ＳＱＬサーバに関するワームについて教えてください

あらかじめお断りしておきます。この質問は某「知恵袋」でもさせて頂きましたが解決できませんでしたので、こちらでお尋ね致します。（マルチポストではありませんのでどうぞお許しください。あれから自分でも調べて状況も少し変わっています）

ウィルスに感染しました。

WinＸＰのProを使っています。２ちゃんねるに書かれていたサイトをクリックしたところ、次々に英語（？）サイトを開くようになり、何度閉じてもキリがありません。（50以上開きました）

ウィルスバスター2007が立ち上がり、何度も警告の画面が出ましたが、どうすることもできなかったため、強制終了しました。スキャンしたところ「WORM_ＳＱＬＰ1434.Ａ」というのがセキュリティホールのところに出て「MS-02-020」「MS02-039」で非常に緊急と警告と２つ出ています。UPDATEを実行するようメッセージが出たのでやってみたのですが、今現在のところこのＰＣにインストールする更新はない、と出ます・・・。
SQLというのはSEに組んでもらったソフトのことなので、それに関連があるようなのですが、トレンドマイクロのサイトを見ると、このウィルスは勝手にコードを書き換えてしまったりするらしく、大事なソフトなので、過去のデータが知らない間に書き換えられてしまったら非常に困ります。

トレンドマイクロのサイトで、ウィルスデータベースの中でワームの名前を調べると、「システムクリーナーで駆除できる」と書いてあったのでダウンロードし、再起動したのに再検出された為「対象ウィルス一覧」というのを見ると対象外となっていました。（なぜかはわかりません）
チャットサポートまで使いましたが、返答は「マイクロソフトに聞いてくれ」でした・・・。
ウィルスバスター2007を買った意味がないと思いました。

次にマイクロソフトのサイトで、ＳＱＬサーバの2000とか7とかのバージョンにより更新プログラムをダウンロードできるのですが、バージョン情報を見ると2000のほうでしたので、MS02-061という修正版の更新プログラムをダウンロードするよう指示していたので、今度はそちらをダウンロードしようとしたところ、「ページが見つかりません」と英語のページが出ました。せっかくここまでたどり着いたのに、肝心の更新（修正）プログラムがダウンロードできず、とても困っています。自分でできる限りのことはやったつもりなのですが、もしわかる方がいらっしゃいましたら、なにとぞご教授願えれば、と思います。

ちゃんと皆さんにわかりやすいように文章がまとめられているかどうか、甚だ不安なところはありますが、わかりにくいところやお答えできる限りは調べてお答えしたいと思いますので、なにとぞ宜しくお願い致します。なお、ＰＣに向かえる時間帯が限られておりますため、すぐの回答は無理かもしれませんが、必ず返事をさせて頂きますので、その点もお許し頂きたくお願い致します。

yoshi-thk 回答No.4

No3ですけれど、今回のウイルスは上司に報告して、
パソコンの納入業者かサポートを請け負っている会社に相談するしかないでしょう。
その会社のサポートを受けてリカバリしてもらうしかないです。

次に、「OfficeXPSP3」と「SQLServer2000のサービスパック３」とは全然違う修正プログラムです。

ダウンロードするプログラムは以下からダウンロードしてください。

マイクロソフトダウンロード
Microsoft SQL Server 2000 Service Pack 3a
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=90dcd52c-0488-4e46-afbf-acace5369fa3

適用方法は以下のページを見てください。

ソリマチ株式会社
SQL Server 2000へのサービスパック３(SP3)適用方法
https://www.sorimachi.co.jp/usersupport/information/sqlsv2ksp3.html

その次のSQL Server 2000のサービスパック４も出ているので、３を適用してから、
４を適用する必要があるでしょう。

Microsoft SQL Server 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?familyid=8E2DFC8D-C20E-4446-99A9-B7F0213F8BC5&displaylang=ja

補足 2007/08/20 14:08

こんにちは。今頃、随分前に回答してくださっているのに気がつきました。御礼が遅くなり申し訳ございませんでした。重ね重ね有難うございます。自分でも色々調べてみました。確かに「XPSP3」と「SQLServer2000のSP3」は全然違うものですね・・・。私はてっきり「SQL」というものは、そのサポート会社が独自に開発したソフトだと思っていました。でも本当は、ひらたく言えばアクセスみたいなもので、マイクロソフト製のデータベースソフトなのですね。だからOSのバージョンとは別物で・・・。本当に何も知りませんでした。

