Compartilhar via

Alerta de vírus sobre o worm Blaster e suas variantes

Este artigo descreve o alerta de vírus sobre o worm Blaster e suas variantes e contém informações sobre como prevenir e se recuperar de uma infecção pelo worm Blaster e suas variantes.

Número original do KB: 826955

Resumo

Em 11 de agosto de 2003, a Microsoft começou a investigar um worm relatado pelo PSS (Atendimento ao Cliente) da Microsoft, e a equipe de segurança do PSS da Microsoft emitiu um alerta para informar os clientes sobre o novo worm. Um worm é um tipo de vírus de computador que geralmente se espalha sem a ação do usuário e que distribui cópias completas (possivelmente modificadas) de si mesmo através de redes (como a Internet). Conhecido como "Blaster", esse novo worm explora a vulnerabilidade que foi abordada pelo Boletim de Segurança da Microsoft MS03-026 (823980) para se espalhar pelas redes usando portas RPC (Chamada de Procedimento Remoto) abertas em computadores que executam qualquer um dos produtos listados no início deste artigo.

Este artigo contém informações para administradores de rede e profissionais de TI sobre como prevenir e se recuperar de uma infecção pelo worm Blaster e suas variantes. O worm e suas variantes também são conhecidos como W32. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST. A (Trendmicro) e Win32.Posa.Worm (Computer Associates). Para obter informações adicionais sobre como se recuperar desse worm, entre em contato com o fornecedor do software antivírus.

Para obter informações adicionais sobre fornecedores de software antivírus, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

49500 Lista de fornecedores de software antivírus

Se você for um usuário doméstico, visite o seguinte site da Microsoft para obter as etapas para ajudá-lo a proteger seu computador e recuperar se o computador foi infectado pelo worm Blaster:

O que é o Microsoft Security Essentials?

Observação

  • Seu computador não estará vulnerável ao worm Blaster se você instalou o patch de segurança 823980 (MS03-026) antes de 11 de agosto de 2003 (a data em que esse worm foi descoberto). Você não precisa fazer mais nada se tiver instalado o patch de segurança 823980 (MS03-026) antes de 11 de agosto de 2003.

  • A Microsoft testou o Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP e Windows Server 2003 para avaliar se eles são afetados pelas vulnerabilidades abordadas pelo Boletim de Segurança da Microsoft MS03-026 (823980). O Windows Millennium Edition não inclui os recursos associados a essas vulnerabilidades. As versões anteriores não são mais suportadas e podem ou não ser afetadas por essas vulnerabilidades. Para obter informações adicionais sobre o Ciclo de Vida do Suporte da Microsoft, visite o seguinte site da Microsoft:

    Pesquise informações sobre o ciclo de vida de produtos e serviços.

    Os recursos associados a essas vulnerabilidades também não estão incluídos no Windows 95, Windows 98 ou Windows 98 Second Edition, mesmo que o DCOM esteja instalado. Você não precisa fazer nada se estiver usando qualquer uma dessas versões do Windows.

  • Seu computador não estará vulnerável ao worm Blaster se você instalou o Windows XP Service Pack 2 ou o Update Rollup 1 para o Windows 2000 Service Pack 4. A atualização de segurança 824146 está incluída nesses service packs. Você não precisa fazer mais nada se tiver instalado esses service packs. Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento Microsoft:

    322389 Como obter o service pack mais recente do Windows XP.

Sintomas de infecção

Se o seu computador estiver infectado com esse worm, talvez você não tenha nenhum sintoma ou um dos seguintes sintomas:

  • Você pode receber as seguintes mensagens de erro:

    O serviço RPC (Chamada de Procedimento Remoto) foi encerrado inesperadamente.
    O sistema está desligando. Salve todo o trabalho em andamento e faça logoff.
    Todas as alterações não salvas serão perdidas.
    Este desligamento foi iniciado pela NT AUTHORITY\SYSTEM.

