Condividi tramite

Virus alert about the Blaster worm and its variants

Questo articolo descrive l'avviso del virus sul worm Blaster e le sue varianti e contiene informazioni su come prevenire e recuperare da un'infezione dal worm Blaster e dalle sue varianti.

Numero KB originale: 826955

Riepilogo

Il 11 agosto 2003, Microsoft ha iniziato a indagare su un worm segnalato da Microsoft Product Support Services (PSS) e il team di sicurezza di Microsoft PSS ha inviato un avviso per informare i clienti del nuovo worm. Un worm è un tipo di virus informatico che in genere si diffonde senza azione dell'utente e che distribuisce copie complete (possibilmente modificate) di se stessa tra reti (ad esempio Internet). Noto come "Blaster", questo nuovo worm sfrutta la vulnerabilità che è stata risolta dal bollettino sulla sicurezza microsoft MS03-026 (823980) per propagarsi su reti usando porte RPC (Remote Procedure Call) aperte nei computer che eseguono uno dei prodotti elencati all'inizio di questo articolo.

Questo articolo contiene informazioni per amministratori di rete e professionisti IT su come prevenire e come recuperare da un'infezione dal worm Blaster e le sue varianti. Il worm e le sue varianti sono noti anche come W32. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST. A (Trendmicro) e Win32.Posa.Worm (Computer Associates). Per ulteriori informazioni sul ripristino da questo worm, contattare il fornitore del software antivirus.

Per ulteriori informazioni sui fornitori di software antivirus, fare clic sul numero di articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

49500 Elenco di fornitori di software antivirus

Se si è un utente domestico, visitare il seguente sito Web Microsoft per la procedura per proteggere il computer e ripristinare se il computer è stato infettato dal worm Blaster:

Che cos'è Microsoft Security Essentials?

Note

  • Il computer non è vulnerabile al worm Blaster se è stata installata la patch di sicurezza 823980 (MS03-026) prima del 11 agosto 2003 (data in cui è stato scoperto questo worm). Non è necessario eseguire altre operazioni se è stata installata la patch di sicurezza 823980 (MS03-026) prima del 11 agosto 2003.

  • Microsoft ha testato Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP e Windows Server 2003 per valutare se sono interessati dalle vulnerabilità risolte dal bollettino microsoft sulla sicurezza MS03-026 (823980). Windows Millennium Edition non include le funzionalità associate a queste vulnerabilità. Le versioni precedenti non sono più supportate e potrebbero non essere interessate da queste vulnerabilità. Per ulteriori informazioni sul ciclo di vita supporto tecnico Microsoft, visitare il seguente sito Web Microsoft:

    Cerca informazioni sul ciclo di vita dei prodotti e dei servizi.

    Le funzionalità associate a queste vulnerabilità non sono incluse anche in Windows 95, Windows 98 o Windows 98 Second Edition, anche se DCOM è installato. Non è necessario eseguire alcuna operazione se si usa una di queste versioni di Windows.

  • Il computer non è vulnerabile al worm Blaster se è stato installato Windows XP Service Pack 2 o Aggiornamento cumulativo 1 per Windows 2000 Service Pack 4. L'aggiornamento della sicurezza 824146 è incluso in questi Service Pack. Non è necessario eseguire altre operazioni se questi Service Pack sono stati installati. Per ulteriori informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:

    322389 Come ottenere il Service Pack di Windows XP più recente.

Sintomi di infezione

Se il computer è infetto da questo worm, potresti non riscontrare alcun sintomo o potresti riscontrare uno dei seguenti sintomi:

  • È possibile che vengano visualizzati i messaggi di errore seguenti:

    Servizio RPC (Remote Procedure Call) terminato in modo imprevisto.
    Il sistema viene arrestato. Salvare tutto il lavoro in corso e disconnettersi.
    Eventuali modifiche non salvate andranno perse.
    Questo arresto è stato avviato da NT AUTHORITY\SYSTEM.

  • Il computer può essere arrestato o può essere riavviato ripetutamente a intervalli casuali.

