Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается оповещение о вирусе о черве Blaster и его вариантах и содержит сведения о том, как предотвратить и восстановить инфекцию от червя Blaster и его вариантов.
Исходный номер базы знаний: 826955
Итоги
11 августа 2003 года корпорация Майкрософт начала расследование червя, сообщаемого службами поддержки продуктов Майкрософт (PSS), и группа безопасности Microsoft PSS выпустила предупреждение для информирования клиентов о новом черве. Червь — это тип вируса компьютера, который обычно распространяется без действия пользователя и распределяет полные копии (возможно, измененные) между сетями (например, Интернет). Известный как Blaster, этот новый червь использует уязвимость, которая была устранена бюллетенем майкрософт по безопасности MS03-026 (823980) для распространения по сетям с помощью открытых портов удаленного вызова процедур (RPC) на компьютерах, работающих под управлением любого из продуктов, перечисленных в начале этой статьи.
В этой статье содержатся сведения для администраторов сети и ИТ-специалистов о том, как предотвратить и как восстановиться от инфекции от червя Blaster и его вариантов. Червь и его варианты также называются W32. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST. A (Trendmicro) и Win32.Posa.Worm (Компаньон компьютеров). Дополнительные сведения о восстановлении от этого червя обратитесь к поставщику антивирусного программного обеспечения.
Дополнительные сведения о поставщиках антивирусного программного обеспечения щелкните следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
Список поставщиков антивирусного программного обеспечения 49500
Если вы являетесь домашним пользователем, посетите следующий веб-сайт Майкрософт, чтобы помочь защитить компьютер и восстановить, если компьютер был заражен червем Blaster:
Что такое Microsoft Security Essentials?
Примечание.
Компьютер не уязвим для червя Blaster, если вы установили исправление безопасности 823980 (MS03-026) до 11 августа 2003 г. (дата обнаружения этого червя). Если вы установили исправление безопасности 823980 (MS03-026) до 11 августа 2003 г., вам не придется ничего делать.
Корпорация Майкрософт проверила Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP и Windows Server 2003, чтобы оценить, влияют ли они на уязвимости, которые рассматриваются бюллетенем безопасности Майкрософт MS03-026 (823980). Windows Millennium Edition не включает функции, связанные с этими уязвимостями. Предыдущие версии больше не поддерживаются, и они могут или не затронуты этими уязвимостями. Дополнительные сведения о жизненном цикле служба поддержки Майкрософт см. на следующем веб-сайте Майкрософт:
Поиск сведений о жизненном цикле продуктов и служб.
Функции, связанные с этими уязвимостями, также не входят в состав Windows 95, Windows 98 или Windows 98 Second Edition, даже если DCOM установлен. Если вы используете любую из этих версий Windows, вам не нужно ничего делать.
Компьютер не уязвим для червя Blaster, если установлен пакет обновления 2 (SP2) Windows XP или накопительный пакет обновления 1 для Windows 2000 с пакетом обновления 4 (SP4). Обновление системы безопасности 824146 включается в эти пакеты обновления. Если вы установили эти пакеты обновления, вам не придется ничего делать. Для получения дополнительной информации щелкните приведенный ниже номер статьи базы знаний Майкрософт:
Симптомы инфекции
Если компьютер заражен этим червем, вы можете не испытывать никаких симптомов, или вы можете столкнуться с любым из следующих симптомов:
Вы можете получить следующие сообщения об ошибках:
Служба удаленного вызова процедур (RPC) неожиданно завершается.
Система завершает работу. Сохраните все трудоемкие работы и выключите его.
Все несохраненные изменения будут потеряны.
Это завершение было инициировано NT AUTHORITY\SYSTEM.Компьютер может завершить работу или повторно перезапустить его через случайные интервалы.
На компьютере с Windows XP или на компьютере под управлением Windows Server 2003 может появиться диалоговое окно, позволяющее сообщить о проблеме в корпорацию Майкрософт.