  • O computador pode desligar ou reiniciar repetidamente em intervalos aleatórios.

  • Em um computador baseado no Windows XP ou no Windows Server 2003, pode ser exibida uma caixa de diálogo que oferece a opção de relatar o problema à Microsoft.

  • Se você estiver usando o Windows 2000 ou o Windows NT, poderá receber uma mensagem de erro de parada.

  • Você pode encontrar um arquivo chamado Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll na pasta Windows\System32.

  • Você pode encontrar arquivos TFTP* incomuns em seu computador.

Detalhes técnicos

Para obter detalhes técnicos sobre as alterações que esse worm faz no computador, entre em contato com o fornecedor do software antivírus.

Para detectar esse vírus, procure um arquivo chamado Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll na pasta Windows\System32 ou baixe a assinatura de software antivírus mais recente do fornecedor do antivírus e verifique o computador.

Para pesquisar esses arquivos:

  1. Clique em Iniciar, clique em Executar, digite cmd na caixa Abrir e clique em OK.

  2. No prompt de comando, digite dir %systemroot%\system32\filename.ext /a /se pressione ENTER, em que filename.ext é Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll.

    Observação

    Repita a etapa 2 para cada um destes nomes de arquivo: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll e Yuetyutr.dll. Se você encontrar algum desses arquivos, seu computador pode estar infectado com o worm. Se você encontrar um desses arquivos, exclua-o e siga as etapas na seção "Recuperação" deste artigo. Para excluir o arquivo, digite del %systemroot%\system32\filename.ext /a no prompt de comando e pressione ENTER.

Prevenção

Para evitar que esse vírus infecte seu computador, siga estas etapas:

  1. Ative o recurso ICF (Firewall de Conexão com a Internet) no Windows XP, Windows Server 2003, Standard Edition e no Windows Server 2003, Enterprise Edition; ou usar o Basic Firewall, o Microsoft Internet Security and Acceleration (ISA) Server 2000 ou um firewall de terceiros para bloquear as portas TCP 135, 139, 445 e 593; Portas UDP 69 (TFTP), 135, 137 e 138; e porta TCP 4444 para shell de comando remoto.

    Para ativar o ICF no Windows XP ou Windows Server 2003, siga estas etapas:

    1. Clique em Iniciar e em Painel de Controle.
    2. No Painel de Controle, clique duas vezes em Conexões de Rede e Internet e clique em Conexões de Rede.
    3. Clique com o botão direito do mouse na conexão em que deseja ativar o Firewall de Conexão com a Internet e clique em Propriedades.
    4. Clique na guia Avançado e, em seguida, clique para marcar a caixa de seleção Proteger meu computador ou rede limitando ou impedindo o acesso a este computador pela Internet .

    Observação

    Algumas conexões dial-up podem não aparecer nas pastas Conexão de Rede. Por exemplo, as conexões dial-up AOL e MSN podem não aparecer. Em alguns casos, você pode usar as etapas a seguir para ativar o ICF para uma conexão que não aparece na pasta Conexão de Rede. Se essas etapas não funcionarem, entre em contato com seu provedor de serviços de Internet (ISP) para obter informações sobre como proteger sua conexão com a Internet.

    1. Inicie o Internet Explorer.
    2. No menu Ferramentas, clique em Opções da Internet.
    3. Clique na guia Conexões , clique na conexão dial-up que você usa para se conectar à Internet e clique em Configurações.
    4. Na área Configurações de discagem, clique em Propriedades.
    5. Clique na guia Avançado e, em seguida, clique para marcar a caixa de seleção Proteger meu computador ou rede limitando ou impedindo o acesso a este computador pela Internet .

    Para obter mais informações sobre como ativar o Firewall de Conexão com a Internet no Windows XP ou no Windows Server 2003, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

    283673 Como ativar ou desativar o firewall no Windows XP

    Observação

    O ICF só está disponível no Windows XP, Windows Server 2003, Standard Edition e Windows Server 2003, Enterprise Edition. O Firewall Básico é um componente do Roteamento e Acesso Remoto que você pode habilitar para qualquer interface pública em um computador que esteja executando o Roteamento e Acesso Remoto e seja membro da família Windows Server 2003.

