MSがワーム除去ツールを公開 96
ストーリー by yourCat
ユーザーが除去しないと 部門より
ユーザーが除去しないと 部門より
Anonymous Component曰く、"CNET Japanの記事によると、昨年8月にネット上で広がり始めたBlasterワームは、感染した事に気づかれていないシステムが依然として活発にワームを送信して、インターネット上でトラフィックの渋滞を起こしているそうです。米Microsoftはインターネット接続サービス業者 (ISP) から苦情が寄せられたことを受けて、5日にワーム除去するツールをリリースしています。
日本では昨年8月にBlaster対策CD 20万枚が無償配布されていますが、現在も感染が続いていて、2003年暮れには警察庁がISPに直接注意する事態になりました。今回の除去ツールは効果があるのでしょうか?"
ツールだけじゃ無意味かな (スコア:3, 興味深い)
同様で、感染しているPCにダウンロードし自発的に実行する必要がありますね。
しかし、現在もBlasterやNachiに感染したままになっている人は、そもそも
ウィルス対策なんかには興味がない人か、ウィルスが不安でもどうしたら
良いのかわからない人たちですよね。
もしくは電源入れっぱなしで放置されているPCとか。(企業などのファイルサーバーとか)
で、そういうユーザーが今回のツールをわざわざ「Microsoft ダウンロード センター」
からダウンロードしてまで実行しないのでは?
意味不明な使用許諾が表示され、怖くて実行できない人もいますし。
BlasterやNachiの様に被害の大きなワームやウィルスが発生した場合は、
WindowsUpdateの「重要な更新」で感染チェックツールをPCに送り込んで
強制チェックを行う等の対策が必要なのではないでしょうか?
「重要な更新」なら良くわからないユーザーは自動で実行されますし、
自分で対策できるパワーユーザーや企業のサーバー管理者は適用を拒否
することも簡単です。
そして感染が発覚した場合にツールで駆除できれば初心者にも優しいと
思います。
Re:WindowsUpdateやセキュリティパッチ (スコア:1)
Re:WindowsUpdateやセキュリティパッチ (スコア:2, 参考になる)
Re:WindowsUpdateやセキュリティパッチ (スコア:1)
パッチを適用して作業が滞るよりは、ウィルスに感染して顧客に迷惑かけるほうがいいって判断なのかな?
パッチ当てもパッチの質がアレだから危険だけどパッチ当て直前に重要なデータをバックアップするとか対策できるからウィルスに感染するよりは安全だと思うんだけどなぁ
ま、どこの会社かは知らないけれどそういう会社は顧客としても社員としても全く無関係の第三者としても信用できないよなぁ
Re:WindowsUpdateやセキュリティパッチ (スコア:1)
どんなOS・アプリにだって、バグやセキュリティーホールはあるし、ウィルスに感染したり、影響を受けないとはいえません。
パッチを当てても減給、ウィルスに感染しても減給なら、Windowsと言わずコンピューター自体をつかったら減給と言うことになりそうですね。(暴論)
Re:大量のWindowsPCを一括操作するには? (スコア:1)
なんとなく こんなの [atmarkit.co.jp]読んでみたらどうですか?
疑問に思ってるようなことに対しては 『待て!次号!!』って感じですが そろそろ出てくると思いますよ
数百台とかいうレベルではないですけどね
Re:大量のWindowsPCを一括操作するには? (スコア:1)
SUSの構築の実際 [monyo.com]
