新種ウィルスへの対策について

2004年6月8日現在、生研内でウィルスバスターなどでは検出できない新種のウィルスが蔓延しています。以下の手順で確認と対策をお願いいたします。

ウィルスバスターで検出、駆除可能になりました。パターンが最新であることを確認して、スキャンしてください。(2004.06.10)

以下、参考として残します。

感染しているかどうかの確認方法

ネットワークに接続した状態でコマンドプロンプトを立ち上げ、netstat を実行し、Foreign Address に非常に多くのマシンの :microsoft-ds (ポート445) が表示される場合は感染している

駆除方法

1. Ctrl-Alt-Delを押して、タスクマネージャを立ち上げ、「プロセス」をクリックする
2. イメージ名の中に、「wuagmsd.exe」がないか確認し、存在した場合はこれを選択した上で、「プロセスの終了」をクリックして終了させる
3. C:\Windows\system32\wuagmsd.exe (Windows2000の場合は C:\WINNT\system32\wuagmsd.exe)などにこのプログラムの実体があるのでこれを探して削除する(このファイルには隠しファイル属性と読み取り専用属性がついているのでこのままでは表示、削除ができない。エクスプローラでこのファイルを右クリックしてプロパティを選択し、これらの属性のチェックをはずすか、コマンドプロンプトでattrib -s -h -r wuagmsd.exeを実行するかしてから削除する)
4. スタートメニューから「ファイル名を指定して実行」を選択し、regeditと入力して「OK」をクリックする
5. レジストリエディタが立ち上がるので、メニューから「編集」->「検索」を選択する。「検索する値」に wuagmsd.exe と入力し、「次を検索」をクリックする
6. マッチしたものを右クリックして削除を選択する。
7. マッチするものがなくなるまで、検索と削除を繰り返す
8. マシンを再起動し、念のため、Windows Updateを実行する

このあともう一度コマンドプロンプトを立ち上げて、netstat を実行し、 Foreign Address に多数の :microsoft-ds へのアクセスがないかどうか確認してくださ い(ファイル共有が有効になっている場合は、1つか2つくらい生研内のアドレ スの :microsoft-ds へのアクセスがあるのは正常です)

この方法で駆除できた場合、できなかった場合のいずれの場合も cc-staff@iis.u-tokyo.ac.jp までご報告いただけますと幸いです。今後の対 策に活用させていただきます。