  2. Esse worm usa uma vulnerabilidade anunciada anteriormente como parte de seu método de infecção. Por isso, você deve certificar-se de ter instalado o patch de segurança 823980 em todos os seus computadores para resolver a vulnerabilidade identificada no Boletim de Segurança da Microsoft MS03-026. O patch de segurança 824146 substitui o patch de segurança 823980. A Microsoft recomenda que você instale o patch de segurança 824146 que também inclui correções para os problemas abordados no Boletim de Segurança da Microsoft MS03-026 (823980).

  3. Use a assinatura de detecção de vírus mais recente do seu fornecedor de antivírus para detectar novos vírus e suas variantes.

Recuperação

As práticas recomendadas de segurança sugerem que você execute uma instalação "limpa" completa em um computador comprometido anteriormente para remover quaisquer explorações não descobertas que possam levar a um comprometimento futuro. Para obter informações adicionais, visite o seguinte site da Cert Advisory:

Etapas para recuperação de um comprometimento do sistema UNIX ou NT.

No entanto, muitas empresas de antivírus escreveram ferramentas para remover o exploit conhecido associado a esse worm específico. Para baixar a ferramenta de remoção do seu fornecedor de antivírus, use os procedimentos a seguir, dependendo do seu sistema operacional.

Recuperação para Windows XP, Windows Server 2003, Standard Edition e Windows Server 2003, Enterprise Edition

  1. Ative o recurso ICF (Firewall de Conexão com a Internet) no Windows XP, Windows Server 2003, Standard Edition e Windows Server 2003, Enterprise Edition; ou usar o Firewall Básico, o Microsoft Internet Security and Acceleration (ISA) Server 2000 ou um firewall de terceiros.

    Para ativar o ICF, siga estas etapas:

    1. Clique em Iniciar e em Painel de Controle.
    2. No Painel de Controle, clique duas vezes em Conexões de Rede e Internet e clique em Conexões de Rede.
    3. Clique com o botão direito do mouse na conexão em que deseja ativar o Firewall de Conexão com a Internet e clique em Propriedades.
    4. Clique na guia Avançado e, em seguida, clique para marcar a caixa de seleção Proteger meu computador ou rede limitando ou impedindo o acesso a este computador pela Internet .

    Observação

    • Se o computador desligar ou reiniciar repetidamente quando você tentar seguir estas etapas, desconecte-se da Internet antes de ativar o firewall. Se você se conectar à Internet por meio de uma conexão de banda larga, localize o cabo que sai do modem a cabo ou DSL externo e desconecte-o do modem ou da tomada telefônica. Se você usar uma conexão dial-up, localize o cabo telefônico que vai do modem dentro do computador até a tomada telefônica e desconecte esse cabo da tomada telefônica ou do computador. Se você não conseguir se desconectar da Internet, digite a seguinte linha no prompt de comando para configurar o RPCSS para não reiniciar o computador quando o serviço falhar: sc failure rpcss reset= 0 actions= restart.

      Para redefinir o RPCSS para a configuração de recuperação padrão depois de concluir essas etapas, digite a seguinte linha no prompt de comando: sc failure rpcss reset= 0 actions= reboot/60000.

    • Se você tiver mais de um computador compartilhando uma conexão com a Internet, use um firewall somente no computador que está conectado diretamente à Internet. Não use um firewall nos outros computadores que compartilham a conexão com a Internet. Se você estiver executando o Windows XP, use o Assistente de Configuração de Rede para ativar o ICF.