Если вы используете Windows 2000 или Windows NT, может появиться сообщение об ошибке "Остановить".
Файл с именем Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll в папке Windows\System32.
На компьютере могут находиться необычные файлы TFTP*.
Технические сведения
Для получения технических сведений об изменениях, внесенных этим червем на компьютер, обратитесь к поставщику антивирусного программного обеспечения.
Чтобы обнаружить этот вирус, найдите файл с именем Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll в папке Windows\System32 или скачайте последнюю сигнатуру антивирусного программного обеспечения от поставщика антивирусной программы, а затем проверьте компьютер.
Чтобы найти эти файлы, выполните следующие действия.
Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите cmd в поле "Открыть" и нажмите кнопку "ОК".
В командной строке введите
dir %systemroot%\system32\filename.ext /a /s
и нажмите клавишу ВВОД, где filename.ext Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll.Примечание.
Повторите шаг 2 для каждого из этих имен файлов: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll и Yuetyutr.dll. Если вы нашли любой из этих файлов, компьютер может быть заражен червем. Если вы найдете один из этих файлов, удалите файл и выполните действия, описанные в разделе "Восстановление" этой статьи. Чтобы удалить файл, введите
del %systemroot%\system32\filename.ext /a
в командной строке и нажмите клавишу ВВОД.
Предотвращение
Чтобы предотвратить заражение этого вируса компьютером, выполните следующие действия.
Включите функцию брандмауэра подключения к Интернету (ICF) в Windows XP, Windows Server 2003, выпуск Standard и в Windows Server 2003, выпуск Enterprise; или используйте базовый брандмауэр, Microsoft Internet Security and Ускорение (ISA) Server 2000 или сторонний брандмауэр для блокировки TCP-портов 135, 139, 445 и 593; Порты UDP 69 (TFTP), 135, 137 и 138; и TCP-порт 4444 для удаленной командной оболочки.
Чтобы включить ICF в Windows XP или Windows Server 2003, выполните следующие действия:
- Нажмите кнопку Пуск и выберите Панель управления.
- В панель управления дважды щелкните "Сеть" и "Подключения к Интернету" и выберите пункт "Сетевые подключения".
- Щелкните правой кнопкой мыши подключение, в котором вы хотите включить брандмауэр подключения к Интернету, а затем выберите пункт "Свойства".
- Перейдите на вкладку "Дополнительно ", а затем нажмите кнопку "Защитить мой компьютер" или "Сеть", ограничив или запретив доступ к этому компьютеру из Интернета .
Примечание.
Некоторые подключения к телефону могут не отображаться в папках сетевого подключения. Например, подключения AOL и MSN к телефону могут не отображаться. В некоторых случаях можно включить ICF для подключения, которое не отображается в папке "Сетевое подключение". Если эти действия не работают, обратитесь к поставщику услуг Интернета (ISP) для получения сведений о брандмауэре подключения к Интернету.
- Запустите Internet Explorer.
- В меню Сервис выберите пункт Свойства обозревателя.
- Перейдите на вкладку "Подключения" , выберите подключение для подключения к Интернету, а затем нажмите кнопку "Параметры".
- В области параметров телефонного подключения нажмите кнопку "Свойства".
- Перейдите на вкладку "Дополнительно ", а затем нажмите кнопку "Защитить мой компьютер" или "Сеть", ограничив или запретив доступ к этому компьютеру из Интернета .
Дополнительные сведения о включении брандмауэра подключения к Интернету в Windows XP или Windows Server 2003 см. в следующей статье, чтобы просмотреть статью в базе знаний Майкрософт:
283673 Включение или отключение брандмауэра в Windows XP
Примечание.
ICF доступен только в Windows XP, Windows Server 2003, выпуск Standard и Windows Server 2003, выпуск Enterprise. Базовый брандмауэр — это компонент маршрутизации и удаленного доступа, который можно включить для любого общедоступного интерфейса на компьютере под управлением маршрутизации и удаленного доступа и члена семейства Windows Server 2003.
