|
関連製品:
Kaspersky Internet Security 2009/2010/2011
Kaspersky Anti-Virus 2009/2010/2011
Windows ベースのワークステーションおよびサーバに対するネットワークワーム Net-Worm.Win32.Kido (別名:Conficker、Downadup) の感染について、対処方法をお知らせいたします。
Net-Worm.Win32.Kido ファミリーの概要
1. リムーバブルドライブ上 (場合によってはネットワーク上の共有フォルダ) に、autorun.inf ファイルと RECYCLED\{SID<....>}\RANDOM_NAME.vmx ファイルを作成します。
2. ランダムな名前の DLL ファイルとして、自分自身を保存します。例:c:\windows\system32\zorizr.dll
3. ランダムな名前のシステムサービスとして、自分自身を保存します。例:knqdgsm
4. MS Windows の脆弱性 MS08-067 を利用して、TCP ポート 445、135 経由でネットワークコンピュータに攻撃を試みます。
5. 感染したコンピュータの外部 IP アドレスを調べるために、以下のサイトに接続を試みます (これらのサイトへの接続試行を監視するように、ファイアウォールを設定することをお勧めします):
ネットワーク感染の症状
1. 感染した PC がネットワーク上にある場合は、感染 PC からのネットワーク攻撃が開始されるため、トラフィック量が上昇します。
2. 侵入検知システムが有効になっているアンチウイルス製品をお使いの場合は、Intrusion.Win.NETAPI.buffer-overflow.exploit 攻撃が通知されます。
重要
 攻撃を受けているという通知がくり返される場合は、リモート PC が感染しています。攻撃元のリモート PC のアドレスは通知に表示されます。可能であれば、リモート PC の感染駆除を実行してください。
3. ほとんどのアンチウイルス企業の Web サイトにアクセスできなくなります (avira、avast、esafe、drweb、eset、nod32、f-secure、panda、kaspersky など)。
4. Net-Worm.Win32.Kido に感染したコンピュータで、アクティベーションコードを使用して Kaspersky Anti-Virus をアクティベートしようとすると、異常終了が発生し、以下のような内容のエラーが返されます:
- アクティベーションでシステムエラー 2 が発生しました
- アクティベーションエラー:サーバ名を解決できません
- アクティベーションエラー:サーバに接続できません
感染駆除の方法
このワームを削除するには、特別なユーティリティ KK.exe を使用してください。Microsoft Windows 95 および Windows 98 は、このネットワークワームに感染しません。
 このワームによる感染を防ぐため、次の手順に従うことをお勧めします:
- 脆弱性に対応するパッチを Microsoft から入手してインストールします:MS08-067、MS08-068、MS09-001 (これらのページから、感染した PC の OS に対応するパッチをダウンロードしてインストールしてください)
- リムーバブルメディアから実行ファイルが自動実行されないように、-a スイッチを指定してユーティリティ KK.exe を起動します:
- ユーティリティ KidoKiller (kk.zip) をダウンロードし、感染 PC 上のフォルダ (C:\ など) に解凍します。
- コマンドプロンプトを実行します:
- Windows Vista の場合:[スタート] → [すべてのプログラム] → [アクセサリ] → [ファイル名を指定して実行] の順に選択し、「cmd」と入力して [Enter] キーを押す
- Windows XP の場合:[スタート] → [ファイル名を指定して実行] の順に選択し、「cmd」と入力して [Enter] キーを押す
- ファイル kk.exe を、-a スイッチを指定して実行します:
- kk.exe があるファイルパスを指定します。
フォルダ C:\ にファイルがある場合、コマンドプロンプトに以下のように入力します:
C:\kk.exe -a
- [Enter] キーを押します。
感染を駆除するには:
1. 駆除ツールのアーカイブ KK.zip をダウンロードし、感染 PC 上のフォルダに解凍します。
2. 感染した PC に、以下のいずれかのカスペルスキー製品がインストールされていることを確認します:
- Kaspersky Internet Security 2011
- Kaspersky Anti-Virus 2011
- Kaspersky Internet Security 2010
- Kaspersky Anti-Virus 2010
- Kaspersky Internet Security 2009
- Kaspersky Anti-Virus 2009
ユーティリティの実行中は、カスペルスキー製品のファイルアンチウイルス機能を無効にしてください。
3. KK.exe を実行します。
スイッチを指定せずに KK.exe を実行した場合、以下が実行されます:進行中の感染の停止 (スレッド停止、フックの削除)、メモリのスキャン、感染しやすい重要な領域のスキャン、レジストリのクリーンナップ、フラッシュドライブのスキャン
スキャンが終了すると、コマンドプロンプトのウィンドウが開きます。任意のボタンを押すとウィンドウが閉じます。コマンドプロンプトのウィンドウが自動的に閉じるようにするには、KK.exe の実行時に -y を指定してください。
4. スキャンが終了するまで待ちます。
ユーティリティ KK.exe を実行するコンピュータに Agnitum Outpost Firewall がインストールされている場合は、ユーティリティの実行後に必ずコンピュータを再起動してください。
5. カスペルスキーのアンチウイルス製品を使用して、コンピュータの完全スキャンを実行します。
KK.exe をコマンドラインで実行する場合に使用可能なスイッチ:
|
スイッチ |
説明 |
|
-p <パス> |
指定のフォルダをスキャンします。 |
|
-f |
ハードディスクをスキャンします。 |
|
-n |
ネットワークディスクをスキャンします。 |
|
-r |
フラッシュドライブ、USB または Fire Wire で接続したリムーバブルディスクをスキャンします。 |
|
-y |
キーを押さなくてもスキャンが終了するように指定します。 |
|
-s |
サイレントモード (コマンドプロンプト画面は表示されません)。 |
|
-l <ファイル名> |
ログに情報を出力します。 |
|
-v |
詳細ログ (スイッチ -v は、スイッチ -l が指定されていないと機能しません)。 |
|
-z |
各種サービスを復旧します:
- Background Intelligent Transfer Service (BITS)
- Windows Automatic Update Service (wuauserv)
- Error Reporting Service (ERSvc/WerSvc)
- Windows Defender (WinDefend)
- Windows Security Center Service (wscsvc)
|
|
-х |
非表示のシステムファイルを表示させます。 |
|
-a |
すべてのドライブからファイルの自動実行を無効化します。 |
|
-m |
システムが感染しないように監視するためのモードです。 |
|
-j |
レジストリブランチ SafeBoot を復元します (このレジストリブランチが削除されていると、コンピュータをセーフモードで起動できません)。 |
|
-t |
ワームを削除した後も残っているサービスを、レジストリから消去します。 |
|
-help |
このユーティリティに関する追加情報を表示します。 |
たとえば、フラッシュドライブをスキャンし、report.txt (KK.exe のセットアップフォルダ内に作成される) に詳細レポートを書き出すには、以下のコマンドを使用します:
KK.exe -r -y -l report.txt -v
別のディスクやパーティション (D ドライブなど) をスキャンするには、以下のコマンドを使用します:
KK.exe -p D:\
| 
ナレッジベース
製品概要
システム要件
94 
2010.11.10 08:45