    • O uso de um firewall não deve afetar seu serviço de email ou navegação na Web, mas um firewall pode desabilitar alguns softwares, serviços ou recursos da Internet. Se esse comportamento ocorrer, talvez seja necessário abrir algumas portas no firewall para que algum recurso da Internet funcione. Consulte a documentação incluída no serviço de Internet que não está funcionando para determinar quais portas você deve abrir. Consulte a documentação incluída no firewall para determinar como abrir essas portas.

    • Em alguns casos, você pode usar as etapas a seguir para ativar o ICF para uma conexão que não aparece na pasta Conexões de Rede. Se essas etapas não funcionarem, entre em contato com seu provedor de serviços de Internet (ISP) para obter informações sobre como proteger sua conexão com a Internet.

      1. Inicie o Internet Explorer.
      2. No menu Ferramentas, clique em Opções da Internet.
      3. Clique na guia Conexões , clique na conexão dial-up que você usa para se conectar à Internet e clique em Configurações.
      4. Na área Configurações de discagem, clique em Propriedades.
      5. Clique na guia Avançado e, em seguida, clique para marcar a caixa de seleção Proteger meu computador ou rede limitando ou impedindo o acesso a este computador pela Internet .

    Para obter mais informações sobre como ativar o Firewall de Conexão com a Internet no Windows XP ou no Windows Server 2003, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

    283673 Como ativar ou desativar o firewall no Windows XP

    Observação

    O ICF só está disponível no Windows XP, Windows Server 2003, Standard Edition e Windows Server 2003, Enterprise Edition. O Firewall Básico é um componente do Roteamento e Acesso Remoto que você pode habilitar para qualquer interface pública em um computador que esteja executando o Roteamento e Acesso Remoto e seja membro da família Windows Server 2003.

  2. Baixe o patch de segurança 824146 e instale-o em todos os seus computadores para resolver a vulnerabilidade identificada nos Boletins de Segurança da Microsoft MS03-026 e MS03-039.

    Observação

    Que o patch de segurança 824146 substitui o patch de segurança 823980. A Microsoft recomenda que você instale o patch de segurança 824146 que também inclui correções para os problemas abordados no Boletim de Segurança da Microsoft MS03-026 (823980).

  3. Instale ou atualize o software de assinatura do antivírus e execute uma verificação completa do sistema.

  4. Baixe e execute a ferramenta de remoção de worms do seu fornecedor de antivírus.

Recuperação para Windows 2000 e Windows NT 4.0

O recurso Firewall de Conexão com a Internet não está disponível no Windows 2000 ou no Windows NT 4.0. Se o Microsoft Internet Security and Acceleration (ISA) Server 2000 ou um firewall de terceiros não estiver disponível para bloquear as portas TCP 135, 139, 445 e 593, as portas UDP 69 (TFTP), 135, 137 e 138 e a porta TCP 4444 para o shell de comando remoto, siga estas etapas para ajudar a bloquear as portas afetadas para conexões de rede local (LAN). A filtragem TCP/IP não está disponível para conexões dial-up. Se você estiver usando uma conexão dial-up para se conectar à Internet, deverá habilitar um firewall.

  1. Configure a segurança TCP/IP. Para fazer isso, use o procedimento para o seu sistema operacional.

    Windows 2000

    1. No Painel de Controle, clique duas vezes em Conexões de Rede e Discadas.

    2. Clique com o botão direito do mouse na interface que você usa para acessar a Internet e clique em Propriedades.

    3. Na caixa Componentes marcados como usados por esta conexão, clique em Protocolo de Internet (TCP/IP) e clique em Propriedades.

    4. Na caixa de diálogo Propriedades do Protocolo TCP/IP, clique em Avançado.

    5. Clique na guia Opções .

    6. Clique em Filtragem TCP/IP e, em seguida, clique em Propriedades.

    7. Clique para marcar a caixa de seleção Ativar filtragem TCP/IP (todos os adaptadores).

    8. Há três colunas com os seguintes rótulos:

      • Portas TCP
      • Portas UDP
      • Protocolos IP

      Em cada coluna, clique na opção Somente permissão .

