|
関連製品:
Kaspersky Anti-Virus for Windows Workstation 6.0 (すべてのビルド)
Kaspersky Anti-Virus for Windows Server 6.0 (すべてのビルド)
Kaspersky Administration Kit 6.0 MP1/MP2
Kaspersky Anti-Virus for Windows Server 6.0 Home Server Edition
Windows ベースのワークステーションおよびサーバに対するネットワークワーム Net-Worm.Win32.Kido (別名:Conficker、Downadup) の感染について、対処方法をお知らせいたします。
ネットワーク感染の症状
1. 感染した PC がネットワーク上にある場合は、感染 PC からのネットワーク攻撃が開始されるため、トラフィック量が上昇します
2. 侵入検知システムが有効になっているアンチウイルス製品をお使いの場合は、Intrusion.Win.NETAPI.buffer-overflow.exploit 攻撃が通知されます
3. ほとんどのアンチウイルス企業の Web サイトにアクセスできなくなります (avira、avast、esafe、drweb、eset、nod32、f-secure、panda、kaspersky など)
4. Net-Worm.Win32.Kido に感染したコンピュータで、アクティベーションコードを使用して Kaspersky Anti-Virus をアクティベートしようとすると、異常終了が発生し、以下のような内容のエラーが返されます:
- アクティベーションでシステムエラー 2 が発生しました
- アクティベーションエラー:サーバ名を解決できません
- アクティベーションエラー:サーバに接続できません
Net-Worm.Win32.Kido ファミリーの概要
1. リムーバブルドライブ上 (場合によってはネットワーク上の共有フォルダ) に、autorun.inf ファイルと RECYCLED\{SID<....>}\RANDOM_NAME.vmx ファイルを作成します
2. ランダムな名前の DLL ファイルとして、自分自身を保存します。例:c:\windows\system32\zorizr.dll
3. ランダムな名前のシステムサービスとして、自分自身を保存します。例:knqdgsm
4. MS Windows の脆弱性 MS08-067 を利用して、445, 135 TCP ポート経由でネットワークコンピュータに攻撃を試みます
5. 感染したコンピュータの外部 IP アドレスを調べるために、以下のサイトに接続を試みます (これらサイトへの接続試みを監視するように、ファイアウォールを設定することをお勧めします):
- http://www.getmyip.org
- http://getmyip.co.uk
- http://www.whatsmyipaddress.com
- http://www.whatismyip.org
- http://checkip.dyndns.org
感染駆除の方法
このワームを削除するには、特別なユーティリティである KK.exe を使用してください。このユーティリティの最新バージョンは、NTFS 専用です。FAT32 には、これ以降のバージョンで対応の予定です。Microsoft Windows 95 および Windows 98、は、このネットワークワームに感染しません。
 このワームによる感染を防ぐため、次の手順に従うことをお勧めします:
- 脆弱性に対応するパッチを Microsoft から入手してインストールします:MS08-067, MS08-068, MS09-001 (これらのページから、感染した PC の OS に対応するパッチをダウンロードしてインストールしてください)
- リムーバブルメディアから実行ファイルが自動実行しないように、-a スイッチを指定して KK.exe ユーティリティを起動します
- ネットワークのフィルタリングを使用して、TCP ポート 445 および 139 へのアクセスを遮断します
KK.exe は、感染 PC でローカル実行することも、Kaspersky Administration Kit を使用してリモート実行することもできます。
KK.exe をコマンドラインで管理する場合のスイッチ:
|
スイッチ |
説明 |
|
-p <パス> |
指定のフォルダをスキャンします |
|
-f |
ハードディスクをスキャンします |
|
-n |
ネットワークディスクをスキャンします |
|
-r |
フラッシュドライブ、USB または Fire Wire で接続したリムーバブルディスクをスキャンします |
|
-y |
キーを押さなくてもスキャンが終了するように指定します |
|
-s |
サイレントモード (コマンドプロンプト画面は表示されません) |
|
-l <ファイル名> |
ログに情報を出力します |
|
-v |
詳細ログ (スイッチ -v は、スイッチ -l が指定されていないと機能しません) |
|
-z |
各種サービスを復旧します:
- Background Intelligent Transfer Service (BITS)
- Windows Automatic Update Service (wuauserv)
- Error Reporting Service (ERSvc/WerSvc)
- Windows Defender (WinDefend)
- Windows Security Center Service (wscsvc)
|
|
-х |
非表示のシステムファイルを表示させます |
|
-a |
すべてのドライブからファイルの自動実行を無効化します |
|
-help |
このユーティリティに関する追加情報を表示します |
|
-m |
システムが感染しないように監視するためのモードです |
|
-j |
レジストリブランチ SafeBoot を復元します (このレジストリブランチが削除されていると、コンピュータをセーフモードで起動できません) |
|
-t |
カスペルスキー製品を使用してこのワームを削除した後も残っているサービスを、レジストリから消去します |
たとえば、フラッシュドライブをスキャンし、report.txt (KK.exe のセットアップフォルダ内に作成される) に詳細レポートを書き出すには、次のコマンドを使用します:
KK.exe -r -y -l report.txt -v
KK.exe バージョン 3.4.6 以降では、以下のリターンコード (%errorlevel%) が返されます:
3 - 悪意あるストリームが検知され、削除された (ワームがアクティブであった)
2 - 悪意あるストリームが検知され、削除された (ワームはアクティブではなかった)
1 - 悪意あるタスク、または関数のインターセプトが検知された (この PC 自体は感染していないが、ネットワーク上に感染 PC が含まれる可能性あり。管理者の対応が必要)
0 - 何も検知されなかった
| 
ナレッジベース
製品概要
システム要件
121 
2009.12.15 11:10
スキャンが終了すると、コマンドプロンプトのウィンドウが開きます。任意のボタンを押すとウィンドウが閉じます。コマンドプロンプトのウィンドウが自動的に閉じるようにするには、KKiller.exe を実行するときに -y を指定してください。.jpg)
