Windowsのセキュリティホールを利用して、ネットワーク感染を行うワーム、 W32.Blaster.Wormが猛威を振るっています。
メールでの感染ではなく、ネットワーク経由で感染するタイプのウイルス(ワーム)です。
メールの閲覧など、人為的な操作は関与せず、 未対策のPCがウイルスをネットワークから受信した時点で感染します。(感染は自動的に行われ、目に見えることはありません)
感染後は、周囲にネットワーク経由による攻撃を無差別、かつ大量に行います。
既に、外部ネットはウイルスデータによって回線が圧迫されており、低速になっています。
簡単にウイルスの特徴などを列挙します。
・ネットワーク経由にて近接したコンピュータや外部へ対して攻撃を行い、感染を試みます。
有効な定義ファイルは8/13現在、8/11付け以降である必要があります。
・多量のウイルスコードを送信するため、ネットワークが攻撃コードで占有され、
速度の低下、ダウンが誘発されます。
・フォルダ共有や共有サービスを利用している場合、感染経路として用いられますので、
特に研究室単位、事務室単位で集団感染する恐れがあります。
ファイヤーウォールやルータにて区切っているため、被害の規模は最小限に抑えられますが、感染PCが外部から持ち込まれた場合、
該当サブネット内で爆発的な感染が起きる可能性があります。
・最低限、ウイルス定義ファイルのアップデートを行っていただければ感染を水際で防ぐことが可能です。
(亜種が発生する可能性が高いため、事後でかまいませんので、必ずWindowsupdateを行い、脆弱性を解消してください。)
横浜市立大学のネットワークは、主要経路のファイヤーウォール、
各所を接続するルータにてチェックを行っているため、このウイルスが外部より直接侵入してくることはありません。
しかし、内部から電話線等による接続を独自に行ったり(禁止されている行為です)、感染したノートPCを持ち込み、接続されるような場合は、この限りではありません。
この場合は、該当サブネットのみ(該当する建物の該当する階のみ)がウイルス攻撃の対象となります。
利用者は次のことを確実に行ってください。
・対策をしていない、自宅PCは、ネットワークに接続しない。
お盆を挟んでいますので、感染したノートPCを持ち込むことによる内部感染が多発する恐れがあります。
特に、各研究室ではその性質上、非常に感染しやすい条件(共有・学生のノートPC・自宅とのPC往復)がそろっています。
周知を徹底し、貴重な研究データをが失われないよう、対策をお願いします。
・ウイルス定義ファイルのアップデートを行う。
・Windowsupdateを行い、脆弱性を解消する。
・感染していないか確認を行い、感染したPCはネットワークから即、隔離してください。
また、ネットワーク係へIPアドレスと共に、その旨をFAXなどにて報告願います。(787-2296)
■ネットワークが保護されていない場合、(自宅などで使用した場合)接続した直後よりウイルスによる攻撃を受けています。
自宅PCを持ち込む際は、特に留意してください。
各PC、ネットワーク機器のTCPポート 135にウイルスコードが送信されます。
・Windowsの既知の脆弱性を利用し、パッチが未適用のPCがウイルスコードを受信した時点で感染が確定します。
これを防ぐには、
感染対象である、各Windows端末がWindowsupdateを実行し、脆弱性を解消する。(各利用者)
ルータやファイヤーウォールでポート4444、可能であれば TCP ポート 135、UDP ポート 69を閉鎖する。(各ネットワークの管理者)
各PCのウイルス定義ファイルを最新にする。(管理者・利用者)
感染PCを持ち込まない。
この4つを完全に行う必要があります。
【対策方法】
Windowsupdateや定義ファイルのダウンロードは混雑のため難しくなると思われます。
緊急回避(断線や速度低下が予想される)のため、8/15日付けのウイルス定義ファイルを掲載します。
こちらをクリックし、適用してください。
(NortonAntivirusのみ掲載。これより最新のものが適用されている場合、更新の必要はありません。)
■Windowsupdateを実行することで、セキュリティホールを塞ぐことが可能です。
※ システムが大幅に変更されますので、データの不整合による問題が発生する場合があります。
(アプリケーションが動作しない、不安定になる、起動できないなど)
そのため、アップデート作業は必ずデータのバックアップを取ってから行ってください。
■ウイルス定義ファイルを更新することにより、水際で被害を食い止めることがでjきます。
(周囲に、感染PCが発生、もしくは持ち込まれた場合に対応することができます)
【NortonAntivirus利用者はここをクリックし,ダウンロード・実行してください。】
■PCをスキャンし感染がないか確認する。
■感染したPCは、再起動を繰り返します。
XP、2000の場合、 CTRL+ALT+DELでタスクマネージャを立ち上げ、プロセスのタブのmsblast.exeを終了させ、
C:\WINDOWS\system32のmsblast.exeを削除することにより、一時的に使用できるようになります。
他のマシンでウイルス定義ファイルをダウンロードし、MO等により定義ファイルを移動、適用の後にスキャン、駆除してください。
今後、亜種を含めて、ネットワーク感染を主要経路(或いはメール複合型)とするウイルスが一般化する恐れがあります。
・今までのネットワーク型は主にサーバの持つ機能を狙ってきましたが、XP・2000も持つネットワーク機能が主目標にされ、
一般的な利用者も感染対象となり、各メディアにてセンセーショナルに取り上げられています。(眼にされた方も多いと思います)
これは、ウイルスの作成者たちに明確な目標を与えてしまったことを意味します。
”次はこれを98・Meでもできないだろうか。また、感染経路の複合化やデータ破壊能力を持たせられないか…等”
・残念ながら、亜種や複合タイプの発生は時間の問題です。(早ければその日の内に変異種が発生することもあります)
また、感染条件は非常に流動的な要素であるため、自分の環境は大丈夫。ではなく、
脆弱性が報告され次第、先んじて問題の解消に努めて下さい。
・ウイルス定義ファイルが適用されるまで、そのPCはウイルスに対する抵抗力が一切ありません。
そのため、インストール作業やPCの初期設定などは、ネットワークから切り離した状態で行う必要があります。
・現在配布しているNortonAntivirusは、そのままの状態ですとサービスパックが適用されたWindowsXPにはインストールすることができません。
(『互換性の既知の問題が……』と表示されます。WindowsUpdateを行った機体や、新しく購入された機体がこれに該当します。)
この場合、次の手順でインストールを行ってください。
1 警告を無視し、CDよりインストールを継続する。
2 インストール後、別の機体でこちらよりsevinst.exeをダウンロードし、FD・MOなどで移し、実行する。
3 再起動後、別の機体で最新のウイルス定義ファイルをダウンロードし、FD・MOなどで移し、適用する。
よろしくお願いします。