エンドユーザー向け：休み明けマシンの感染確認について

MS03-026のダウンロード先は：
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp

休み明け出社時にはまずPCをLANに物理的に接続せず、ケーブルを引っこ抜いた状態で、以下の手順で感染確認等を行ったうえ接続を行うようにしてください。

（１）ケーブルを外した状態でPCを起動します。
（２）以下の手順のどれかを用いて感染確認を行います。
（２）−１　駆除用ソフトウエアを使います。これで駆除できれば感染していた、ということになります。
http://www.nai.com/japan/security/stinger.asp
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
（２）−２　もしいきなりツールを用いるのが不安、というのであれば、目視も可能です。
・%WinDir%\system32にmsblast.exeが存在するか？
・以下のどちらかのレジストリキーが存在するか？
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe 
・異常なTFTPファイルが存在するか？
・（システムを再起動したために）RPCサービスに失敗したことに関するエラーメッセージがでる。
・ワームはランダムに20の連続するTCPポートを、監視するために開けます。これはコンスタントにポートの範囲を変えます。(例：2500-2520, 2501-2521, 2502-2522) このアクションの目的は不明ですが、これが開いているかどうか？で確認出来ます。
・ポート4444とか69がオープンされているか？

（３）感染していたら（２）−１の手順で駆除を行い、かつパッチMS03-026を適用してください。また、ウイルス対策ソフトの定義ファイルが4.0.4284であることをVirusScanコンソールのヘルプのバージョン情報で確認し、もし4284でなければアップデート用定義ファイルが入ったCDを使ってアップデートしてください。

（４）感染していなかったらMS03-026の適用と、ウイルス対策ソフトの定義ファイル4.0.4284を最新にしてください。

（５）対策終了後、LANに接続してください。

注：なお、ウイルス対策ソフトウエアの起動を阻害する亜種も確認されているようです（http://www.certcc-kr.jp/announce/Blaster-4.html）。そのため対策上パッチ当ては必須です。

注：外から調べるツールもあります（http://www.iss.net/support/product_utilities/ms03-026rpc.php、http://www.eeye.com/html/Research/Tools/RPCDCOM.html）。上記手順で不安がある場合は、システム管理者等がツールで感染確認をサポートする手もあると思います。

参考情報：
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/blaster.asp
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A&VSect=T
http://www.nai.com/japan/security/virL.asp?v=W32/Lovsan.worm
http://support.microsoft.com/default.aspx?scid=kb;ja;826977