Viruswarnung zum Wurmvirus "Nachi"

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 826234 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
826234 Virus Alert About the Nachi Worm
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Am 18. August 2003 veröffentlichte das Security Team der Microsoft Product Support Services eine Viruswarnung, um die Kunden über einen neuen Wurmvirus zu informieren. Ein Wurmvirus ist ein Computervirus, der sich in der Regel ohne Benutzeraktion verbreitet und komplette Kopien von sich selbst (eventuell modifiziert) über Netzwerke, wie z. B. das Internet, hinweg erstellt. Der Wurmvirus ist unter der Bezeichnung "Nachi" bekannt und nutzt die in den Microsoft Security Bulletins MS03-026 (823980) und MS03-007 (815021) beschriebenen Sicherheitsanfälligkeiten dazu aus, sich selbst über Netzwerke zu verbreiten. Dazu verwendet er offene RPC-Ports (RPC = Remote Procedure Call) oder das WebDAV-Protokoll (WebDAV = World Wide Web Distributed Authoring and Versioning), das von Internet Information Server (IIS) 5.0 unterstützt wird.

Dieser Artikel informiert Netzwerkadministratoren und IT-Experten, wie sie eine Infektion durch den Nachi-Wurmvirus verhindern oder eine bestehende Infektion durch diesen Wurmvirus beseitigen können. Der Nachi-Wurmvirus ist auch unter folgenden Bezeichnungen bekannt: W32/Nachi.worm (Network Associates), Lovsan.D (F-Secure), WORM_MSBLAST.D (Trend Micro) und W32.Welchia.Worm (Symantec).

Computer mit einem der Produkte, die am Anfang dieses Artikels aufgeführt sind, sind anfällig, wenn die beiden Sicherheitspatches 823980 (MS03-026) und 815021 (MS03-007) nicht vor dem 18. August 2003 installiert wurden (das Datum, an dem dieser Wurmvirus entdeckt wurde).

Hinweis: Es liegen bisher keine Informationen vor, dass aktuelle Versionen dieses Wurms Computer mit Windows Server 2003 oder Windows NT 4.0 infiziert haben.

Weitere Informationen zur Beseitigung dieses Wurmvirus erhalten Sie von dem Hersteller Ihrer Antivirussoftware. Weitere Informationen zu Herstellern von Antivirussoftware finden Sie in folgendem Artikel der Microsoft Knowledge Base:
49500 Liste von Antivirussoftware-Herstellern
Weitere Informationen zu den Sicherheitspatches 823980 (MS03-026) und 815021 (MS03-007) finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
823980 MS03-026: Pufferüberlauf in RPC kann Ausführung von Code ermöglichen
815021 MS03-007: Ungeprüfter Puffer in einer Windows-Komponente kann die Webserver-Sicherheit gefährden

Weitere Informationen

Symptome einer Infektion

Wenn Ihr Computer mit diesem Wurmvirus infiziert ist, können dieselben Symptome auftreten, die im Microsoft Knowledge Base-Artikel 826955 für den Blaster-Wurmvirus und seine Varianten beschrieben werden. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
826955 Viruswarnung zum Blaster-Wurmvirus und dessen Varianten
Außerdem kann die Datei "Dllhost.exe" oder "Svchost.exe" in Ihrem Ordner "%windir%\System32\Wins" vorhanden sein.

Hinweis: "Dllhost.exe" oder "Svchost.exe" sind gültige Windows-Dateien, die sich jedoch im Ordner "%windir%\System32" befinden, nicht im Ordner "%windir%\System32\Wins". Darüber hinaus ist die Datei "Svchost.exe", die dieser Wurmvirus in den Ordner "%windir%\System32\Wins" kopiert, eine Kopie der Windows-Datei "Tftpd.exe". Die Datei "Dllhost.exe", die dieser Wurmvirus in den Ordner "%windir%\System32\Wins" kopiert, ist eine Kopie des Virus. Die Virusversion der Datei hat in der Regel eine Dateigröße von über 10.000 Bytes. Die gültige Windows-Datei "Dllhost.exe" hat eine Dateigröße von 5.632 Bytes (Windows Server 2003), 4.608 Bytes (Windows XP) oder 5.904 Bytes (Windows 2000).

Technische Details

Ähnlich wie der Blaster-Wurmvirus und seine Varianten nutzt dieser Wurmvirus ebenfalls die im Microsoft Security Bulletin MS03-026 beschriebene Anfälligkeit aus. Der Wurmvirus weist Zielcomputer an, über das TFTP-Programm eine Kopie des Wurms aus einem betroffenen System herunterzuladen.

