ウイルスとソリューション

このセクションでは、カスペルスキー製品で駆除できない悪意あるプログラムに対処する方法を紹介します。悪意あるプログラムの駆除／削除を行うには、システムレジストリの変更や、他のユーティリティの使用が必要となる場合があります。不明な点がある場合は、カスペルスキーラブスジャパン ( support@kaspersky.co.jp) または販売代理店までメールにてご連絡ください。

コンピュータからウイルス Lovesan を駆除する方法
記事ID: 39	他の言語:	9	2009.04.03 17:24	印刷用ページを開く

1. 「Lovesan」「Lovsan」「Blaster」「Msblast」「Poza」- これらは同じタイプのワームですか、それとも別々のワームですか？

これらはすべて同じマルウェアですが、アンチウイルスベンダにより異なる呼称が用いられています。Kaspersky Lab ではこのワームを「Lovesan」と呼んでいます。現在このワームには 3 つのタイプがあることが知られており、ベンダによってはそれぞれを「a」「b」「c」のようにラベル付けして区別しています。

2. 感染しているかどうか、どうやって判別できますか？

感染の症状は以下のとおりです:

Windows システムフォルダ (通常はWINDOWS\SYSTEM32\) 内に「MSBLAST.EXE」「TEEKIDS.EXE」「PENIS32.EXE」などのファイルが作成されている

コンピュータがインターネット接続後に、数分おきに再起動を繰り返す

Word、Excel、Outlook の動作が何度もエラーになる

「SVCHOST.EXE」ファイルによるエラーメッセージの表示。画面上にエラーメッセージウィンドウが表示される（RPC サービスエラー）

3. このワームはコンピュータにとってどのように危険ですか？

「Lovesan」は基本的に、感染したコンピュータにとって危険ではありません。このワームはデータの削除や改ざん、盗用を行いません。その被害は、インターネット接続全般での異常動作です。これは、ウイルスコードによってデータ伝送のトランザクションが何度もリロードされるために発生します。さらに 8 月 16 日以降、Windows OS の更新を行うための Web サイトである windowsupdate.com に対して「Lovesan」による攻撃が行われています。このため同 Web サイトが使用不可となり、ユーザが重要なデータにアクセスできなくなるケースが発生しています。

Kaspersky Lab では、この Web サイトが正常に機能している間に、すみやかに更新データをインストールすることをお勧めします。

4. 「Lovesan」の感染対象となるシステム

このワームはWindows NT、Windows 2000 および Windows XP で動作するコンピュータに感染します。攻撃対象となり得る OS は以下のとおりです:

Windows NT 4.0 Server

Windows NT 4.0 Terminal Server Edition

Windows 2000

Windows XP 32 bit Edition

Windows XP 64 bit Edition

Windows Server 2003 32 bit Edition

Windows Server 2003 64 bit Edition

5. どのようにコンピュータを保護できますか？

「Lovesan」からコンピュータを保護する方法はいくつかあります。:
5.1. 最新の定義ファイル更新をダウンロードし、インターネット接続中はアンチウイルスモニタを無効化しないようにする
5.2. ファイアウォールを使用してポート 135、69、4444 を遮断する
5.3 Windows の更新プログラムをインストールし、「Lovesan」がコンピュータへの侵入に利用するセキュリティホールをふさぐ
最後の方法は、「Lovesan」だけでなく、同じ Windows セキュリティホールを利用する他種のワームの感染も防止できるため、最も効果的です。

6. ファイアウォールとは何ですか？

ファイアウォールとは、コンピュータとインターネット間のデータフローを制御することでハッカーによる攻撃からコンピュータを保護する特別なプログラムです。ファイアウォールはインターネットへの安全な接続だけを許可し、悪意あるデータのフィルタリングを行い、無許可のアプリケーションによるインターネットアクセスを阻止します。

7. Windows 更新プログラムのインストール方法

以下の Microsoft のオフィシャルサイトから更新プログラムをダウンロードできます:

http://support.microsoft.com/?kbid=823980

更新プロセスが完了し、ファイルを実行すると自動的にインストールが行われます。インストールウィザードの指示に従ってインストールを行ってください。

8. Microsoft のサイトからの更新プログラムのダウンロードに失敗しました。コンピュータが再起動を繰り返してしまいます。

コンピュータの突然の再起動は「Lovesan」の感染症状の 1 つです。Microsoft のサイトから更新プログラムをダウンロードするには、コンピュータ内で TFTP.EXE というファイルを探し (通常は Windows システムフォルダ \WINDOWS\SYSTEM32\ および隠しフォルダ \WINDOWS\SYSTEM32\DLLCACHE にあります)、ファイル名を変更します。更新プログラムのダウンロードとインストールが完了したら、ファイル名を元に戻してもかまいません。

9. コンピュータがウイルスに感染していました。どうすれば良いでしょう？

お客様のコンピュータにインストールされているアンチウイルスプログラムを使用して、ウイルスを駆除してください。作業を行うにあたっては、アンチウイルスプログラムに最新の更新が適用されていることを確認してください。また、Kaspersky Lab の無料ユーティリティを使用して「Lovesan」から保護することもできます。このユーティリティは、コンピュータメモリ中のアクティブなワームのコピーを検知して無効化し、ハードディスクやネットワークディスクから感染ファイルを削除します。さらに Windows システムのレジストリを復元します。ユーティリティの動作が終了したらコンピュータを再起動し、最新の定義ファイルを使ってアンチウイルススキャンを実行してください。このユーティリティは以下のアドレスから無料でダウンロードできます:

ZIP 形式のユーティリティファイル:
ftp://ftp.kaspersky.com/utils/clrav/clrav.zip

ユーティリティの使用説明書:
ftp://ftp.kaspersky.com/utils/clrav/readme.txt

10. ユーティリティを使用して「Lovesan」を駆除しましたが、再び感染してしまいました

このユーティリティは、ワームを削除して感染コンピュータを復旧させますが、その後の感染を予防するわけではありません。感染を予防するには、前述のように Windows 更新プログラムをインストールしてください。