こいつをファイルサーバあたりに仕込んでおけば Windows Update のファイルをキャッシュできるので、
社外回線が細くても Update しやすくなります。
# パッチは当てられるけど、違った意味で危険度が増すかも...
Re:大量のWindowsPCを一括操作するには? (スコア:2, 参考になる)
単純にパッチを入れたいだけなら、スクリプトで可能だと思います。
マイクロソフトのナレッジベースにオプションスイッチが載ってますし。
以下引用-----
このセキュリティ修正プログラムでは、以下のセットアップ スイッチが使用できます。
* /? : インストール スイッチの一覧を表示します。
* /u : 無人モードで実行します。
* /f : コンピュータのシャットダウン時に他のプログラムを終了します。
* /n : アンインストールするためのファイルのバックアップを作成しません。
* /o : 確認メッセージを表示せずに OEM ファイルを上書きします。
* /z : インストールの完了時に再起動しません。
* /q : Quiet モードで実行します (ユーザー入力を必要としません)。
* /l : インストール済みの修正プログラムの一覧を表示します。
* /x : セットアップを実行せずにファイルの展開のみを行います。
引用ここまで-----
サーバが用意できるなら、SUS [microsoft.com]などを利用してみるのもひとつの手段かと。
http://www.microsoft.com/japan/windowsserversystem/sus/default.mspx
Re:大量のWindowsPCを一括操作するには? (スコア:1)
COMがなくなれば、COMに依存しているアプリ
office , IE , MediaPlayer , DirectX , .net , VB と、
それを利用しているアプリがすべて書き直しになるし。
Linuxでいえば、 /bin/sh がなくなるのと同じぐらいの破壊力です。
by rti.
除去ツールよりも…… (スコア:2, すばらしい洞察)
(穴があいているPCじゃなくて)
Re:除去ツールよりも…… (スコア:1, すばらしい洞察)
大抵のワームは、新し物好きで、中途半端なパソコンオタク(ほとんどが予算権限を握っている上司である場合が多い...)のところに行くといます。
Re:除去ツールよりも…… (スコア:1)
「もらったぁっっ」と思ったら、すぐに送り先を偽ってくるタイプがでて対応できなくなって......(T_T)
Re:除去ツールよりも…… (スコア:1)
これはこれで欲しいかも……
備えあれば憂いなし
Re:除去ツールよりも…… (スコア:0)
LAN内に限らず、「こいつのPCは感染している!」ってのが
特定できるツールが欲しい。
Outlookのアドインで、アドレス帳に自動的に「この人のPC
は、感染しています」チェックがつく…
Re:除去ツールよりも…… (スコア:3, 興味深い)
> は、感染しています」チェックがつく…
で、そのチェックを見て別のワームが活動すると…
諦め? (スコア:2, すばらしい洞察)
>A4: 再配布はできません。ユーザーは、必ずマイクロソフト Web
>サイトから KB833330.exe をダウンロードする必要があります。
普通に捉えると、感染しているPCを使ってダウンロードしろってこと?
このKB833330.exeって、サイズが314KB [microsoft.com]だから、一
応、別のPCでフロッピーに落として、ネットワークから外した感染
PCに突っ込むってのが、通常の手順だと思うけど、そこまでやらず
に、感染したPCを繋いでダウンロードしようとする輩も居そうな気
がします。
それとも、もう、その時点で散々ばら撒いちゃった後だから「今更
ちょっと繋いでダウンロードするくらい気にしなさんな…」ってこ
となのでしょうか?
----------------------------------------
You can't always get what you want...
Re:諦め? (スコア:1)
それは自分でコピーして使ってるだけで配布してないから再配布には当たらないと思うけど。
Re:諦め? (スコア:1)
言いたいのは、再配布云々ではなくて、「ダウンロードする必要がある」と言われると、感染しているPCをネットワークに繋いでダウンロードする人が出るだろうな…ということです。
----------------------------------------
You can't always get what you want...
Re:諦め? (スコア:1)
これらワームの苗床となっているご家庭環境で、PC2台以上保有して
いるとこがどれだけあるのだろうか。。。
仮に2台以上あったとしても、所有者が同じであるため、
すでに両方とも感染済であるケースが大部分であるはずなので、
結局感染PCをつないでダウンロードし、その感染PCでFDに入れて
他のマシンにコピー。
許諾条件無視した人がそのFDを知合いに配布。
ファイルにくっついてきた奴が感染。
# まぁ、最後のやつはいまどき珍しいだろうけど。
wild wild computing
Re:諦め? (スコア:1)
Re:諦め? (スコア:1)
しーっ!
そんなこというと 某社 [srad.jp]がまたやっちゃいますよ?