Außerdem verbreitet der Wurmvirus sich selbst, indem er die zuvor erwähnte Anfälligkeit nutzt, die in Microsoft Security Bulletin MS03-007 beschrieben ist. Dieser Angriff ist auf IIS 5.0 über Port 80 gerichtet.

Bei erfolgreicher Infektion installiert dieser Wurmvirus außerdem den Sicherheitspatch 823980 (MS03-026) auf den infizierten Computern, indem er zunächst das Betriebssystem ermittelt und dann den zugehörigen Sicherheitspatch für dieses Betriebssystem herunterlädt. Die unkorrekte Installation der mit dem Sicherheitspatch 823980 (MS03-026) verbundenen Dateien und Registrierungseinstellungen kann dazu führen, dass infizierte Computer anfällig für die im Microsoft Security Bulletin MS03-026 dokumentierten Sicherheitsprobleme bleiben, und dass Probleme auftreten, wenn Sie versuchen, die Microsoft-Version des Sicherheitspatch 823980 (MS03-026) zu installieren. Die folgenden Symptome können darauf hinweisen, dass der Sicherheitspatch 823980 (MS03-026) vom Nachi-Wurmvirus installiert wurde:
  • Es gibt keinen Eintrag für den Sicherheitspatch 823980 (MS03-026) im Systemsteuerungsprogramm "Software". Beispielsweise ist kein Eintrag Windows XP Hotfix - KB823980 in der Liste unter "Software" zu sehen. Dieses Problem bleibt auch bestehen, nachdem Sie die Microsoft-Version des Sicherheitspatch 823980 (MS03-026) installiert haben. Dieses Problem tritt auf, weil der Wurmvirus den Sicherheitspatch 823980 (MS03-026) im Modus "keine Archivierung" installiert. Ein Administrator kann den Sicherheitspatch 823980 (MS03-026) mithilfe der Befehlszeilenoption /n im Modus "keine Archivierung" installieren.
  • Der folgende Eintrag erscheint im Systemereignisprotokoll:

    Quelle: NtServicePack
    Kategorie: Keine
    Ereignis-ID: 4359
    Benutzer: NT AUTHORITY\SYSTEM
    Beschreibung: Betriebssystem Hotfix KB823980 wurde installiert.

    Hinweis: Klicken Sie in der Ereignisanzeige auf die Spaltenüberschrift Quelle, um das Systemereignisprotokoll nach der Quelle zu sortieren.

Vorbeugende Maßnahmen

Gehen Sie folgendermaßen vor, um eine Infektion Ihres Computers mit diesem Wurmvirus zu verhindern:
  1. Aktivieren Sie das Feature "Internetverbindungsfirewall (ICF)" in Windows XP, Windows Server 2003, Standard Edition und Windows Server 2003, Enterprise Edition. Alternativ können Sie "Basisfirewall" in Microsoft ISA Server 2000 oder Firewall-Software eines Fremdanbieters verwenden, um die folgenden Ports zu blockieren: TCP-Ports 135, 139, 445 und 593; UDP-Ports 69 (TFTP), 135, 137 und 138 sowie TCP-Port 80.