    9. Clique em OK.

    Observação

    • Se o computador desligar ou reiniciar repetidamente quando você tentar seguir estas etapas, desconecte-se da Internet antes de ativar o firewall. Se você se conectar à Internet por meio de uma conexão de banda larga, localize o cabo que sai do modem a cabo ou DSL externo e desconecte-o do modem ou da tomada telefônica. Se você usar uma conexão dial-up, localize o cabo telefônico que vai do modem dentro do computador até a tomada telefônica e desconecte esse cabo da tomada telefônica ou do computador.
    • Se você tiver mais de um computador compartilhando uma conexão com a Internet, use um firewall somente no computador que está conectado diretamente à Internet. Não use um firewall nos outros computadores que compartilham a conexão com a Internet.
    • O uso de um firewall não deve afetar seu serviço de email ou navegação na Web, mas um firewall pode desabilitar alguns softwares, serviços ou recursos da Internet. Se esse comportamento ocorrer, talvez seja necessário abrir algumas portas no firewall para que algum recurso da Internet funcione. Consulte a documentação incluída no serviço de Internet que não está funcionando para determinar quais portas você deve abrir. Consulte a documentação incluída no firewall para determinar como abrir essas portas.
    • Essas etapas são baseadas em um trecho modificado do artigo da Base de Dados de Conhecimento Microsoft 309798.

    Windows NT 4.0

    1. No Painel de Controle, clique duas vezes em Rede.
    2. Clique na guia Protocolo , clique em Protocolo TCP/IP e clique em Propriedades.
    3. Clique na guia Endereço IP e, em seguida, clique em Avançado.
    4. Clique para marcar a caixa de seleção Habilitar Segurança e clique em Configurar.
    5. Nas colunas Portas TCP, Portas UDP e Protocolos IP, clique para selecionar a configuração Somente permissão.
    6. Clique em OK e feche a ferramenta Rede.

  2. Baixe o patch de segurança 824146 e instale-o em todos os seus computadores para resolver a vulnerabilidade identificada nos Boletins de Segurança da Microsoft MS03-026 e MS03-039.

    O patch de segurança 824146 substitui o patch de segurança 823980. A Microsoft recomenda que você instale o patch de segurança 824146 que também inclui correções para os problemas abordados no Boletim de Segurança da Microsoft MS03-026 (823980).

  3. Instale ou atualize o software de assinatura do antivírus e execute uma verificação completa do sistema.

  4. Baixe e execute a ferramenta de remoção de worms do seu fornecedor de antivírus.

Para obter detalhes técnicos adicionais sobre o worm Blaster de fornecedores de software antivírus que participam da VIA (Microsoft Virus Information Alliance), visite qualquer um dos seguintes sites de terceiros:

Observação

Se você não precisar usar a filtragem TCP, talvez queira desabilitar a filtragem TCP depois de aplicar a correção descrita neste artigo e verificar se removeu o worm com êxito.

Para obter detalhes técnicos adicionais sobre as variantes conhecidas do worm Blaster, visite os seguintes sites da Symantec:

W32. Randex.E: Nstask32.exe, Winlogin.exe, Win32sockdrv.dll e Yyuetyutr.dll

Centro de segurança da Symantec.

Para obter mais informações sobre a Microsoft Virus Information Alliance, visite o seguinte site da Microsoft:

Microsoft Security Response Center.

Para obter informações adicionais sobre como se recuperar desse worm, entre em contato com o fornecedor do antivírus.

A Microsoft fornece informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações de contato de terceiros.

Referências

Para obter as informações mais recentes da Microsoft sobre esse worm, visite o Microsoft Security Intelligence para obter recursos e ferramentas para manter seu computador seguro e íntegro. Se você estiver tendo problemas com a instalação da atualização em si, visite Suporte para Microsoft Update para obter recursos e ferramentas para manter seu computador atualizado com as atualizações mais recentes.