Этот червь использует ранее объявленную уязвимость в рамках своего метода инфекции. Из-за этого необходимо установить исправление безопасности 823980 на всех компьютерах, чтобы устранить уязвимость, обнаруженную в бюллетене майкрософт по безопасности MS03-026. Исправление безопасности 824146 заменяет исправление безопасности 823980. Корпорация Майкрософт рекомендует установить исправление системы безопасности 824146, которое также включает исправления проблем, которые устранены в бюллетене майкрософт по безопасности MS03-026 (823980).
Используйте последнюю подпись обнаружения вирусов от поставщика антивирусной программы, чтобы обнаружить новые вирусы и их варианты.
Восстановление
Рекомендации по обеспечению безопасности позволяют выполнить полную "чистую" установку на ранее скомпрометированном компьютере, чтобы удалить все необнаружаемые эксплойты, которые могут привести к будущему компромиссу. Дополнительные сведения см. на следующем веб-сайте Cert Advisory:
Шаги по восстановлению из компрометации системы UNIX или NT.
Однако многие антивирусные компании создали средства для удаления известного эксплойта, связанного с этим конкретным червем. Чтобы скачать средство удаления от поставщика антивирусной программы, используйте следующие процедуры в зависимости от операционной системы.
Восстановление для Windows XP, Windows Server 2003, выпуск Standard и Windows Server 2003 выпуск Enterprise
Включите функцию брандмауэра подключения к Интернету (ICF) в Windows XP, Windows Server 2003, выпуск Standard и Windows Server 2003, выпуск Enterprise; или используйте базовый брандмауэр, Microsoft Internet Security and Acceleration (ISA) Server 2000 или сторонний брандмауэр.
Чтобы включить ICF, выполните следующие действия.
- Нажмите кнопку Пуск и выберите Панель управления.
- В панель управления дважды щелкните "Сеть" и "Подключения к Интернету" и выберите пункт "Сетевые подключения".
- Щелкните правой кнопкой мыши подключение, в котором вы хотите включить брандмауэр подключения к Интернету, а затем выберите пункт "Свойства".
- Перейдите на вкладку "Дополнительно ", а затем нажмите кнопку "Защитить мой компьютер" или "Сеть", ограничив или запретив доступ к этому компьютеру из Интернета .
Примечание.
Если компьютер завершает работу или перезапускается повторно при попытке выполнить эти действия, отключитесь от Интернета, прежде чем включить брандмауэр. Если вы подключаетесь к Интернету через широкополосное подключение, найдите кабель, который работает с внешнего DSL или кабельного модема, а затем отключите этот кабель либо из модема, либо из телефонного разъема. Если вы используете телефонное подключение, найдите телефонный кабель, который работает с модема внутри компьютера на телефонный разъем, а затем отключите этот кабель либо из телефонного разъема, либо с компьютера. Если вы не можете отключиться от Интернета, введите следующую строку в командной строке, чтобы настроить RPCSS, чтобы не перезагрузить компьютер при сбое службы:
sc failure rpcss reset= 0 actions= restart
Чтобы сбросить параметр восстановления RPCSS до параметра восстановления по умолчанию после выполнения этих действий, введите следующую строку в командной строке:
sc failure rpcss reset= 0 actions= reboot/60000
Если у вас несколько компьютеров с общим доступом к Интернету, используйте брандмауэр только на компьютере, который напрямую подключен к Интернету. Не используйте брандмауэр на других компьютерах, которые совместно используют подключение к Интернету. Если вы используете Windows XP, используйте мастер настройки сети для включения ICF.
Использование брандмауэра не должно влиять на вашу службу электронной почты или веб-просмотр, но брандмауэр может отключить некоторые интернет-программы, службы или функции. Если такое поведение происходит, может потребоваться открыть некоторые порты в брандмауэре, чтобы некоторые функции Интернета работали. Ознакомьтесь с документацией, которая включена в интернет-службу, которая не работает, чтобы определить, какие порты необходимо открыть. Ознакомьтесь с документацией, включенной в брандмауэр, чтобы определить, как открыть эти порты.