SEさんに何度もお願いして聞いてみたところ、PCに入っているソフトは
・SQL Server 2000 Desktop Engine (MSDE)
というバージョンで、ただの2000ではありませんでした。（電話応対に出た最初の人は「”2000”だとSEが言っている」と伝聞口調でしたし、その後作業をしても改善せず、不安だったのでだいぶ経ってから直接SEさんを電話に出してもらって聞いてみました。結局関係のないものをダウンロードさせられた格好です）
また、SP3ａは、SP2が入っていないとインストールができなくて、そのSP2も上記MSDEに適したものをダウンロードしないといけない、しかもそれもまた「msiファイル」というものがあり、それにもバージョンがいくつもあるとのことで、それこそもう本当にこちらでは調べようがなく、SEに来て対処してもらうしかなさそうです。（電話で尋ねてもいいのですが、なんだか教えてもらえなさそうなので・・・。こちらが作業してできなくて、尋ねたらやっと教える、というスタンスのようです）

簡単に考えていたわけではありませんが、マイクロソフトのサポートページで電話で質問しても、大塚某に聞いても、トレンドマイクロに聞いても「有償になる」ということと、「よそで聞いてください」としか言われないので、もう本当にあきらめようと思います。自分でSP2やSP3ａをダウンロードして使いこなせるかどうか、説明文を読めば読むほど自信がなくなってきましたし（binファイルになになにをコピーとか、readmeを読むと、専門用語の羅列ばかりで本当に手順を間違えずにできるかどうかわからないので）SP3ａをダウンロードしてみたのですが、セットアップするときにエラーメッセージがでたので、多分SP2が入っていなかったせいだと思うのですが、そのSP2も、MSDE版だとダウンロードではなく、CD－ROMの提供のようですので・・・。

今まで本当に有難うございました。リンク先も拝見させて頂きました。今後の参考にさせて頂きますね。お忙しいところ、わざわざ私のようなもののために、貴重なお時間を割いていただき、本当にありがとうございました。本当にお世話になりました。

yoshi-thk 回答No.3

今回の場合は、あなた一人で処置するべき問題ではないです。
場合によっては、あなたの会社全体が関係する問題を含んでいます。

重要な給与計算ソフトが入っているパソコンで、問題を起こしたのですから、
システム管理者や上司に報告して、リカバリするしかないでしょう。

XPSP3については、それが本物なのでしょうか？
一部のテスターに対しての提供はあるが、一般向けの提供は2008年前半となっています。
ですから、その修正プログラムについては、疑問を感じています。

それが、MS-OfficeXP用の「OfficeXPSP3」と言う修正プログラムであれば、適用する必要はあります。

ITPro セキュリティ
MicrosoftがWindows XP/Vista用サービス・パックの限定的なテストを開始
http://itpro.nikkeibp.co.jp/article/NEWS/20070809/279610/?ST=security

Computerworld
News : ソフトウェア＆サービス
Vista SP1のベータ版とXP SP3、年内にもリリースへ
http://www.computerworld.jp/news/sw/67689.html

補足 2007/08/11 09:54

お叱り耳に痛いです。本当に申し訳ありません。すべて私自身の責任です。呆れていらっしゃることだろうとは思いますが、それでもお答えいただけることに感謝しております。

うちの会社は「システム管理者」というすごい人は一人もいないので、ＰＣのことには疎い上司に報告するしかないと思います。

また、サービスパック３のことですが、マイクロソフトのＨＰにダウンロードして最新の状態にしたほうがいいというように指示があったのですが、yoshi-thk様のおっしゃる「OfficeXPSP3」と「ＳＱＬサーバ２０００のサービスパック３」というのは違うのでしょうか？すみません。ＰＣに本当に疎いのは上司じゃなくて私もなのですが・・・。

ウィルスがこんなに怖いものだとは思いませんでした。わかっているようで全然わかっていませんでした。今後リンクをクリックするときは充分に気をつけたいと思います。ここまでご親切に答えてくださった皆様、心より御礼申し上げます。本当に有難うございました。

ryu-fiz 回答No.2

>実はこのＰＣは会社のものなのです。勝手にバージョンを変えてしまっていいものでしょうか・・

そりゃ、ダメでしょう。とは言え、SQLサーバのバージョンアップを行わずに継続利用を続ければ、解消されていないセキュリティ上の問題＝脆弱性を利用する感染を防げない可能性が高いです。

ご自身の判断、裁量でこのパソコンをどうこう出来ないということであれば…最早会社のシステム管理者の方に事情を説明して対処してもらうしかないと思うのですが。

明らかに問題のある状態にパソコンが置かれていることからしても、会社側に有体に報告するのがはばかられる、というお気持ちが分からないでもありません。しかし…放っておいても決して良くはならないのです。

全面的にこのパソコンの管理者としての責任を負う立場でない限り、ご自身の手で上手く取り繕おうと考えない方がよろしいのではないでしょうか？

それと…こういう羽目に陥りたくなければ、社内パソコンを私的に利用することにはもう少し慎重になるべきですね。2chの怪しいリンクをクリックしたことが原因でパソコンがおかしくなった、という経緯では質問者さんに対する一定の責任問題は免れないものと考えます。

