後 [今すぐインストールする] ボタンをクリックします。
7.	[今すぐインストール] ボタンをクリックすると、下図のような画面が表示されることがあります。他の更新プログラムとは別にインストールが必要な更新プログラムがある場合、このような画面が表示されます。[OK] ボタンをクリックして画面の指示に従ってインストールを進めてください。インストール終了後は再度 Microsoft Update を実行してください。
8.	セキュリティ更新プログラムがインストールされます。
9.	インストールが完了すると Windows の再起動の要求画面が表示されます。 [OK] ボタンをクリックし、Windows を再起動するとセキュリティ更新プログラムのインストールが完了します。

ステップ 9: Sasser ワームの感染の確認、および駆除をします。

Sasser ワームの感染の確認、駆除を行うために以下のボタンを押してツールを起動してください。

•	Sasser ワームの感染の確認／駆除を行う

ツールを開く

[感染の確認 / 駆除を行う] ボタンをクリックします。

ボタンをクリックする

使用許諾契約書が表示されたら、[同意します] を選んで [次へ] をクリックします。

使用許諾契約書に同意する

セキュリティ警告が表示されるので [はい] をクリックします。

注:[はい] をクリックすると、コンピュータの検査を始めます。検査には、環境により数分かかる場合がありますので、終了までしばらくお待ちください。

検査結果が表示されます。

•	[お客様のパソコンは感染していませんでした]と表示される場合ご使用のコンピュータが Sasser ワームに感染していない場合に、このメッセージが表示されます。感染していない時
•	[お客様のパソコンは、感染していたので駆除しました。] と表示される場合 Sasser ワームの駆除が完了した場合に、このメッセージが表示されます駆除に成功
•	[必要な更新プログラムがインストールされていません。] と表示される場合 MS04-011 の更新プログラムがインストールされていない場合に表示されます。修正プログラムの確認
•	[このツールは、お客様のパソコンの検査をサポートしていません。] と表示される場合 Windows XP、Windows 2000 以外のOS を利用している場合に表示されます。その他の OS
•	[お客様のパソコンの検査中に、検査ツールに何らかのエラーが発生しました。マイクロソフトセキュリティ情報センターまたは、使用のウイルス対策ソフトウェアベンダーにご相談ください。また、ダウンロード版の検査・駆除ツールは、こちらから、入手可能です。]と表示される場合 Sasser 駆除ツールでエラーが発生した場合に、このメッセージが表示されます。ダウンロード版の検査・駆除ツールを利用するか、ご使用のウイルス対策ソフトウェアベンダーかマイクロソフトセキュリティ情報センターにご相談ください。注意: 2005 年 2 月 8 日、マイクロソフトは Blaster ワーム駆除ツールを Microsoft Windows 悪意のあるソフトウェアの削除ツールに置き換えました。悪意のあるソフトウェアの削除ツールの関連情報を参照するには、こちらをクリックしてください。
•	[お客様のパソコンは、感染していましたが、駆除できませんでした。使用のウイルス対策ソフトウェアベンダーまたは、マイクロソフトセキュリティ情報センターにご相談下さい。]と表示される場合ご使用のコンピュータが Sasser に感染しており、駆除できなかった場合に、このメッセージが表示されます。ご使用のウイルス対策ソフトウェアベンダーかマイクロソフトセキュリティ情報センターにご相談ください。
•	セキュリティの設定などにより、Active X が実行されない場合は以下のメッセージが表示されます。 ActiveXに関するメッセージ

以上で Sasser ワームの駆除と対策が完了です。ただし、流行したコンピュータウイルスは、近い将来より強力な亜種が発生する恐れがあります。したがって、安全にコンピュータをご利用するために次の 3 つステップを実行することをお勧めします。

•	最低限必要なセキュリティ対策

ページのトップへ

ウイルス対策ベンダーの情報

上記ツールでエラーが発生した場合は、お客様がご利用のウイルス対策ベンダーから駆除ツールを入手し Sasser ワームを駆除してください。

•	株式会社シマンテック: W32.Sasser.Worm
•	トレンドマイクロ株式会社: WORM_SASSER.A
•	日本ネットワークアソシエイツ株式会社: W32/Sasser.worm

ページのトップへ

Sasser ワームに関する電話窓口

マイクロソフトでは、Sasser ワームや、その他のウイルスに関する電話窓口としてマイクロソフトセキュリティ情報センターをオープンしています。ゴールデンウィーク期間中の営業時間帯については次のページをご覧下さい。

•	マイクロソフトセキュリティ情報センター

ページのトップへ