В некоторых случаях можно включить ICF для подключения, которое не отображается в папке "Сетевые подключения". Если эти действия не работают, обратитесь к поставщику услуг Интернета (ISP) для получения сведений о брандмауэре подключения к Интернету.
- Запустите Internet Explorer.
- В меню Сервис выберите пункт Свойства обозревателя.
- Перейдите на вкладку "Подключения" , выберите подключение для подключения к Интернету, а затем нажмите кнопку "Параметры".
- В области параметров телефонного подключения нажмите кнопку "Свойства".
- Перейдите на вкладку "Дополнительно ", а затем нажмите кнопку "Защитить мой компьютер" или "Сеть", ограничив или запретив доступ к этому компьютеру из Интернета .
Дополнительные сведения о включении брандмауэра подключения к Интернету в Windows XP или Windows Server 2003 см. в следующей статье, чтобы просмотреть статью в базе знаний Майкрософт:
283673 Включение или отключение брандмауэра в Windows XP
Примечание.
ICF доступен только в Windows XP, Windows Server 2003, выпуск Standard и Windows Server 2003, выпуск Enterprise. Базовый брандмауэр — это компонент маршрутизации и удаленного доступа, который можно включить для любого общедоступного интерфейса на компьютере, на котором выполняется маршрутизация и удаленный доступ, и является членом семейства Windows Server 2003.
Скачайте исправление безопасности 824146, а затем установите его на всех компьютерах, чтобы устранить уязвимость, обнаруженную в бюллетенях майкрософт по безопасности MS03-026 и MS03-039.
Примечание.
Это исправление безопасности 824146 заменяет исправление безопасности 823980. Корпорация Майкрософт рекомендует установить исправление для системы безопасности 824146, которое также включает исправления проблем, исправленных в бюллетене майкрософт по безопасности MS03-026 (823980).
Установите или обновите программное обеспечение антивирусной подписи, а затем выполните полную проверку системы.
Скачайте и запустите средство удаления червей от поставщика антивирусной программы.
Восстановление для Windows 2000 и Windows NT 4.0
Функция брандмауэра подключения к Интернету недоступна в Windows 2000 или Windows NT 4.0. Если microsoft Internet Security and Acceleration (ISA) Server 2000 или сторонний брандмауэр недоступен для блокировки TCP-портов 135, 139, 445 и 593, портов UDP 69 (TFTP), 135, 137 и 138 и TCP-порта 4444 для удаленной командной оболочки, выполните следующие действия, чтобы заблокировать затронутые порты для подключений локальной сети (LAN). Фильтрация TCP/IP недоступна для подключений с телефонным подключением. Если для подключения к Интернету используется подключение к телефону, необходимо включить брандмауэр.
Настройте безопасность TCP/IP. Для этого используйте процедуру для операционной системы.
Windows 2000
В панель управления дважды щелкните "Сеть" и "Подключения к телефону".
Щелкните правой кнопкой мыши интерфейс, используемый для доступа к Интернету, и выберите пункт "Свойства".
В этом поле подключения установлен флажок "Компоненты", щелкните "Интернет-протокол" (TCP/IP) и нажмите кнопку "Свойства".
В диалоговом окне "Свойства ПРОТОКОЛА TCP/IP" нажмите кнопку "Дополнительно".
Откройте вкладку Параметры .
Щелкните фильтрацию TCP/IP и выберите пункт "Свойства".
Установите флажок Включить фильтрацию TCP/IP (все адаптеры).
Существует три столбца со следующими метками:
- TCP-порты
- Порты UDP
- IP-протоколы
В каждом столбце выберите параметр "Разрешить только ".
Нажмите кнопку ОК.
Примечание.