それと…誤解のないように申し上げておきたいのですが、

>また、できれば検出されたワームを削除したところなのですが、ウィルスバスター2007でスキャンすると、（中略）なので削除するという行為そのものができませんでした。

ウイルスバスター2007が検出したWORM_SQLP1434.Aは、セキュリティホールが存在するよ、という警告なのであって、この警告があったら即ワームに感染しているということを示すものではない、と考えることが出来ると私は思っています。対処のためのボタンとして"Windows Update"しか用意されていないことも、そのように考えれば至極納得が行きます。

言い換えますと、今回2ch絡みで何らかの感染に遭っているとしても、それは必ずしもSQLサーバの脆弱性を利用したものではないと言えます。むしろ、それ以外の感染である可能性が高いようにも思われます。

シマンテックの対策ソフトを…と書いてらっしゃいますが、止めておいた方がいいです。先述したように、SQLサーバの脆弱性絡みではない、別の感染である可能性が高く、その種の感染に対する効力はシマンテック製品では十分でないと考えられるからです。いずれにせよ、ウイルスバスターがダメだからシマンテック…というその場しのぎの対処は全くお勧め出来ません。シマンテックにしてダメだったら次はマカフィーにして、それでもダメだったら次の…というようなことを問題が解決するまでお続けになるつもりですか？

好き好んで質問者さんを責めるつもりはないですが…もうじたばたしてもしょうがないと思うのです。パソコンを管理するスキルのない方が企業ユースのパソコン、しかも給与計算に利用するような大切なものを、個人の不始末だからといってこっそりどうにかしたいから知恵を貸してくれ、というのはやはりかなり無茶な相談だと私には思えます。

後々のことを考えても、小手先だけの対処にすべきではありません。

補足 2007/08/11 09:41

おっしゃる通りです。過去の質問をすべて見たわけではないのですが、「会社のＰＣを使って～」というのは、確かに質問に答える側の皆さんにとっては、「何勝手に私用でＰＣを使ってるんだ。その上変なリンク先からウィルスを貰ってきただけでなく、誰にも知られないようにこっそり解決しようなんて甘すぎる」とおっしゃりたいということも・・・。このような質問は読んでも不快になるだけですよね。本当にすみませんでした。ご丁寧に回答くださいまして本当に有難うございました。

ryu-fiz 回答No.1

私自身はSQLサーバの利用者ではないので、参考までということで。

まず…存在する筈のセキュリティパッチが適用出来ない件について。
おそらく、最新のサービスパックが当てられていないことが原因ではないかと思われます。

http://www.microsoft.com/japan/sql/prodinfo/previousversions/downloads/2000/sp4.mspx
このページからこれを書いてる時点で最新のサービスパックが入手出来る筈です。ただし…複数の実行ファイルへのリンクが提示されています。データベースコンポーネントだけでいいのか、分析サービスコンポーネントやMSDEに関するものが必要かどうかについては、そちらの環境について分からないですし、そもそもSQLそのものに関する知識がないので私自身は詳しくお教え出来ません。

最新のサービスパックを適用後速やかにWindows Updateを受けられるようにしたら良いと思います。

でも既に感染に遭ってしまっており、一筋縄では行かない状況に思われます。後手に回った状態でリカバリ無しで状況改善が出来るかどうか少々疑問です。

そもそも…

>WinＸＰのProを使っています。

とありますが…XPに最新のサービスパック２は当てられているのでしょうか？当たっていないとすると…非常に危険な状態です。

http://support.microsoft.com/gp/lifean19

サービスパック２が適用されていないWindowsXPは最新のセキュリティパッチを適用することが出来ません。脆弱性の残る危険な状態が解消出来ませんので、サービスパック２の適用が急務です。適用に際しては、WindowsUpdateなどによる高速インストールは推奨されません。ウイルス対策ソフトの無効化や周辺機器を極力取り外すなど注意すべき点もいろいろあります。

http://support.microsoft.com/kb/884514/ja

>トレンドマイクロのサイトで、ウィルスデータベースの中でワームの名前を調べると、「システムクリーナーで駆除できる」と書いてあったので
（中略）
>ウィルスバスター2007を買った意味がないと思いました。

SQLサーバの脆弱性が解消されていないままの状態なので、感染が拡大している可能性があります。当初検出されたものがトレンドマイクロのシステムクリーナーに対応していても、それ以降に感染したものがそうでない場合もあり得ます。

