Delen via

Viruswaarschuwing over de Blaster-worm en de varianten

In dit artikel wordt een viruswaarschuwing over de Blaster-worm en de varianten ervan beschreven en bevat informatie over het voorkomen en herstellen van een infectie van de Blaster-worm en de varianten ervan.

Oorspronkelijk KB-nummer: 826955

Samenvatting

Op 11 augustus 2003 begon Microsoft met het onderzoeken van een worm die is gerapporteerd door Microsoft Product Support Services (PSS) en het Microsoft PSS-beveiligingsteam heeft een waarschuwing uitgegeven om klanten te informeren over de nieuwe worm. Een worm is een type computervirus dat zich over het algemeen verspreidt zonder gebruikersactie en die volledige kopieën (mogelijk gewijzigd) van zichzelf over netwerken (zoals internet) distribueert. Deze nieuwe worm wordt ook wel 'Blaster' genoemd, misbruikt het beveiligingsprobleem dat is aangepakt door Microsoft Security Bulletin MS03-026 (823980) om zich te verspreiden over netwerken met behulp van open RPC-poorten (Remote Procedure Call) op computers waarop een van de producten wordt uitgevoerd die aan het begin van dit artikel worden vermeld.

Dit artikel bevat informatie voor netwerkbeheerders en IT-professionals over het voorkomen en herstellen van een infectie van de Blaster-worm en de varianten ervan. De worm en de varianten worden ook wel W32 genoemd. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST. A (Trendmicro) en Win32.Posa.Worm (Computer Associates). Neem contact op met de leverancier van uw antivirussoftware voor meer informatie over het herstellen van deze worm.

Klik voor meer informatie over leveranciers van antivirussoftware op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

49500 Lijst met leveranciers van antivirussoftware

Als u een thuisgebruiker bent, gaat u naar de volgende Microsoft-website voor stappen om u te helpen uw computer te beschermen en om te herstellen als uw computer is geïnfecteerd met de Blaster-worm:

Wat is Microsoft Security Essentials?

Notitie

  • Uw computer is niet kwetsbaar voor de Blaster-worm als u de 823980-beveiligingspatch (MS03-026) vóór 11 augustus 2003 hebt geïnstalleerd (de datum waarop deze worm is gedetecteerd). U hoeft niets anders te doen als u de 823980-beveiligingspatch (MS03-026) vóór 11 augustus 2003 hebt geïnstalleerd.

  • Microsoft heeft Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP en Windows Server 2003 getest om te beoordelen of deze worden beïnvloed door de beveiligingsproblemen die worden aangepakt door Microsoft Security Bulletin MS03-026 (823980). Windows Millennium Edition bevat niet de functies die aan deze beveiligingsproblemen zijn gekoppeld. Eerdere versies worden niet meer ondersteund en worden mogelijk wel of niet beïnvloed door deze beveiligingsproblemen. Ga naar de volgende Microsoft-website voor meer informatie over de Microsoft Ondersteuning levenscyclus:

    Informatie over de levenscyclus van producten en services zoeken.

    De functies die aan deze beveiligingsproblemen zijn gekoppeld, zijn ook niet opgenomen in Windows 95, Windows 98 of Windows 98 Second Edition, zelfs niet als DCOM is geïnstalleerd. U hoeft niets te doen als u een van deze versies van Windows gebruikt.

  • Uw computer is niet kwetsbaar voor de Blaster-worm als u Windows XP Service Pack 2 of Updatepakket 1 voor Windows 2000 Service Pack 4 hebt geïnstalleerd. Beveiligingsupdate 824146 is opgenomen in deze servicepacks. U hoeft niets anders te doen als u deze servicepacks hebt geïnstalleerd. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:

    322389 Het meest recente Windows XP-servicepack verkrijgen.

Symptomen van infectie

Als uw computer is geïnfecteerd met deze worm, kan het zijn dat u geen symptomen ondervindt of als u een van de volgende symptomen ondervindt:

  • Mogelijk ontvangt u de volgende foutberichten:

    De RPC-service (Remote Procedure Call) is onverwacht beëindigd.
    Het systeem wordt afgesloten. Sla al het werk dat wordt uitgevoerd op en meld u af.
    Niet-opgeslagen wijzigingen gaan verloren.
    Deze afsluiting is gestart door NT AUTHORITY\SYSTEM.

  • De computer kan met willekeurige tussenpozen worden afgesloten of herhaaldelijk opnieuw worden opgestart.

