==================================================================== FixCodeC Version 1.80 Copyright (c) 1987-2001 Trend Micro, Inc. http://www.trendmicro.co.jp http://www.antivirus.com ==================================================================== [概要]  「CODERED.C」ワームについてワームの侵入の確認とワームが侵入してしまい「TROJ_CODERED.C」がインストールされることによって改変されるシステムの修復を行う自動駆除ツールです。 [使用上の注意] ・このツールはWindowsNT/2000上のコマンドプロンプト上で動作します。 ・改変されたシステムの修復に必要ですので必ずAdministratorの権限で実行してください。 ・「CODERED.C」ワームはセキュリティホールを持ったIISが稼動中のWindowsNT/2000システムにのみ侵入し活動を行います。このツールの使用前にまずセキュリティホールのチェックを行ってください。トレンドマイクロではセキュリティホール検知ツールを配布いたしておりますのでご活用ください。  eSolution#3057:「CODERED」ワームセキュリティホール検知ツール  http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3057  このツールの使用には以下のWindowsのシステムファイルが必要です:   "PSAPI.DLL"   註:このファイルは通常Winnt\system32ディレクトリにあります。  ご使用の際には可能な限りアプリケーションを終了させてから行ってください。 [処理内容]  このツールは以下の処理を行います: 1. メモリの検索:  メモリを検索し、「CODERED.C」が活動中かどうかを調べます。活動中だった場合には活動を停止させます。 2. IISの設定の削除:  「TORJ_CODERED.C」が設定する以下のIISの仮想ディレクトリを削除します。  /C  /D  /MSADC  /SCRIPTS 註:/MSADC 及び /SCRIPTS はIISのデフォルトから設定される仮想ディレクトリですが、セキュリティ上の問題のためマイクロソフト社も削除を推奨しております。削除してもIISの動作には問題ありませんのでご了承ください。 3. ファイル削除:  「CODERED.C」が作成する以下のファイルを削除します。  C:\EXPLORER.EXE  D:\EXPLORER.EXE  c:\inetpub\scripts\root.exe  d:\inetpub\scripts\root.exe  c:\progra~1\common~1\system\MSADC\root.exe  d:\progra~1\common~1\system\MSADC\root.exe 4. レジストリ修復:  「TROJ_CODERED.C」が改変したレジストリを修復します。 [「CODERED.C」自動削除手順] - 1)"FixCodeC.exe"をダブルクリックして実行してください。 2)「コマンドプロンプト」画面が起動し"FixCodeC.exe"の処理が始まります。 3)「MS-DOSプロンプト」画面に以下のような表示があり入力待ちになる場合があります。何らかのキーを押すと実際の駆除活動が行われます: ---例 /===========================================================================\ | FixCodeC Version 1.80 | | Copyright (c) 1987-2000 Trend Micro, Inc. | | http://www.antivirus.com | +============================================================================+ | | | This tool will scan and clean systems infected with CODERED.C under | | WinNT 4.0 and Win2000 Family of servers. The tool will : | | | | 1. Scan the trojan in memory. | | 2. Restart IIS if the trojan is found. | | 3. Delete virtual roots created by the worm in the IIS Metabase. | | 4. Scan and delete the dropped files. | | 5. Fix the registry values modified by the trojan. | | | | You must have Administrator rights in order to use this tool effectively.| | | | For Win NT 4.0 users, PSAPI.DLL must be present in the Windows system | | folder (this is usually the \WinNT\System32). | | | | For the details of this virus, visit | | http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=CODERED.C | | | \===========================================================================/ Press any key to continue.... 4)基本的にはすべて自動で処理が続行されます。以下のメッセージが表示されれば処理は終了です。    A log of the tool's actions are stored in FixCodeC.LOG.  システムの設定によっては駆除ツールの処理終了後、コマンドプロンプトが自動的に閉じてしまう場合があります。ツールはカレントディレクトリにログファイルを作成し、処理を記録していますので再起動後処理をご確認ください。ファイル名は「FixCodeC.LOG」です。 5)処理終了後は設定の適用のため、Windowsを再起動させてください。 [更新履歴] Ver1.40 → 1.80 の修正点: ・メモリ検索精度の向上:  メモリ中の「CODERED.C」の検索精度がアップしました。 ・IIS設定削除の追加:  改変されたIISの仮想ディレクトリを削除するように処理を追加 ・検索オプションの追加  レジストリのチェックのみを行う「/R」オプションを追加。 Ver1.10 → 1.40 の修正点: ・セキュリティホールチェックメッセージのバグ:  省略したセキュリティホールチェックのメッセージが実際には表示されていたのを表示しないように修正 ・処理シークエンスの改善:  メモリ中に「CODERED.C」を検出した場合のみ行っていたレジストリのチェックを未検出でも行うように修正  ワームがWindowsシステムファイルをコピーして作る"root.exe"の削除を行うように修正 --- 以上 ========================================================================== Copyright 2001 Trend Micro Incorporated. All rights reserved.  本ドキュメントに関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。トレンドマイクロ株式会社が事前に承諾している場合を除き、形態及び手段を問わず、本ドキュメント又はその一部を複製することは禁じられています。本ドキュメントの作成にあたっては細心の注意を払っていますが、本ドキュメントの記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わないものとします。本ドキュメント及びその記述内容は予告なしに変更されることがあります。  本ドキュメントに記載されている各社の社名、製品名及びサービス名は、各社の商標又は登録商標です。 ========================================================================== END OF FILE ==========================================================================