OSのインストール (スコア:2, 参考になる)
シャットダウンされないうちにGoogleで検索したりしてBlasterが原因と知ったので、なんとかごまかしながらパッチ当てて駆除するところまで持っていきましたけど。
これ、即座にシステムを壊すようなワームだったらこういうOSのインストール手順踏めなくなりますよね? 重要なパッチあらかじめ全部手元に置いておかないと。
Re:OSのインストール (スコア:1)
元のコメントはソレをよくあらわしているのではないでしょうか。
悟れ (スコア:1, おもしろおかしい)
#と、マトリクスレボリューションズで平和を学びました。
Re:悟れ (スコア:0)
あれ? (スコア:1)
普通に思ってしまったドアホな自分
Re:あれ? (スコア:1, 参考になる)
ネットワーク管理者のためのBlasterワーム対策 [atmarkit.co.jp]
MSのセキュリティツール [microsoft.com]
Shavlik [shavlik.com]
アップデートテクノロジー [updatecorp.co.jp]
HotFix管理の勘所 [atmarkit.co.jp]
Re:あれ? (スコア:0)
ブラスターの亜種でセキュリティパッチあてるようなウィルス作らないと無理。
Re:あれ? (スコア:2, 参考になる)
すでにあります。
WelchiaとかNachiとか呼ばれているものです。
注意しなければならないのは、このワーム自体がBlasterが感染しているPCを
探すためにpingを打ちまくるので、ネットワークのトラフィックを無駄に消費してしまうこと、
また日本語版パッチはダウンロードしてくれないので日本語Windowsでは意味がないことです。
(というか有害なだけですね)
詳しくは/.でも記事になっている [srad.jp]のでご参照ください。
Re:あれ? (スコア:1)
パッチを適用すれば修復できるんでしょうか?(無知で申し訳ない
そぅすると今回のツールを出す意味がわからないのですが...
それとも、パッチを適用して修復できるのは穴だけで、
ワームは活動できないもののPC無いに存在したままとか?
でも活動できないんだったらツール出すほどでもないしなぁ
ぅ~んぅ~ん......
Re:あれ? (スコア:1)
Code Redかなんかの時に お返しするようなCGIを書いていた知人がいます. 同じ脆弱性をつっつくやつだったので 下手すりゃピンポンになっちゃうよな~とか思ったもんです.
これはさすがにきついんじゃないですかねぇ
Re:あれ? (スコア:1)
うーん なんか
とやらの違いがわからないです.ただ単に自分で探しに行くか待ってるだけかの違いだけなら大差ないしなぁ
むしろ 同じ脆弱性をつっつくやつと仮定して 途中でNATとかかましてる状態だったりしたら NAT-BOXのlog的には攻撃されてるのと変らないわけで M$製のアタックツールとか騒がれたらやっかいだと思いませんか?
感染しているPCがPrivate空間でNAT経由だとアクセス元のIP-Addressに戻しても意味がないでしょ? だからピンポンの危惧があったんですけど:-p
Re:あれ? (スコア:1)
なんか勘違いしてるようですが 僕はVirusでPatchあてということ自体『しょっぼい』と言っているので 「Welchiaとやらの方がいいぜ」 なんてことは一切言っていませんよ
能動的だろうが受動的だろうが『しょっぼい』と思います.
こっちは「 前のコメント [srad.jp]で~」というのを入れたらわかってもらえますか?
Re:あれ? (スコア:1)
#468450 [srad.jp]にて どっちも違いを感じないということを言っています. つまり両方『しょっぼい(c)AC』と
やっぱりわかってもらってないようです. ピンポンが問題なのではなくて CodeRedの仕掛けの時にピンポンになるような状況(あなたの話だとNATごしにM$のサイトへアクセスってことになるのかな?)を考えると 『patchをあてるための』アクションが管理者からみたら攻撃されたのと変わらないでしょってことなんですが
まぁそれはいいとして もう少しアレゲな話に持っていくと……
M$のサイトにあったとわかったら Virusの作者がそこにアクセスしないように作ってしまえば 次からは使い物にならないですよね.