  • Op een Windows XP-computer of op een Computer met Windows Server 2003 wordt mogelijk een dialoogvenster weergegeven waarmee u het probleem kunt rapporteren aan Microsoft.

  • Als u Windows 2000 of Windows NT gebruikt, krijgt u mogelijk het foutbericht Stop.

  • Mogelijk vindt u een bestand met de naam Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll of Yuetyutr.dll in de map Windows\System32.

  • Mogelijk vindt u ongebruikelijke TFTP*-bestanden op uw computer.

Technische details

Neem contact op met de leverancier van uw antivirussoftware voor technische informatie over de wijzigingen die deze worm aanbrengt op uw computer.

Als u dit virus wilt detecteren, zoekt u een bestand met de naam Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll of Yuetyutr.dll in de map Windows\System32 of downloadt u de meest recente handtekening voor antivirussoftware van uw antivirusleverancier en scant u de computer.

Ga als volgt te werk om naar deze bestanden te zoeken:

  1. Klik op Start, klik op Uitvoeren, typ cmd in het vak Openen en klik vervolgens op OK.

  2. Typ dir %systemroot%\system32\filename.ext /a /sbij de opdrachtprompt en druk op Enter, waarbij bestandsnaam.ext is Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll of Yuetyutr.dll.

    Notitie

    Herhaal stap 2 voor elk van deze bestandsnamen: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll en Yuetyutr.dll. Als u een van deze bestanden vindt, is uw computer mogelijk geïnfecteerd met de worm. Als u een van deze bestanden vindt, verwijdert u het bestand en volgt u de stappen in de sectie Herstel van dit artikel. Als u het bestand wilt verwijderen, typt del %systemroot%\system32\filename.ext /a u bij de opdrachtprompt en drukt u op Enter.

Preventie

Volg deze stappen om te voorkomen dat dit virus uw computer infecteert:

  1. Schakel de internetverbindingsfirewallfunctie (ICF) in Windows XP, Windows Server 2003, Standard Edition en in Windows Server 2003, Enterprise Edition in; of gebruik Basic Firewall, Microsoft Internet Security and Acceleration (ISA) Server 2000 of een firewall van derden om TCP-poorten 135, 139, 445 en 593 te blokkeren; UDP-poorten 69 (TFTP), 135, 137 en 138; en TCP-poort 4444 voor externe opdrachtshell.

    Voer de volgende stappen uit om het ICF in te schakelen in Windows XP of Windows Server 2003:

    1. Klik op Start en klik op Configuratiescherm.
    2. Dubbelklik in Configuratiescherm op Netwerken en internetverbinding en klik vervolgens op Netwerkverbindingen.
    3. Klik met de rechtermuisknop op de verbinding waar u firewall voor internetverbinding wilt inschakelen en klik vervolgens op Eigenschappen.
    4. Klik op het tabblad Geavanceerd en klik vervolgens om het selectievakje Mijn computer of netwerk beveiligen te selecteren door de toegang tot deze computer via internet te beperken of te voorkomen.

    Notitie

    Sommige inbelverbindingen worden mogelijk niet weergegeven in de mappen Netwerkverbinding. AOL- en MSN-inbelverbindingen worden bijvoorbeeld mogelijk niet weergegeven. In sommige gevallen kunt u de volgende stappen gebruiken om ICF in te schakelen voor een verbinding die niet wordt weergegeven in de map Netwerkverbinding. Als deze stappen niet werken, neemt u contact op met uw internetprovider (ISP) voor informatie over het firewallen van uw internetverbinding.

    1. Start Internet Explorer.
    2. Open het menu Extra en klik op Internet-opties.
    3. Klik op het tabblad Verbindingen , klik op de inbelverbinding die u gebruikt om verbinding te maken met internet en klik vervolgens op Instellingen.
    4. Klik in het gebied Instellingen voor inbellen op Eigenschappen.
    5. Klik op het tabblad Geavanceerd en klik vervolgens om het selectievakje Mijn computer of netwerk beveiligen te selecteren door de toegang tot deze computer via internet te beperken of te voorkomen.

    Klik voor meer informatie over het inschakelen van Firewall voor internetverbinding in Windows XP of windows Server 2003 op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

    283673 De firewall in- of uitschakelen in Windows XP

    Notitie

    ICF is alleen beschikbaar in Windows XP, Windows Server 2003, Standard Edition en Windows Server 2003, Enterprise Edition. Basic Firewall is een onderdeel van Routering en Externe toegang die u kunt inschakelen voor elke openbare interface op een computer waarop zowel Routering als Externe toegang wordt uitgevoerd en een lid van de Windows Server 2003-familie.