  • In un computer basato su Windows XP o in un computer basato su Windows Server 2003, potrebbe essere visualizzata una finestra di dialogo che consente di segnalare il problema a Microsoft.

  • Se si usa Windows 2000 o Windows NT, è possibile che venga visualizzato un messaggio di errore Di arresto.

  • È possibile trovare un file denominato Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll o Yuetyutr.dll nella cartella Windows\System32.

  • È possibile trovare file TFTP* insoliti sul computer.

Dettagli tecnici

Per informazioni tecniche sulle modifiche apportate da questo worm al computer, contattare il fornitore del software antivirus.

Per rilevare questo virus, cercare un file denominato Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll o Yuetyutr.dll nella cartella Windows\System32 oppure scaricare la firma software antivirus più recente dal fornitore antivirus e quindi analizzare il computer.

Per cercare questi file:

  1. Fare clic su Start, fare clic su Esegui, digitare cmd nella casella Apri e quindi fare clic su OK.

  2. Al prompt dei comandi digitare dir %systemroot%\system32\filename.ext /a /se quindi premere INVIO, dove filename.ext è Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll o Yuetyutr.dll.

    Note

    Ripetere il passaggio 2 per ognuno di questi nomi di file: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll e Yuetyutr.dll. Se si trova uno di questi file, il computer potrebbe essere infettato con il worm. Se si trova uno di questi file, eliminare il file e quindi seguire la procedura descritta nella sezione "Ripristino" di questo articolo. Per eliminare il file, digitare del %systemroot%\system32\filename.ext /a al prompt dei comandi e quindi premere INVIO.

Prevenzione

Per evitare che questo virus infetta il computer, attenersi alla seguente procedura:

  1. Attivare la funzionalità ICF (Internet Connection Firewall) in Windows XP, Windows Server 2003, edizione Standard e in Windows Server 2003, edizione Enterprise oppure usare Firewall basic, Microsoft Internet Security and Acceleration (ISA) Server 2000 o un firewall di terze parti per bloccare le porte TCP 135, 139, 445 e 593; Porte UDP 69 (TFTP), 135, 137 e 138; e la porta TCP 4444 per la shell dei comandi remota.

    Per attivare ICF in Windows XP o Windows Server 2003, seguire questa procedura:

    1. Fare clic sul pulsante Start e quindi scegliere Pannello di controllo.
    2. In Pannello di controllo fare doppio clic su Rete e connessioni Internet e quindi su Connessioni di rete.
    3. Fare clic con il pulsante destro del mouse sulla connessione in cui si desidera attivare Firewall connessione Internet e quindi scegliere Proprietà.
    4. Fare clic sulla scheda Avanzate e quindi fare clic per selezionare la casella di controllo Proteggi computer o rete limitando o impedendo l'accesso a questo computer da Internet .

    Note

    Alcune connessioni remote potrebbero non essere visualizzate nelle cartelle Connessione di rete. Ad esempio, le connessioni remote AOL e MSN potrebbero non essere visualizzate. In alcuni casi, è possibile usare la procedura seguente per attivare ICF per una connessione che non viene visualizzata nella cartella Connessione di rete. Se questi passaggi non funzionano, contattare il provider di servizi Internet (ISP) per informazioni su come firewallre la connessione Internet.

    1. Avviare Internet Explorer.
    2. Scegliere Opzioni Internet dal menu Strumenti.
    3. Fare clic sulla scheda Connessioni , fare clic sulla connessione remota usata per connettersi a Internet e quindi su Impostazioni.
    4. Nell'area Impostazioni di connessione remota fare clic su Proprietà.
    5. Fare clic sulla scheda Avanzate e quindi fare clic per selezionare la casella di controllo Proteggi computer o rete limitando o impedendo l'accesso a questo computer da Internet .

    Per ulteriori informazioni su come attivare Internet Connection Firewall in Windows XP o In Windows Server 2003, fare clic sul numero di articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

    283673 Come attivare o disattivare il firewall in Windows XP

    Note

    ICF è disponibile solo in Windows XP, Windows Server 2003, edizione Standard e Windows Server 2003, edizione Enterprise. Il firewall di base è un componente di Routing e Accesso remoto che è possibile abilitare per qualsiasi interfaccia pubblica in un computer che esegue sia Routing che Accesso remoto e un membro della famiglia Windows Server 2003.