- Если компьютер завершает работу или перезапускается повторно при попытке выполнить эти действия, отключитесь от Интернета, прежде чем включить брандмауэр. Если вы подключаетесь к Интернету через широкополосное подключение, найдите кабель, который работает с внешнего DSL или кабельного модема, а затем отключите этот кабель либо из модема, либо из телефонного разъема. Если вы используете телефонное подключение, найдите телефонный кабель, который работает с модема внутри компьютера на телефонный разъем, а затем отключите этот кабель либо из телефонного разъема, либо с компьютера.
- Если у вас несколько компьютеров с общим доступом к Интернету, используйте брандмауэр только на компьютере, который напрямую подключен к Интернету. Не используйте брандмауэр на других компьютерах, которые совместно используют подключение к Интернету.
- Использование брандмауэра не должно влиять на вашу службу электронной почты или веб-просмотр, но брандмауэр может отключить некоторые интернет-программы, службы или функции. Если такое поведение происходит, может потребоваться открыть некоторые порты в брандмауэре, чтобы некоторые функции Интернета работали. Ознакомьтесь с документацией, которая включена в интернет-службу, которая не работает, чтобы определить, какие порты необходимо открыть. Ознакомьтесь с документацией, включенной в брандмауэр, чтобы определить, как открыть эти порты.
- Эти действия основаны на измененном фрагменте статьи базы знаний Майкрософт 309798.
Windows NT 4.0
- В панель управления дважды щелкните сеть.
- Перейдите на вкладку "Протокол", выберите протокол TCP/IP и выберите пункт "Свойства".
- Перейдите на вкладку IP-адреса и нажмите кнопку "Дополнительно".
- Установите флажок "Включить безопасность" и нажмите кнопку "Настроить".
- В столбцах TCP-портов, портов UDP и IP-протоколов щелкните, чтобы выбрать параметр "Разрешить только".
- Нажмите кнопку "ОК", а затем закройте средство "Сеть".
Скачайте исправление безопасности 824146, а затем установите его на всех компьютерах, чтобы устранить уязвимость, обнаруженную в бюллетенях майкрософт по безопасности MS03-026 и MS03-039.
Исправление безопасности 824146 заменяет исправление безопасности 823980. Корпорация Майкрософт рекомендует установить исправление для системы безопасности 824146, которое также включает исправления проблем, исправленных в бюллетене майкрософт по безопасности MS03-026 (823980).
Установите или обновите программное обеспечение антивирусной подписи, а затем выполните полную проверку системы.
Скачайте и запустите средство удаления червей от поставщика антивирусной программы.
Дополнительные технические сведения о черве Blaster от поставщиков антивирусного программного обеспечения, участвующих в Microsoft Virus Information Alliance (VIA), посетите любой из следующих сторонних веб-сайтов:
Примечание.
Если вам не нужно использовать фильтрацию TCP, может потребоваться отключить фильтрацию TCP после применения исправления, описанного в этой статье, и вы убедились, что вы успешно удалили червя.
Дополнительные технические сведения об известных вариантах червя Blaster см. на следующих веб-сайтах Symantec:
W32. Randex.E: Nstask32.exe, Winlogin.exe, Win32sockdrv.dll и Yyuetyutr.dll
Центр безопасности Symantec.
Дополнительные сведения о Microsoft Virus Information Alliance см. на следующем веб-сайте Майкрософт:
Центр Майкрософт по реагированию на угрозы
Дополнительные сведения о том, как восстановиться с помощью этого червя, обратитесь к поставщику антивирусной программы.
Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.
Ссылки
Для получения наиболее актуальных сведений от Корпорации Майкрософт об этом черве посетите портал для обнаружения угроз (Microsoft) для ресурсов и средств, чтобы обеспечить безопасность и работоспособность компьютера. Если у вас возникли проблемы с установкой самого обновления, перейдите в службу поддержки Центра обновления Майкрософт для ресурсов и инструментов, чтобы обеспечить обновление компьютера с последними обновлениями.