  2. Deze worm maakt gebruik van een eerder aangekondigd beveiligingsprobleem als onderdeel van de infectiemethode. Daarom moet u ervoor zorgen dat u de 823980-beveiligingspatch op al uw computers hebt geïnstalleerd om het beveiligingsprobleem te verhelpen dat is geïdentificeerd in Microsoft Security Bulletin MS03-026. De 824146 beveiligingspatch vervangt de 823980-beveiligingspatch. Microsoft raadt u aan de 824146 beveiligingspatch te installeren die ook oplossingen bevat voor de problemen die zijn opgelost in Microsoft Security Bulletin MS03-026 (823980).

  3. Gebruik de meest recente handtekening voor virusdetectie van uw antivirusleverancier om nieuwe virussen en hun varianten te detecteren.

Herstel

Aanbevolen procedures voor beveiliging stellen voor dat u een volledige 'schone' installatie uitvoert op een eerder aangetaste computer om onontdekte aanvallen te verwijderen die kunnen leiden tot een toekomstige inbreuk. Ga naar de volgende website voor certificaatadvies voor meer informatie:

Stappen voor het herstellen van een UNIX- of NT-systeemcompromitt.

Veel antivirusbedrijven hebben echter hulpprogramma's geschreven om de bekende exploit te verwijderen die is gekoppeld aan deze specifieke worm. Als u het verwijderingsprogramma van uw antivirusleverancier wilt downloaden, gebruikt u de volgende procedures, afhankelijk van uw besturingssysteem.

Herstel voor Windows XP, Windows Server 2003, Standard Edition en Windows Server 2003, Enterprise Edition

  1. Schakel de internetverbindingsfirewallfunctie (ICF) in Windows XP, Windows Server 2003, Standard Edition en Windows Server 2003, Enterprise Edition in; of gebruik Basic Firewall, Microsoft Internet Security and Acceleration (ISA) Server 2000 of een firewall van derden.

    Voer de volgende stappen uit om ICF in te schakelen:

    1. Klik op Start en klik op Configuratiescherm.
    2. Dubbelklik in Configuratiescherm op Netwerken en internetverbinding en klik vervolgens op Netwerkverbindingen.
    3. Klik met de rechtermuisknop op de verbinding waar u firewall voor internetverbinding wilt inschakelen en klik vervolgens op Eigenschappen.
    4. Klik op het tabblad Geavanceerd en klik vervolgens om het selectievakje Mijn computer of netwerk beveiligen te selecteren door de toegang tot deze computer via internet te beperken of te voorkomen.

    Notitie

    • Als uw computer herhaaldelijk wordt afgesloten of opnieuw wordt opgestart wanneer u deze stappen probeert uit te voeren, verbreekt u de verbinding met internet voordat u de firewall inschakelt. Als u via een breedbandverbinding verbinding maakt met internet, zoekt u de kabel die wordt uitgevoerd vanaf uw externe DSL- of kabelmodem en koppelt u die kabel vervolgens los van de modem of van de telefoonaansluiting. Als u een inbelverbinding gebruikt, zoekt u de telefoonkabel die van de modem in uw computer naar uw telefoonaansluiting loopt en koppelt u die kabel vervolgens los van de telefoonaansluiting of van uw computer. Als u de verbinding met internet niet kunt verbreken, typt u de volgende regel bij de opdrachtprompt om RPCSS te configureren om uw computer niet opnieuw op te starten wanneer de service mislukt: sc failure rpcss reset= 0 actions= restart

      Als u RPCSS opnieuw wilt instellen op de standaardherstelinstelling nadat u deze stappen hebt voltooid, typt u de volgende regel bij de opdrachtprompt: sc failure rpcss reset= 0 actions= reboot/60000.

    • Als u meerdere computers hebt die een internetverbinding delen, gebruikt u alleen een firewall op de computer die rechtstreeks is verbonden met internet. Gebruik geen firewall op de andere computers die de internetverbinding delen. Als u Windows XP gebruikt, gebruikt u de wizard Netwerkinstallatie om ICF in te schakelen.