  2. Questo worm usa una vulnerabilità annunciata in precedenza come parte del suo metodo di infezione. Per questo motivo, è necessario assicurarsi di aver installato la patch di sicurezza 823980 in tutti i computer per risolvere la vulnerabilità identificata nel bollettino sulla sicurezza Microsoft MS03-026. La patch di sicurezza 824146 sostituisce la patch di sicurezza 823980. Microsoft consiglia di installare la patch di sicurezza 824146 che include anche correzioni per i problemi risolti nel bollettino microsoft sulla sicurezza MS03-026 (823980).

  3. Usare la firma di rilevamento antivirus più recente del fornitore antivirus per rilevare nuovi virus e le relative varianti.

Ripristino

Le procedure consigliate per la sicurezza suggeriscono di eseguire un'installazione completa "pulita" in un computer compromesso in precedenza per rimuovere eventuali exploit non individuati che possono causare una compromissione futura. Per altre informazioni, visitare il sito Web Cert Advisory seguente:

Passaggi per il ripristino da una compromissione del sistema UNIX o NT.

Tuttavia, molte aziende antivirus hanno scritto strumenti per rimuovere l'exploit noto associato a questo particolare worm. Per scaricare lo strumento di rimozione dal fornitore dell'antivirus, usare le procedure seguenti a seconda del sistema operativo.

Ripristino per Windows XP, Windows Server 2003, edizione Standard e Windows Server 2003, edizione Enterprise

  1. Attivare la funzionalità ICF (Internet Connection Firewall) in Windows XP, Windows Server 2003, edizione Standard e Windows Server 2003, edizione Enterprise oppure usare Firewall basic, Microsoft Internet Security and Acceleration (ISA) Server 2000 o un firewall di terze parti.

    Per attivare ICF, seguire questa procedura:

    1. Fare clic sul pulsante Start e quindi scegliere Pannello di controllo.
    2. In Pannello di controllo fare doppio clic su Rete e connessioni Internet e quindi su Connessioni di rete.
    3. Fare clic con il pulsante destro del mouse sulla connessione in cui si desidera attivare Firewall connessione Internet e quindi scegliere Proprietà.
    4. Fare clic sulla scheda Avanzate e quindi fare clic per selezionare la casella di controllo Proteggi computer o rete limitando o impedendo l'accesso a questo computer da Internet .

    Note

    • Se il computer si arresta o si riavvia ripetutamente quando si tenta di seguire questi passaggi, disconnettersi da Internet prima di attivare il firewall. Se ci si connette a Internet tramite una connessione a banda larga, individuare il cavo che viene eseguito dal modem DSL o cavo esterno, quindi scollegare il cavo dal modem o dal jack telefonico. Se si utilizza una connessione remota, individuare il cavo telefonico che viene eseguito dal modem all'interno del computer al jack telefonico, quindi scollegare il cavo dal jack telefonico o dal computer. Se non è possibile disconnettersi da Internet, digitare la riga seguente al prompt dei comandi per configurare RPCSS per non riavviare il computer quando il servizio non riesce: sc failure rpcss reset= 0 actions= restart.

      Per reimpostare l'impostazione di ripristino predefinita RPCSS dopo aver completato questi passaggi, digitare la riga seguente al prompt dei comandi: sc failure rpcss reset= 0 actions= reboot/60000.

    • Se si dispone di più computer che condividono una connessione Internet, usare un firewall solo nel computer connesso direttamente a Internet. Non usare un firewall negli altri computer che condividono la connessione Internet. Se si esegue Windows XP, utilizzare l'Installazione guidata rete per attivare ICF.

    • L'uso di un firewall non deve influire sul servizio di posta elettronica o sull'esplorazione Web, ma un firewall può disabilitare alcuni software, servizi o funzionalità Internet. Se si verifica questo comportamento, potrebbe essere necessario aprire alcune porte nel firewall per il funzionamento di alcune funzionalità Internet. Vedere la documentazione inclusa nel servizio Internet che non funziona per determinare quali porte è necessario aprire. Vedere la documentazione inclusa nel firewall per determinare come aprire queste porte.

