問題
Win32/Conficker の脅威にさらされるリスクは、マイクロソフト社のオペレーティングシステムの脆弱性によるものです (マイクロソフト社は、2008年10月にこの脆弱性に対するパッチをリリースしています)。マイクロソフト・オペレーティング・システムの脆弱性による感染を回避するためには、お使いのコンピュータ(およびネットワーク上のすべてのコンピュータ)が常に最新のマイクロソフト・ウィンドウズ・アップデートにアップデートされていることを確認してください。最新のアップデートは、http://update.microsoft.com/。
Conficker から身を守るには、この記事のステップバイステップの指示に従ってください。または、以下の該当するリンクをクリックして、特定のセクションに進んでください:
ソリューション
感染を防ぐ
A-マイクロソフトのセキュリティパッチをダウンロードする
B - 自動実行と自動再生を無効にする(Windows XPおよびWindows Vista)
悪意のあるソフトウェアメーカーがこれらのセキュリティ欠陥を悪用するのを防ぐため、Windowsシステムのオートランとオートプレイ機能を無効にするとよいでしょう。USBドライブやその他のリムーバブル・メディアは、コンピュータに接続するたびに(デフォルトで)オートラン/オートプレイ機能によってアクセスされ、最近最も頻繁に使用されているウイルス媒体となります。
マイクロソフト・ウィンドウズの Autorun と Autoplay は、CD コンテンツの実行を簡素化するために、当初は自動的に次のことを実行するように意図されていた機能である:(i)Autorun.infファイル(およびそれに含まれる可能性のあるあらゆる悪意のある命令)を実行する - Autorun の脆弱性(ii) 利用可能なアクションを含むポップアップ・ウィンドウを開く(そのうちのいくつかは、悪意のあるAutorun.inf から引き継がれた敵対的なトリガーである可能性がある) - Autoplay の脆弱性
- オートランとオートプレイを無効にしたい場合は、このリンクを右クリックしてDisableAutorun.regファイルをダウンロードし、「名前を付けてリンク先を保存」を選択してください。
- 名前を付けて保存]ウィンドウで以下を確認してください:
(i) [名前を付けて保存]ドロップダウンメニューが[すべてのファイル]または[登録エントリ(*.reg)] に設定されている。
(ii) [ファイル名]フィールドにレジストリファイルの正確な名前が含まれていること (例:DisableAutorun.reg)。 - 保存] をクリックします。レジストリファイルの保存を促すプロンプトが表示されたら、確認します。
- 保存されたファイルをダブルクリックし、[はい] をクリックしてレジストリエントリの追加を確認します。OKをクリックして終了します。
B2 - 自動実行と自動再生を再度有効にする方法 (Windows XPおよびWindows Vista)
セクションB(上記)の手順で行った変更を元に戻す必要がある場合は、このリンクを右クリックしてReenableAutorun.regファイルをダウンロードし、セクションB(上記)の手順を繰り返しますが、今回はReenableAutorun.regファイルを使用します。
クリーニングステップ(シングルマシン)
感染したコンピュータをネットワークおよびインターネットから切断する。
感染していないPCを使用して、上記セクション Aの各Windowsパッチをダウンロードする。すべてのパッチをインストールする。
管理者アカウントのシステム・パスワードを、より洗練されたものにリセットする。共有フォルダを経由して侵入する可能性があることに注意する。
(i.) CTRL+ALT+DELETEキーを押し、Change password...をクリックする。
(ii.) 古いパスワードを入力し、新しいパスワードを入力し、確認のためもう一度新しいパスワードを入力し、ENTERを押す。
ワームを駆除するESETの単発のアプリケーションをダウンロードする(この場合も、感染していないPCを使用する)。ESET製品(3.0以降)がインストールされていない場合は、(感染していないPCを使用して)無料のスタンドアロン・クリーナーをダウンロードして実行することができます:
ESETソフトウェアの最新バージョンをダウンロードしてインストールする。
スタンドアロン・クリーナーが Conficker の脅威を除去したことを確認するには、 スタンドアロン・クリーナーを再実行し、ESET 製品でスキャンを実行してください。
ESET スタンドアロン・クリーナーを正常に実行した後、重要なセキュリティ・パッチと推奨されるグループの変更について、以下の Microsoft の記事を読むことをお勧めします:
今後の脅威から最大限に保護するために、Microsoft の推奨に従ってオペレーティングシステムにパッチを適用し、ESET 製品が最新の状態であることを確認してください。
駆除手順 (ネットワーク)
- Windowsの更新プログラムをすべてダウンロードする必要はないが、少なくともWin32/Confickerの脅威から確実に保護したい場合は、以下のマイクロソフトのセキュリティ勧告に記載されているパッチ(KB958644、KB957097、KB958687)をダウンロードし、ネットワーク上のすべてのマシンにインストールしてください:
- すべてのマシンにESETセキュリティソリューションをインストールし、更新する:
- 全てのマシンにESETセキュリティソリューションをインストールし、更新する。 サーバー(4.x)にESET NOD32アンチウイルスBusiness Editionをダウンロードしてインストールする方法
- Conficker は既にログに記録されたパスワードや総当たりで取得したパスワードを使用するため、ネットワーク上の全てのパスワードを変更してください。
ESET Conficker Removal Toolを各マシンで実行する:
- クライアント上で以下のコマンドを使用し、Win32/Conficker によって作成されたスケジュールされたタスクを削除する:
at /delete /yes
上記の手順で問題が解決しない場合は、すべてのパスワードをリセットし、以下の手順を実行して、まだ感染を広げようとしているマシンを特定する:
失敗したログオンイベントの監査をオンにします:
ドメインコントローラで、[スタート]→[管理ツール]→[ドメインコントロールセキュリティポリシー]をクリックします。
セキュリティ設定→ローカルポリシー→監査ポリシー→ログオンイベントの監査。
ログオンイベントの監査]が[成功]と[失敗]のすべてのイベントを記録するように設定されていることを確認します。
- ドメインコントローラのセキュリティイベントログを監視し、イベントIDが529であることを確認します(529イベントが発生していない場合、Win32/Confickerは正しい管理パスワードを使用しています。
- イベントのプロパティを表示すると、「ワークステーション名」が表示されます。これは、他のコンピュータを感染させようとしている犯人、または犯人の1人です。
- 特定されたクライアントに移動し、上記のステップ1~5を繰り返します。
上記のクリーニング・ステップ(ネットワーク)を完了した後、すべての管理者パスワードを再度変更し、Conficker がこれらのパスワードを持っていないことを確認する。すべてのマシンにパッチを適用した後も Conficker の脅威が表示される場合は、パッチの適用されていないマシンが残っているか、ESET がマシンにインストールされておらず、アップデートされていない可能性がある。