    • Het gebruik van een firewall mag geen invloed hebben op uw e-mailservice of surfen, maar een firewall kan bepaalde internetsoftware, -services of -functies uitschakelen. Als dit gedrag zich voordoet, moet u mogelijk enkele poorten op uw firewall openen om bepaalde internetfuncties te laten werken. Raadpleeg de documentatie die is opgenomen in de internetservice die niet werkt om te bepalen welke poorten u moet openen. Raadpleeg de documentatie die is opgenomen in uw firewall om te bepalen hoe u deze poorten opent.

    • In sommige gevallen kunt u de volgende stappen gebruiken om ICF in te schakelen voor een verbinding die niet wordt weergegeven in de map Netwerkverbindingen. Als deze stappen niet werken, neemt u contact op met uw internetprovider (ISP) voor informatie over het firewallen van uw internetverbinding.

      1. Start Internet Explorer.
      2. Open het menu Extra en klik op Internet-opties.
      3. Klik op het tabblad Verbindingen , klik op de inbelverbinding die u gebruikt om verbinding te maken met internet en klik vervolgens op Instellingen.
      4. Klik in het gebied Instellingen voor inbellen op Eigenschappen.
      5. Klik op het tabblad Geavanceerd en klik vervolgens om het selectievakje Mijn computer of netwerk beveiligen te selecteren door de toegang tot deze computer via internet te beperken of te voorkomen.

    Klik voor meer informatie over het inschakelen van Firewall voor internetverbinding in Windows XP of windows Server 2003 op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

    283673 De firewall in- of uitschakelen in Windows XP

    Notitie

    ICF is alleen beschikbaar in Windows XP, Windows Server 2003, Standard Edition en Windows Server 2003, Enterprise Edition. Basic Firewall is een onderdeel van Routering en externe toegang die u kunt inschakelen voor elke openbare interface op een computer waarop Routering en externe toegang wordt uitgevoerd en die lid is van de Windows Server 2003-familie.

  2. Download de 824146 beveiligingspatch en installeer deze vervolgens op al uw computers om het beveiligingsprobleem op te lossen dat is geïdentificeerd in Microsoft-beveiligingsbulletins MS03-026 en MS03-039.

    Notitie

    Dat de 824146 beveiligingspatch de 823980-beveiligingspatch vervangt. Microsoft raadt u aan de 824146 beveiligingspatch te installeren die ook oplossingen bevat voor de problemen die zijn opgelost in Microsoft Security Bulletin MS03-026 (823980).

  3. Installeer of werk uw antivirushandtekeningsoftware bij en voer vervolgens een volledige systeemscan uit.

  4. Download en voer het hulpprogramma voor het verwijderen van wormen uit bij uw antivirusleverancier.

Herstel voor Windows 2000 en Windows NT 4.0

De functie Firewall voor internetverbinding is niet beschikbaar in Windows 2000 of Windows NT 4.0. Als Microsoft Internet Security and Acceleration (ISA) Server 2000 of een firewall van derden niet beschikbaar is om TCP-poorten 135, 139, 445 en 593, UDP-poorten 69 (TFTP), 135, 137 en 138 en TCP-poort 4444 voor externe opdrachtshell te blokkeren, volgt u deze stappen om de betrokken poorten voor LAN-verbindingen (Local Area Network) te blokkeren. TCP/IP-filtering is niet beschikbaar voor inbelverbindingen. Als u een inbelverbinding gebruikt om verbinding te maken met internet, moet u een firewall inschakelen.

  1. TCP/IP-beveiliging configureren. Gebruik hiervoor de procedure voor uw besturingssysteem.

    Windows 2000

    1. Dubbelklik in Configuratiescherm op Netwerk- en inbelverbindingen.

    2. Klik met de rechtermuisknop op de interface die u gebruikt voor toegang tot internet en klik vervolgens op Eigenschappen.

    3. In de ingeschakelde onderdelen worden door dit verbindingsvak gebruikt, klikt u op Internet Protocol (TCP/IP) en vervolgens op Eigenschappen.

    4. Klik in het dialoogvenster Eigenschappen van Internet Protocol (TCP/IP) op Geavanceerd.

    5. Klik op de opties tabblad.

    6. Klik op TCP/IP-filtering en klik vervolgens op Eigenschappen.

    7. Klik om het selectievakje TCP/IP-filtering inschakelen (alle adapters) in te schakelen.

    8. Er zijn drie kolommen met de volgende labels:

      • TCP-poorten
      • UDP-poorten
      • IP-protocollen

      Klik in elke kolom op de optie Alleen toestaan .

