はい、こちら編集オペレーター待機室:WORM_DOWNAD.AD - livedoor Blog(ブログ)(情報元のブックマーク数)

WORM_DOWNAD.AD対応で死に掛けた日記。MS08-067を全部の端末、サーバに当てる必要があるので死んでしまいますよね・・・

すばらしい、記録、そして、レポート。

もう働きすぎて何だか日にちの感覚がおかしくなってるんですけど、確か2月の27日金曜日はそのまま朝から土曜日まで徹夜で仕事。

しかし、そのまま帰ることは叶わず、結局土曜日もそのまま働いて更に翌日の日曜日の深夜1時にやっと家路にひとまずつくことができました。

が・・・、結局家に帰れた当日の日曜日は一度寝てから朝10時に再び出勤。

ここから更に日付を超えて、月曜日の2日の朝11時にやっとこさ帰れることが出来ました。

ここ数日で、寝たのは日曜日のAM2時ごろからAM9時過ぎまでと、今日はPM2時ごろから先ほどのPM8時過ぎまで寝ただけ。

計算すると金曜日から月曜日までの4日間96時間中、寝れた時間は13時間だけですね・・・。う〜む我ながらよく働けたなぁ。

原因はパソコンウイルス「WORM_DOWNAD.AD」。これの対応に追われてました。

はい、こちら編集オペレーター待機室:WORM_DOWNAD.AD - livedoor Blog(ブログ)

火曜日発生で、ワームが爆発的に膨れても業務優先でネットワークから切り離せないという・・・・

ここは、判断誤りですね・・・

私の職場では、先週火曜日あたりに最初に発生したと思われ、それが金曜日に爆発的に広まったようです。

最初の頃は私が管理(勿論チームでですが)するシステムではなく、別のシステム内で猛威を振るいました。別システムとは言え、これが私が管理するシステムと同じネットワークを利用していたため、ハラハラしてましたが、当初は情報もなく、何も対応できず。

で、その別システムとこちらのシステムの境目のサーバより遂にウイルス検出のアラートが発生。それが何時まで経っても止まらず、更にドメインコントローラーに対してアタックが大量に発生。

この時点でも未だに発生源は不明。もう何が何やらという感じでしたね。

ちなみにこの時点でも、各システムはネットワークより切り離していません。ユーザ側の要望により、業務を優先させるんだとか・・・。もうアホかと。。。

はい、こちら編集オペレーター待機室:WORM_DOWNAD.AD - livedoor Blog(ブログ)

実際の経験は、本当に良いKnowHow。タスクスケジューラの停止がウイルスの拡散に効果があるなんて書いてなかったなぁ。

最終的に解決の頼りとなったのは、セキュリティ対策会社(トレンドマイクロシマンテックマカフィー)などが提供している「WORM_DOWNAD.AD(トレンドマイクロでの名前)」対応の駆除ツールが即効性があります。

しかし、これだけでは当然不足で、WindowsパッチのMS08-067(KB958644)の適用が第一で、そのほかに2つほど必要なようです。

尚、私が管理するシステムではWindowsの標準機能の「タスク」にトロイ型のウイルスを撒き散らすタスクスケジュール型ウイルスが自動作成されてしまうので、サービスの「Task Scheduler」を停止しました。

これはかなり効果大ですので、「WORM_DOWNAD.AD」が確認されたネットワークでは所属するシステムに対し、このサービス停止を必ず行った方が確実です。

はい、こちら編集オペレーター待機室:WORM_DOWNAD.AD - livedoor Blog(ブログ)

screenshot