    Gehen Sie folgendermaßen vor, um das Feature "Internetverbindungsfirewall (ICF)" unter Windows XP oder Windows Server 2003 zu aktivieren:
    1. Klicken Sie auf Start und anschließend auf Systemsteuerung.
    2. Doppelklicken Sie in der Systemsteuerung auf Netzwerk- und Internetverbindungen, und klicken Sie auf Netzwerkverbindungen.
    3. Klicken Sie mit der rechten Maustaste auf die Verbindung, für die Sie ICF aktivieren möchten, und klicken Sie auf Eigenschaften.
    4. Klicken Sie auf die Registerkarte Erweitert, und aktivieren Sie das Kontrollkästchen Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird.
    Hinweis: Manche DFÜ-Verbindungen erscheinen eventuell nicht in den Netzwerkverbindungsordnern. Das kann z. B. bei AOL- und MSN-DFÜ-Verbindungen der Fall sein. In einigen Fällen können Sie folgendermaßen vorgehen, um ICF für eine Verbindung zu aktivieren, die nicht im Ordner "Netzwerkverbindungen" angezeigt wird. Falls Sie diese Schritte nicht ausführen können, sollten Sie Ihren Internetdienstanbieter (ISP) kontaktieren, um Informationen zum Firewallschutz für Ihre Internetverbindung zu erhalten.
    1. Starten Sie Internet Explorer.
    2. Klicken Sie im Menü Extras auf Internetoptionen.
    3. Klicken Sie auf der Registerkarte Verbindungen auf die DFÜ-Verbindung, mit der Sie üblicherweise eine Verbindung zum Internet herstellen, und klicken Sie auf Einstellungen.
    4. Klicken Sie im Bereich DFÜ-Einstellungen auf die Schaltfläche Eigenschaften.
    5. Klicken Sie auf die Registerkarte Erweitert, und aktivieren Sie das Kontrollkästchen Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird.
    Weitere Informationen zum Aktivieren der Internetverbindungsfirewall unter Windows XP oder Windows Server 2003 finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    283673 SO WIRD'S GEMACHT: Aktivieren des Features Internetverbindungsfirewall in Windows XP
    Hinweis: ICF ist nur unter Windows XP, Windows Server 2003, Standard Edition und Windows Server 2003, Enterprise Edition verfügbar. Die Komponente "Basisfirewall" ist in "Routing und RAS" enthalten und kann für jede öffentliche Schnittstelle auf jedem Windows Server 2003-Computer aktiviert werden, der "Routing und RAS" verwendet.
  2. Dieser Wurmvirus nutzt zwei bereits in der Vergangenheit beschriebene Sicherheitsanfälligkeiten aus, um Computer zu infizieren. Deshalb müssen Sie sicherstellen, dass die beiden Sicherheitspatches 823980 und 815021 auf all Ihren Computern installiert sind, um die in den Microsoft Security Bulletins MS03-026 und MS03-007 beschriebenen Sicherheitsanfälligkeiten zu beheben. Der Sicherheitspatch 824146 ersetzt den Sicherheitspatch 823980. Microsoft empfiehlt, den Sicherheitspatch 824146 zu installieren. Dieser Patch enthält auch die Updates zur Behebung der in Microsoft Security Bulletin MS03-026 (823980) beschriebenen Probleme. Weitere Informationen zu dem Sicherheitspatch 824146 finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    824146 MS03-039: Pufferüberlauf in RPCSS kann Ausführung von böswilligem Programmcode ermöglichen
    Weitere Informationen zum Sicherheitspatch 823980 und dessen Softwareanforderungen (z. B. erforderliches Service Pack für Ihre Windows-Version) finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    823980 MS03-026: Pufferüberlauf in RPC-Schnittstelle kann Ausführung von Code ermöglichen
    Weitere Informationen zum Sicherheitspatch 815021 und dessen Softwareanforderungen (z. B. erforderliches Service Pack für Ihre Windows-Version) finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    815021 MS03-007: Ungeprüfter Puffer in einer Windows-Komponente kann die Webserver-Sicherheit gefährden
  3. Verwenden Sie die neuesten Virusdefinitionen vom Hersteller Ihrer Antivirussoftware, um neue Viren und deren Varianten aufzuspüren.

Wiederherstellung

Es wird empfohlen, dass Sie eine "saubere" Installation auf dem infizierten Computer durchführen, um möglicherweise unerkannte Schäden zu beseitigen, die bei zukünftigen Angriffen ausgenutzt werden könnten. Weitere Informationen finden Sie auf der folgenden CERT Coordination Center (CERT/CC) Advisory-Website:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
Viele Antivirushersteller haben bereits Tools bereitgestellt, um die bekannte Schwachstelle zu beseitigen, die mit diesem Wurmvirus zusammenhängt. Befolgen Sie die jeweiligen Schritte für Ihr Betriebssystem, um das entsprechende Tool Ihres Antivirusherstellers herunterzuladen.

Wiederherstellung für Windows XP, Windows Server 2003, Standard Edition und Windows Server 2003, Enterprise Edition

  1. Aktivieren Sie die Internetverbindungsfirewall (ICF) in Windows XP, Windows Server 2003, Standard Edition und Windows Server 2003, Enterprise Edition, oder verwenden Sie "Basisfirewall" in ISA Server 2000, oder eine Firewall eines Drittanbieters.