    9. Klik op OK.

    Notitie

    • Als uw computer herhaaldelijk wordt afgesloten of opnieuw wordt opgestart wanneer u deze stappen probeert uit te voeren, verbreekt u de verbinding met internet voordat u de firewall inschakelt. Als u via een breedbandverbinding verbinding maakt met internet, zoekt u de kabel die wordt uitgevoerd vanaf uw externe DSL- of kabelmodem en koppelt u die kabel vervolgens los van de modem of van de telefoonaansluiting. Als u een inbelverbinding gebruikt, zoekt u de telefoonkabel die van de modem in uw computer naar uw telefoonaansluiting loopt en koppelt u die kabel vervolgens los van de telefoonaansluiting of van uw computer.
    • Als u meerdere computers hebt die een internetverbinding delen, gebruikt u alleen een firewall op de computer die rechtstreeks is verbonden met internet. Gebruik geen firewall op de andere computers die de internetverbinding delen.
    • Het gebruik van een firewall mag geen invloed hebben op uw e-mailservice of surfen, maar een firewall kan bepaalde internetsoftware, -services of -functies uitschakelen. Als dit gedrag zich voordoet, moet u mogelijk enkele poorten op uw firewall openen om bepaalde internetfuncties te laten werken. Raadpleeg de documentatie die is opgenomen in de internetservice die niet werkt om te bepalen welke poorten u moet openen. Raadpleeg de documentatie die is opgenomen in uw firewall om te bepalen hoe u deze poorten opent.
    • Deze stappen zijn gebaseerd op een gewijzigd fragment uit het Microsoft Knowledge Base-artikel 309798.

    Windows NT 4.0

    1. Dubbelklik in Configuratiescherm op Netwerk.
    2. Klik op het tabblad Protocol , klik op TCP/IP Protocol en klik vervolgens op Eigenschappen.
    3. Klik op het tabblad IP-adres en klik vervolgens op Geavanceerd.
    4. Klik om het selectievakje Beveiliging inschakelen in te schakelen en klik vervolgens op Configureren.
    5. Klik in de kolommen TCP-poorten, UDP-poorten en IP-protocollen om de instelling Alleen toestaan te selecteren.
    6. Klik op OK en sluit het hulpprogramma Netwerk.

  2. Download de 824146 beveiligingspatch en installeer deze vervolgens op al uw computers om het beveiligingsprobleem op te lossen dat is geïdentificeerd in Microsoft-beveiligingsbulletins MS03-026 en MS03-039.

    De 824146 beveiligingspatch vervangt de 823980-beveiligingspatch. Microsoft raadt u aan de 824146 beveiligingspatch te installeren die ook oplossingen bevat voor de problemen die zijn opgelost in Microsoft Security Bulletin MS03-026 (823980).

  3. Installeer of werk uw antivirushandtekeningsoftware bij en voer vervolgens een volledige systeemscan uit.

  4. Download en voer het hulpprogramma voor het verwijderen van wormen uit bij uw antivirusleverancier.

Voor aanvullende technische informatie over de Blaster-worm van leveranciers van antivirussoftware die deelnemen aan de Microsoft Virus Information Alliance (VIA), gaat u naar een van de volgende websites van derden:

Notitie

Als u TCP-filtering niet hoeft te gebruiken, kunt u TCP-filtering uitschakelen nadat u de oplossing hebt toegepast die in dit artikel wordt beschreven en u hebt gecontroleerd of u de worm hebt verwijderd.

Ga naar de volgende Symantec-websites voor aanvullende technische informatie over bekende varianten van de Blaster-worm:

W32. Randex.E: Nstask32.exe, Winlogin.exe, Win32sockdrv.dll en Yyuetyutr.dll

Symantec Security Center.

Ga naar de volgende Website van Microsoft voor meer informatie over de Microsoft Virus Information Alliance:

Microsoft Security Response Center.

Neem contact op met uw antivirusleverancier voor meer informatie over het herstellen van deze worm.

Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Microsoft kan niet instaan voor de juistheid van deze contactinformatie.

Verwijzingen

Voor de meest recente informatie van Microsoft over deze worm gaat u naar Microsoft-beveiligingsinformatie voor resources en hulpprogramma's om uw pc veilig en gezond te houden. Als u problemen ondervindt met het installeren van de update zelf, gaat u naar Ondersteuning voor Microsoft Update voor resources en hulpprogramma's om uw pc bijgewerkt te houden met de nieuwste updates.