なお、システムクリーナー自体は、問題のあるファイル本体の削除を行いません。あくまでも感染時に作成されたレジストリ上の項目などを削除したり、起動中の問題のあるプログラムを停止させたりして、問題のあるファイル本体の削除を容易にする下地作りをするに過ぎませんので、勘違いのないようにしてください。

ウイルスバスター2007がインストールされた環境では、システムクリーナー実行後にウイルスバスター2007で再スキャン、検出されたものを削除する必要があります。（システムクリーナー未使用の状態では検出されても削除出来ないものが存在する場合がありますが、使用後には削除できるようになる可能性が高いです）

システムクリーナーが対応していない感染については別の対策ツールを利用する必要があります。今回の場合、

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SQLP1434.A

を見る限りSlammer系の感染が懸念されますが、Slammerの駆除に使えるツールに関してはシマンテックが専用ツールを公開している他、マカフィーが公開しているStingerも対応しているようです。いずれかによって駆除できるかも知れません。

http://www.symantec.com/region/jp/sarcj/data/w/w32.sqlexp.worm.removal.tool.html

http://www.mcafee.com/japan/security/stinger.asp

なお、

>２ちゃんねるに書かれていたサイトをクリックしたところ、次々に英語（？）サイトを開くようになり、何度閉じてもキリがありません。（50以上開きました）

これ関係で、別の感染に遭っている可能性も懸念されます。必ずしもウイルスバスター2007で検出されるとは限りませんので、セカンドオピニオンが必要だと思います。お勧めしたいのは検出力に定評のあるカスペルスキーのオンラインスキャンです。
http://www.kaspersky.co.jp/virusscanner

最近は手強い感染がいろいろ出て来ています。一般的なウイルス対策ソフトでは必ずしも検出、削除出来るとは限りません。ですので、感染しないようにユーザー自身がより一層注意する、また感染する隙を作らないようにすることが求められます。

http://www.higaitaisaku.com/korobanu.html
http://www.geocities.jp/iespyad_jpn_manual/quick_guide/txt.html

補足 2007/08/10 10:38

ご丁寧に本当に有難うございます　m(__)m　某所でも書かせていただいたのですが、２ちゃんねるのその悪意のある書き込みにあったリンク先をクリックするまでは、別の面白いブログへ飛んだり画像を貼ってあるだけでしたので、つい安心してしまったんです。が、その後同じ２ちゃんのページを見てみると、ちゃんと「ウィルスに感染された有名サイト」として紹介してくださり、ブラクラチェックは怠らないように、と注意してくださっている方がいて・・・。私と同じように感染してしまった人もいました。さて、私のＰＣのバージョンですが、プロパティを見ると「Professional Version2002 ServicePack2」となっていますが、このことでよろしいのでしょうか？

>このページからこれを書いてる時点で最新のサービスパックが入手出来る筈です。ただし…複数の実行ファイルへのリンクが提示されています。

こちらは私も見ました。ServicePack3をダウンロードしてくださいと書いてあるのですが、実はこのＰＣは会社のものなのです。勝手にバージョンを変えてしまっていいものでしょうか・・、（それは会社がどう判断するか、ですけれども）というかするしかないのでしょうか。しかもその上でryu-fiz様もおっしゃるように、「複数の実行ファイル」を行わないといけないようなので、今は正直マイクロソフトのページであってもリンク先をクリックするのが怖い状況で・・・（自業自得ですが）

ＳＱＬサーバを使用しているソフトは私のＰＣにのみ入っている給与計算ソフトです。他の人とはプリンタのみ共有しています。そのソフトがあるために保守に加入しているので大塚（某）社の営業の人に確認した処、「保守に入っているのは物理障害が起こったハードのみで、ソフトの場合は保守に入っておらず、ましてやウィルス感染の場合はそもそも対象外で、出張のみで３万円かかるし、行ったとして完全に除去できるかどうかはわからない」とまで言われ、途方にくれています。

また、できれば検出されたワームを削除したところなのですが、ウィルスバスター2007でスキャンすると、ウィルスというタブとセキュリティホールというタブとスパイウェアというタブがあるのですが、ウィルスのところに毎回でる「Cookie」は削除とか隔離とかいうボタンが出るのですが、このセキュリティホールのところに出るワームは「windows update」しかボタンがないのです。これは最初からそうでした。なので削除するという行為そのものができませんでした。

取り合えず私はServicePack3をダウンロードするべきでしょうか？それともシマンテック（これは私も調べた際、駆除できそうな感じを受けましたので、１度試してみようと思っていました）を使ったほうがいいでしょうか？あまり複数の駆除ツールをいくつもいくつもダウンロードするのも、その後それがもし使えなかった場合、アンインストールするだけでいいのかも疑問ですし、不安です・・。

もし懲りずにお答え頂けるようでしたら、引き続きよろしくお願い致します。