    Gehen Sie folgendermaßen vor, um ICF zu aktivieren:
    1. Klicken Sie auf Start und anschließend auf Systemsteuerung.
    2. Doppelklicken Sie in der Systemsteuerung auf Netzwerk- und Internetverbindungen, und klicken Sie auf Netzwerkverbindungen.
    3. Klicken Sie mit der rechten Maustaste auf die Verbindung, für die Sie ICF aktivieren möchten, und klicken Sie auf Eigenschaften.
    4. Klicken Sie auf die Registerkarte Erweitert, und aktivieren Sie das Kontrollkästchen Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird.
    Hinweise
    • Falls Ihr Computer während dieser Prozeduren heruntergefahren oder wiederholt neu gestartet wird, sollten Sie die Verbindung zum Internet trennen, bevor Sie die Firewall aktivieren. Falls Sie eine Breitbandverbindung mit dem Internet verwenden, ziehen Sie das Kabel zu Ihrem DSL- oder Kabel-Modem vom Modem oder von der Telefonbuchse ab. Falls Sie eine DFÜ-Verbindung verwenden, ziehen Sie das Kabel, das Ihr Modem mit der Telefonbuchse verbindet, vom Modem oder von der Telefonbuchse ab. Wenn Sie die Verbindung zum Internet nicht trennen können, konfigurieren Sie RPCSS darauf, den Computer bei einem Fehlschlagen des Dienstes nicht neu zu starten. Verwenden Sie hierzu den folgenden Befehl:
      sc failure rpcss reset= 0 actions= restart
      Verwenden Sie den folgenden Befehl, um RPCSS nach dem Abschluss dieser Schritte wieder auf die Standard-Wiederherstellungseinstellungen zu setzen:
      sc failure rpcss reset= 0 actions= reboot/60000
    • Falls sich mehrere Computer eine Internetverbindung teilen, sollten Sie nur auf dem Computer eine Firewall verwenden, der direkt mit dem Internet verbunden ist. Aktivieren Sie die Firewall nicht bei den anderen Computern, die lediglich die Internetverbindung mitnutzen. Falls Sie Windows XP verwenden, können Sie den Netzwerkinstallations-Assistenten verwenden, um ICF zu aktivieren.
    • Die Verwendung einer Firewall sollte keine Auswirkungen auf Ihre E-Mail-Dienste oder das Surfen im Internet haben. Allerdings kann es dadurch zu Beeinträchtigungen bei anderen Internetprogrammen, Diensten oder Features kommen. Falls diese Beeinträchtigungen auftreten, müssen Sie eventuell einige Ports freigeben, um die Probleme bei den Internet-Features zu beheben. In der Dokumentation zu dem Internet-Dienst, der nicht korrekt funktioniert, finden Sie Informationen zu den jeweiligen Ports, die für diesen Dienst geöffnet werden müssen. In der Dokumentation zu Ihrer Firewall finden Sie die Anleitung zum Öffnen dieser Ports. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
      308127 Manuelles Öffnen von Ports der Internetverbindungsfirewall in Windows XP
    • In einigen Fällen können Sie folgendermaßen vorgehen, um ICF für eine Verbindung zu aktivieren, die nicht im Ordner "Netzwerkverbindungen" angezeigt wird. Falls Sie diese Schritte nicht ausführen können, sollten Sie Ihren Internetdienstanbieter (ISP) kontaktieren, um Informationen zum Firewallschutz für Ihre Internetverbindung zu erhalten.
      1. Starten Sie Internet Explorer.
      2. Klicken Sie im Menü Extras auf Internetoptionen.
      3. Klicken Sie auf der Registerkarte Verbindungen auf die DFÜ-Verbindung, mit der Sie üblicherweise eine Verbindung zum Internet herstellen, und klicken Sie auf Einstellungen.
      4. Klicken Sie im Bereich DFÜ-Einstellungen auf die Schaltfläche Eigenschaften.
      5. Klicken Sie auf die Registerkarte Erweitert, und aktivieren Sie das Kontrollkästchen Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird.
    Weitere Informationen zum Aktivieren von ICF in Windows XP oder Windows Server 2003 finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    283673 SO WIRD'S GEMACHT: Aktivieren des Features Internetverbindungsfirewall in Windows XP
    Hinweis: ICF ist nur unter Windows XP, Windows Server 2003, Standard Edition und Windows Server 2003, Enterprise Edition verfügbar. Die Komponente "Basic Firewall" ist in "Routing and Remote Access" enthalten und kann für jede öffentliche Schnittstelle auf einem Computer aktiviert werden, der "Routing and Remote Access" verwendet und zur Windows Server 2003-Familie gehört.
  2. Suchen Sie den folgenden Registrierungsschlüssel und löschen Sie ihn, falls er vorhanden ist:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie anschließend auf OK.
    2. Gehen Sie zu folgendem Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    3. Klicken Sie mit der rechten Maustaste auf den Schlüssel
      KB823980
      , und klicken Sie auf Löschen.
  3. Laden Sie beide Sicherheitspatches (824146 und 815021) herunter und installieren Sie sie auf all Ihren Computern, um die in den Microsoft Security Bulletins MS03-039, MS03-026 und MS03-007 beschriebene Anfälligkeit zu beheben. Weitere Informationen zum Sicherheitspatch 824146 und dessen Softwareanforderungen (z. B. erforderliches Service Pack für Ihre Windows-Version) finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    824146 MS03-039: Pufferüberlauf in RPCSS kann Ausführung von böswilligem Programmcode ermöglichen
    Weitere Informationen zum Sicherheitspatch 823980 und dessen Softwareanforderungen (z. B. erforderliches Service Pack für Ihre Windows-Version) finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    823980 MS03-026: Pufferüberlauf in RPC-Schnittstelle kann Ausführung von Code ermöglichen
    Weitere Informationen zum Sicherheitspatch 815021 und dessen Softwareanforderungen (z. B. erforderliches Service Pack für Ihre Windows-Version) finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    815021 MS03-007: Ungeprüfter Puffer in einer Windows-Komponente kann die Webserver-Sicherheit gefährden
  4. Installieren oder aktualisieren Sie Ihre Antivirussoftware, und führen Sie einen kompletten Systemscan durch.
  5. Laden Sie das von Ihrem Antivirushersteller bereitgestellte Tool zur Entfernung dieses Wurmvirus herunter, und führen Sie es aus.

