<情報>

• 「Blasterワーム対策方法」 (MS)
• Blaster への対策 - Windows XP 編 (MS)
• Blaster への対策 - Windows 2000/Windows NT 4.0 編 (MS)
• 感染した場合の対策について (MS)
• Windows RPC インターフェースの脆弱性への再度の注意喚起 (IPA)

• W32.Blaster.Worm (Symantec)
• W32.Blaster.B.Worm (Symantec)
• W32.Blaster.C.Worm (Symantec)

MSBLAST対策Web (Trendmicro)

• W32/Lovsan.worm.a (NAI)
• W32/Lovsan.worm.b (NAI)
• W32/Lovsan.worm.c (NAI)

<駆除ツール類>
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html

• W32.Blaster.Worm Removal Tool（Blaster、Blaster.Bに対応） (Symantec)

• Stinger v1.8.1 (NAI)

• トレンドマイクロ システム クリーナー

<技術資料>

• 030811-Alert-DCOMworm.pdf (Symantec)

Blaster Worm Update (ISC)http://isc.sans.org/diary.html?date=2003-08-14

• Code Analysis (PDF File)

Blaster Worm Analysis (eEye) http://www.eeye.com/html/Research/Advisories/AL20030811.html

• View eEye's detailed comments of the Blaster Worm assembly code
• View eEye's comments of the Metasploit exploit assembly code

ワームが侵入した場合

1. タスクマネージャを開き、バックグラウンドで実行されているmsblast.exeプロセスを終了
2. Windowsのシステムディレクトリに作成されているワームのコピーを削除

W32.Blaster.A,WORM_MSBLAST.A,W32/Lovsan.worm.aの場合→msblast.exe (6,176 バイト)
W32.Blaster.B,WORM_MSBLAST.B,W32/Lovsan.worm.cの場合→penis32.exe (7,200 バイト)
W32.Blaster.C,WORM_MSBLAST.C,W32/Lovsan.worm.bの場合→index.exe (32,045 バイト) 、root32.exe (19,798 バイト)、teekids.exe (5,360 バイト)

1. 追加されたレジストリの値を削除

場所：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値　："windows auto update" = "MSBLAST.EXE"
こういうのもあるよう
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Inet Xp.. = teekids.exe Microsoft can suck my left testi! Bill