それと最近のやつは調べてないので違うかもしれませんが Nimdaとかは 近くのIP-addressに対して攻撃して 1/8くらいの確率で違うエリアへの攻撃というアルゴリズムだったと思います. これは感染させるのを目的とした場合には効率的なわけで こんな感じのを使っていたとしたらM$へアクセスする確率はどれくらいになるでしょうか?
また 上記の確率を大きく変える要素としてFirewallというものがあります. virusuがhttpでM$へアクセスするのならまだしも 他のprotocolだとFirewallで落とされる可能性もあるわけです. 逆にM$のサイトからpatchを送り込むにしても同じ脆弱性を使うのならば当然落とされますよね. BlasterはFirewallで落とすはずだったのに 持ち込みのPCなんかで企業内に広まったってとこもありますし.
っていうことから考えても提案されている方法はあまり効率的ではないと僕は考えていますがどうでしょうか?
M$からはダウンロードするだけで同じ脆弱性を使って何か仕込むわけではないとの主張ならば そこのアクションについて説明してもらえますか?
除去ツール (スコア:1, おもしろおかしい)
ってのはいつ出るんでしょうか?
えっ、4/1?そんなに待てない!
Re:除去ツール (スコア:1, おもしろおかしい)
Microsoftは非常に良心的な会社なので、かなり前から
当該ツールをリリースしています。>FDISK
Re:除去ツール (スコア:1)
# 2003/11リリースとなっています
Re:除去ツール (スコア:1)
lilo除去に関して [microsoft.com]なページはあるようですが:-p
IE除去ツールといえばこれ [nifty.ne.jp]ですかねぇ…
最近のには対応してないみたいだけど
感染に気付いてなかったら (スコア:1, すばらしい洞察)
# 素朴な疑問
Re:感染に気付いてなかったら (スコア:1)
Re:感染に気付いてなかったら (スコア:1, すばらしい洞察)
年末の大仕事 (スコア:1)
この年末実家に帰省したときに、うちの両親がPCの調子が最近激烈に悪いとかいうので、 ちょっと見てみたところ....
見事にBlasterに感染していました(T_T)
駆除するのに半日くらいかかってしまいましたとさ
自分のノートPC持って帰っておいてよかった...
世の中感染に気づかずに、「最近うちのPC調子悪いなー」くらいに思っている人はものすごーく多いのかもしれません。
Re:年末の大仕事 (スコア:3, 参考になる)
普段持ち歩くUSBメモリの中にTrendMicroの駆除ツールを入れてます。500KBほど。
今はここからダウンロードできるようです。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
WinXPなら、
(1) ネットワークから離して
(2) 駆除ツール実行して
(3) インターネット接続ファイアウォールを有効にして
(4) WindowsUpdate
Win2000なら(3)にあたる部分が少し面倒(DCOM停止と再開)。
買収した会社の技術を使いましたね (スコア:0, すばらしい洞察)
はずですから、いよいよその技術を使って自前のウィルス対策を
始めたということでしょうか。
いよいよシマンテック社やトレンドマイクロ社が市場から閉め出さ
れる、いつものパターンが始まりそうですね。
#WindowsUpdateとウィルスバスターソフトの相性に苦しんだ
#ことがあるのでAC
Re:買収した会社の技術を使いましたね (スコア:1)
ここんところ、声が出ました。
Re:買収した会社の技術を使いましたね (スコア:0)
#家にへったくれがあるのでAC
もはや「MS純正ウイルス」以外に手が無いのでは (スコア:0)
Windowsの使用許諾条件の中に
「ユーザに無断でWindowsUpdateを行うソフトウェアをインストールする事」
(インストール経路を問わず)
を認めさせる一文が付くのはいつだろうか。
Re:もはや「MS純正ウイルス」以外に手が無いのでは (スコア:1)
Re:シェア (スコア:1, すばらしい洞察)
というかこのトピってそういう話だろ
Re:シェア (スコア:1)
逆のような気がしますが……