Wiederherstellung für Windows 2000 und Windows NT 4.0

Die Internetverbindungsfirewall ist in Windows 2000 oder Windows NT 4.0 nicht verfügbar. Wenn Microsoft ISA Server 2000 oder eine Firewall eines Drittanbieters nicht zur Verfügung stehen, um die TCP-Ports 135, 139, 445 und 593, die UDP-Ports 69 (TFTP), 135, 137 und 138 sowie den TCP-Port 80 zu blockieren, gehen Sie folgendermaßen vor, um die betreffenden Ports für LAN-Verbindungen zu blockieren. TCP/IP-Filter stehen für DFÜ-Verbindungen nicht zur Verfügung. Wenn Sie eine DFÜ-Verbindung zum Internet verwenden, sollten Sie eine Firewall aktivieren.
  1. Konfigurieren Sie die TCP/IP-Sicherheit. Gehen Sie hierzu gemäß den Beschreibungen für Ihr Betriebssystem vor.

    Windows 2000
    1. Doppelklicken Sie in der Systemsteuerung auf Netzwerk- und DFÜ-Verbindungen.
    2. Klicken Sie mit der rechten Maustaste auf den Adapter, mit dem Sie auf das Internet zugreifen, und klicken Sie auf Eigenschaften.
    3. Klicken Sie unter Aktivierte Komponenten werden von dieser Verbindung verwendet auf Internetprotokoll (TCP/IP), und klicken Sie auf Eigenschaften.
    4. Klicken Sie im Dialogfeld Eigenschaften von Internetprotokoll (TCP/IP) auf Erweitert.
    5. Klicken Sie auf die Registerkarte Optionen.
    6. Klicken Sie auf TCP/IP-Filter und anschließend auf Eigenschaften.
    7. Aktivieren Sie das Kontrollkästchen TCP/IP-Filter aktivieren (alle Netzwerkkarten).
    8. Es existieren drei Spalten mit den folgenden Namen:
      • TCP-Ports
      • UDP-Ports
      • IP-Protokolle
      Klicken Sie in jeder Spalte auf die Option Nur zulassen.
    9. Klicken Sie auf OK.