    • In alcuni casi, è possibile usare la procedura seguente per attivare ICF per una connessione che non viene visualizzata nella cartella Connessioni di rete. Se questi passaggi non funzionano, contattare il provider di servizi Internet (ISP) per informazioni su come firewallre la connessione Internet.

      1. Avviare Internet Explorer.
      2. Scegliere Opzioni Internet dal menu Strumenti.
      3. Fare clic sulla scheda Connessioni , fare clic sulla connessione remota usata per connettersi a Internet e quindi su Impostazioni.
      4. Nell'area Impostazioni di connessione remota fare clic su Proprietà.
      5. Fare clic sulla scheda Avanzate e quindi fare clic per selezionare la casella di controllo Proteggi computer o rete limitando o impedendo l'accesso a questo computer da Internet .

    Per ulteriori informazioni su come attivare Internet Connection Firewall in Windows XP o In Windows Server 2003, fare clic sul numero di articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

    283673 Come attivare o disattivare il firewall in Windows XP

    Note

    ICF è disponibile solo in Windows XP, Windows Server 2003, edizione Standard e Windows Server 2003, edizione Enterprise. Il firewall di base è un componente di Routing e Accesso remoto che è possibile abilitare per qualsiasi interfaccia pubblica in un computer che esegue Routing e Accesso remoto ed è membro della famiglia Windows Server 2003.

  2. Scaricare la patch di sicurezza 824146 e quindi installarla in tutti i computer per risolvere la vulnerabilità identificata nei Bollettini sulla sicurezza Microsoft MS03-026 e MS03-039.

    Note

    Che la patch di sicurezza 824146 sostituisce la patch di sicurezza 823980. Microsoft consiglia di installare la patch di sicurezza 824146 che include anche correzioni per i problemi risolti nel bollettino microsoft sulla sicurezza MS03-026 (823980).

  3. Installare o aggiornare il software di firma antivirus e quindi eseguire un'analisi completa del sistema.

  4. Scaricare ed eseguire lo strumento di rimozione worm dal fornitore dell'antivirus.

Ripristino per Windows 2000 e Windows NT 4.0

La funzionalità Firewall connessione Internet non è disponibile in Windows 2000 o Windows NT 4.0. Se Microsoft Internet Security and Acceleration (ISA) Server 2000 o un firewall di terze parti non è disponibile per bloccare le porte TCP 135, 139, 445 e 593, le porte UDP 69 (TFTP), 135, 137 e 138 e la porta TCP 4444 per la shell dei comandi remoti, seguire questa procedura per bloccare le porte interessate per le connessioni LAN (Local Area Network). Il filtro TCP/IP non è disponibile per le connessioni remote. Se si usa una connessione remota per connettersi a Internet, è necessario abilitare un firewall.

  1. Configurare la sicurezza TCP/IP. A tale scopo, usare la procedura per il sistema operativo.

    Windows 2000

    1. In Pannello di controllo fare doppio clic su Connessioni di rete e connessione remota.

    2. Fare clic con il pulsante destro del mouse sull'interfaccia usata per accedere a Internet, quindi scegliere Proprietà.

    3. Nella casella Componenti selezionati per questa connessione fare clic su Protocollo Internet (TCP/IP) e quindi su Proprietà.

    4. Nella finestra di dialogo Proprietà protocollo Internet (TCP/IP) fare clic su Avanzate.

    5. Scegliere la scheda Options (Opzioni) .

    6. Fare clic su Filtro TCP/IP e quindi su Proprietà.

    7. Fare clic per selezionare la casella di controllo Abilita filtro TCP/IP (Tutte le schede).

    8. Esistono tre colonne con le etichette seguenti:

      • Porte TCP
      • Porte UDP
      • Protocolli IP

      In ogni colonna fare clic sull'opzione Consenti solo .