      Hinweise
      • Falls Ihr Computer während dieser Prozeduren heruntergefahren oder wiederholt neu gestartet wird, sollten Sie die Verbindung zum Internet trennen, bevor Sie die Firewall aktivieren. Falls Sie eine Breitbandverbindung mit dem Internet verwenden, ziehen Sie das Kabel zu Ihrem DSL- oder Kabel-Modem vom Modem oder von der Telefonbuchse ab. Falls Sie eine DFÜ-Verbindung verwenden, ziehen Sie das Kabel, das Ihr Modem mit der Telefonbuchse verbindet, vom Modem oder von der Telefonbuchse ab.
      • Falls sich mehrere Computer eine Internetverbindung teilen, sollten Sie nur auf dem Computer eine Firewall verwenden, der direkt mit dem Internet verbunden ist. Aktivieren Sie die Firewall nicht bei den anderen Computern, die lediglich die Internetverbindung mitnutzen.
      • Die Verwendung einer Firewall sollte keine Auswirkungen auf Ihre E-Mail-Dienste oder das Surfen im Internet haben. Allerdings kann es dadurch zu Beeinträchtigungen bei anderen Internetprogrammen, Diensten oder Features kommen. Falls diese Beeinträchtigungen auftreten, müssen Sie eventuell einige Ports freigeben, um die Probleme bei den Internet-Features zu beheben. In der Dokumentation zu dem Internet-Dienst, der nicht korrekt funktioniert, finden Sie Informationen zu den jeweiligen Ports, die für diesen Dienst geöffnet werden müssen. In der Dokumentation zu Ihrer Firewall finden Sie die Anleitung zum Öffnen dieser Ports.
      • Diese Schritte basieren auf dem Microsoft Knowledge Base-Artikel 309798 und wurden geringfügig verändert. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
        309798 SO WIRD'S GEMACHT: Konfigurieren der TCP/IP-Filterung in Windows 2000
    Windows NT 4.0
    1. Doppelklicken Sie in der Systemsteuerung auf Netzwerk.
    2. Klicken Sie auf der Registerkarte Protokolle auf TCP/IP-Protokoll und anschließend auf Eigenschaften.
    3. Klicken Sie auf die Registerkarte IP-Adresse und anschließend auf Optionen.
    4. Aktivieren Sie das Kontrollkästchen Sicherheit aktivieren, und klicken Sie auf Konfigurieren.
    5. Aktivieren Sie in den Spalten TCP-Anschlüsse, UDP-Anschlüsse und IP-Protokolle die Einstellung Nur zulassen.
    6. Klicken Sie auf OK, und schließen Sie das Netzwerkprogramm.
  2. Laden Sie beide Sicherheitspatches (824146 und 815021) herunter und installieren Sie sie auf all Ihren Computern, um die in den Microsoft Security Bulletins MS03-039, MS03-026 und MS03-007 beschriebene Anfälligkeit zu beheben. Der Sicherheitspatch 824146 ersetzt den Sicherheitspatch 823980. Microsoft empfiehlt, den Sicherheitspatch 824146 zu installieren. Dieser Patch enthält auch die Updates zur Behebung der in Microsoft Security Bulletin MS03-026 (823980) beschriebenen Probleme. Weitere Informationen zu dem Sicherheitspatch 824146 finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    824146 MS03-039: Pufferüberlauf in RPCSS kann Ausführung von böswilligem Programmcode ermöglichen
    Weitere Informationen zum Sicherheitspatch 823980 und dessen Softwareanforderungen (z. B. erforderliches Service Pack für Ihre Windows-Version) finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    823980 MS03-026: Pufferüberlauf in RPC-Schnittstelle kann Ausführung von Code ermöglichen
    Weitere Informationen zum Sicherheitspatch 815021 und dessen Softwareanforderungen (z. B. erforderliches Service Pack für Ihre Windows-Version) finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    815021 MS03-007: Ungeprüfter Puffer in einer Windows-Komponente kann die Webserver-Sicherheit gefährden
  3. Installieren oder aktualisieren Sie Ihre Antivirussoftware, und führen Sie einen kompletten Systemscan durch.
  4. Laden Sie das von Ihrem Antivirushersteller bereitgestellte Tool zur Entfernung dieses Wurmvirus herunter, und führen Sie es aus.
    Network Associates
    http://vil.nai.com/vil/content/v_100559.htm

    Trend Micro
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

    Symantec
    http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
    Weitere Informationen zur Microsoft Virus Information Alliance (VIA) finden Sie auf folgender Website von Microsoft:
    http://www.microsoft.com/technet/security/alerts/info/via.mspx

Informationsquellen

Weitere Informationen finden Sie auf der folgenden Microsoft-Website:
http://www.microsoft.com/technet/security/alerts/nachi.mspx

Eigenschaften

Artikel-ID: 826234 - Geändert am: Mittwoch, 31. Januar 2007 - Version: 6.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server, Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Keywords: 
kbhowto KB826234
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com