    9. Scegliere OK.

    Note

    • Se il computer si arresta o si riavvia ripetutamente quando si tenta di seguire questi passaggi, disconnettersi da Internet prima di attivare il firewall. Se ci si connette a Internet tramite una connessione a banda larga, individuare il cavo che viene eseguito dal modem DSL o cavo esterno, quindi scollegare il cavo dal modem o dal jack telefonico. Se si utilizza una connessione remota, individuare il cavo telefonico che viene eseguito dal modem all'interno del computer al jack telefonico, quindi scollegare il cavo dal jack telefonico o dal computer.
    • Se si dispone di più computer che condividono una connessione Internet, usare un firewall solo nel computer connesso direttamente a Internet. Non usare un firewall negli altri computer che condividono la connessione Internet.
    • L'uso di un firewall non deve influire sul servizio di posta elettronica o sull'esplorazione Web, ma un firewall può disabilitare alcuni software, servizi o funzionalità Internet. Se si verifica questo comportamento, potrebbe essere necessario aprire alcune porte nel firewall per il funzionamento di alcune funzionalità Internet. Vedere la documentazione inclusa nel servizio Internet che non funziona per determinare quali porte è necessario aprire. Vedere la documentazione inclusa nel firewall per determinare come aprire queste porte.
    • Questi passaggi si basano su un estratto modificato dell'articolo della Microsoft Knowledge Base 309798.

    Windows NT 4.0

    1. In Pannello di controllo fare doppio clic su Rete.
    2. Fare clic sulla scheda Protocollo , fare clic su Protocollo TCP/IP e quindi su Proprietà.
    3. Fare clic sulla scheda Indirizzo IP e quindi su Avanzate.
    4. Fare clic per selezionare la casella di controllo Abilita sicurezza e quindi fare clic su Configura.
    5. Nelle colonne Porte TCP, Porte UDP e Protocolli IP fare clic per selezionare l'impostazione Consenti solo.
    6. Fare clic su OK e quindi chiudere lo strumento Rete.

  2. Scaricare la patch di sicurezza 824146 e quindi installarla in tutti i computer per risolvere la vulnerabilità identificata nei Bollettini sulla sicurezza Microsoft MS03-026 e MS03-039.

    La patch di sicurezza 824146 sostituisce la patch di sicurezza 823980. Microsoft consiglia di installare la patch di sicurezza 824146 che include anche correzioni per i problemi risolti nel bollettino microsoft sulla sicurezza MS03-026 (823980).

  3. Installare o aggiornare il software di firma antivirus e quindi eseguire un'analisi completa del sistema.

  4. Scaricare ed eseguire lo strumento di rimozione worm dal fornitore dell'antivirus.

Per ulteriori dettagli tecnici sul worm Blaster dei fornitori di software antivirus che partecipano a Microsoft Virus Information Alliance (VIA), visitare uno dei seguenti siti Web di terze parti:

Note

Se non è necessario usare il filtro TCP, è possibile disabilitare il filtro TCP dopo aver applicato la correzione descritta in questo articolo e aver verificato che il worm sia stato rimosso correttamente.

Per altri dettagli tecnici sulle varianti note del worm Blaster, visitare i seguenti siti Web Symantec:

W32. Randex.E: Nstask32.exe, Winlogin.exe, Win32sockdrv.dll e Yyuetyutr.dll

Centro sicurezza Symantec.

Per ulteriori informazioni su Microsoft Virus Information Alliance, visitare il seguente sito Web Microsoft:

Microsoft Security Response Center.

Per ulteriori informazioni su come eseguire il ripristino da questo worm, contattare il fornitore dell'antivirus.

Microsoft fornisce informazioni di contatto di terze parti allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce la precisione delle informazioni di contatto di terzi.

Riferimenti

Per le informazioni più aggiornate di Microsoft su questo worm, visitare Intelligence di sicurezza Microsoft per risorse e strumenti per mantenere il PC sicuro e sano. Se si verificano problemi con l'installazione dell'aggiornamento stesso, visitare Supporto per Microsoft Update per risorse e strumenti per mantenere aggiornato il PC con gli aggiornamenti più recenti.