Προειδοποίηση για τον ιό τύπου worm Nachi

Αναγν. άρθρου: 826234 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Στις 18 Αυγούστου 2003, η Ομάδα Ασφαλείας των Υπηρεσιών Υποστήριξης Προϊόντων της Microsoft (Microsoft Product Support Services Security Team) εξέδωσε μια προειδοποίηση για να ενημερώσει τους πελάτες σχετικά με ένα νέο ιό τύπου worm. Ένας ιός τύπου worm είναι ένα είδος ιού υπολογιστή που συνήθως μεταδίδεται χωρίς κάποια ενέργεια του χρήστη και διανέμει πλήρη αντίγραφα (πιθανώς τροποποιημένα) του εαυτού του μέσω δικτύων (όπως είναι το Internet). Ευρύτερα γνωστός ως Nachi, αυτός ο νέος ιός τύπου worm εκμεταλλεύεται τα θέματα ευπάθειας που αντιμετωπίζονται στα Ενημερωτικά δελτία ασφαλείας MS03-026 (823980) και MS03-007 (815021) της Microsoft για να μεταδίδεται μέσω δικτύων, χρησιμοποιώντας ανοικτές θύρες κλήσης απομακρυσμένης διαδικασίας (RPC) ή το πρωτόκολλο WebDAV (World Wide Web Distributed Authoring and Versioning) που υποστηρίζεται από τον Internet Information Server (IIS) 5.0.

Το άρθρο αυτό περιέχει πληροφορίες που απευθύνονται στους διαχειριστές δικτύων και στους επαγγελματίες τεχνολογιών πληροφορικής, σχετικά με την πρόληψη και την επαναφορά έπειτα από προσβολή από ιό τύπου worm Nachi. Ο ιός τύπου worm Nachi είναι επίσης γνωστός ως W32/Nachi.worm (Network Associates), Lovsan.D (F-Secure), WORM_MSBLAST.D (Trend Micro) και W32.Welchia.Worm (Symantec).

Οι υπολογιστές που χρησιμοποιούν κάποιο από τα προϊόντα που αναφέρονται στην αρχή αυτού του άρθρου είναι ευάλωτοι εάν δεν έχουν εγκατασταθεί και οι δύο ενημερωμένες εκδόσεις κώδικα ασφαλείας, 823980 (MS03-026) και 815021 (MS03-007), πριν από τις 18 Αυγούστου 2003 (δηλαδή την ημερομηνία ανακάλυψης αυτού του ιού τύπου worm).

Σημείωση Δεν έχει επιβεβαιωθεί ότι κάποια από τις τρέχουσες εκδόσεις αυτού του ιού τύπου worm έχει προσβάλει υπολογιστές που εκτελούν τον Windows Server 2003 ή τα Windows NT 4.0.

Για πρόσθετες πληροφορίες σχετικά με την επαναφορά από αυτόν τον ιό τύπου worm, επικοινωνήστε με τον προμηθευτή του λογισμικού αντιμετώπισης ιών. Για πρόσθετες πληροφορίες σχετικά με προμηθευτές λογισμικού αντιμετώπισης ιών, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
49500
(http://support.microsoft.com/kb/49500/EL/ )
Λίστα προμηθευτών λογισμικού αντιμετώπισης ιών
Για πρόσθετες πληροφορίες σχετικά με τις ενημερωμένες εκδόσεις κώδικα ασφαλείας 823980 (MS03-026) και 815021 (MS03-007), κάντε κλικ στους ακόλουθους αριθμούς άρθρων για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
823980
(http://support.microsoft.com/kb/823980/EL/ )
MS03-026: Η υπέρβαση buffer στο RPC ενδέχεται να επιτρέψει την εκτέλεση κώδικα
815021
(http://support.microsoft.com/kb/815021/EL/ )
MS03-007: Ένα μη επιλεγμένο Buffer σε στοιχείο των Windows ενδέχεται να προκαλέσει παραβίαση του διακομιστή Web
Επιστροφή στην αρχή | Αποστολή σχολίων

Περισσότερες πληροφορίες

Συμπτώματα προσβολής

Εάν ο υπολογιστής σας έχει προσβληθεί από αυτόν τον ιό τύπου worm, ενδέχεται να παρουσιαστούν τα ίδια συμπτώματα με αυτά που αναφέρονται στο άρθρο 826955 της Γνωσιακής Βάσης της Microsoft (Knowledge Base) για τον ιό τύπου worm Blaster και τις παραλλαγές του. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
826955
(http://support.microsoft.com/kb/826955/EL/ )
Προειδοποίηση για τον ιό τύπου worm Blaster και τις παραλλαγές του
Επιπλέον, το αρχείο Dllhost.exe ή το αρχείο Svchost.exe ενδέχεται να υπάρχουν στο φάκελο %windir%\System32\Wins.

Σημείωση Τα αρχεία Dllhost.exe ή Svchost.exe είναι έγκυρα αρχεία των Windows, βρίσκονται όμως στο φάκελο %windir%\System32 και όχι στο φάκελο %windir%\System32\Wins. Επιπλέον, το αρχείο Svchost.exe που αντιγράφει αυτός ο ιός τύπου worm στο φάκελο %windir%\System32\Wins είναι αντίγραφο του αρχείου Tftpd.exe των Windows. Το αρχείο Dllhost.exe που αυτός ο ιός τύπου worm αντιγράφει στο φάκελο %windir%\System32\Wins είναι αντίγραφο του ίδιου του ιού. Η έκδοση του αρχείου που δίνει ο ιός συνήθως έχει μέγεθος αρχείου μεγαλύτερο των 10.000 byte. Το έγκυρο αρχείο Dllhost.exe των Windows έχει μέγεθος αρχείου 5.632 byte (Windows Server 2003), 4.608 byte (Windows XP) ή 5.904 byte (Windows 2000).

Τεχνικές λεπτομέρειες

Όπως ο ιός τύπου worm Blaster και οι παραλλαγές του, και αυτός ο ιός τύπου worm εκμεταλλεύεται το θέμα ευπάθειας που αντιμετωπίζεται στο Ενημερωτικό δελτίο ασφαλείας MS03-026 της Microsoft. Ο ιός τύπου worm δίνει εντολή στους υπολογιστές προορισμού να κάνουν λήψη ενός αντιγράφου του ιού τύπου worm από ένα σύστημα που έχει προσβληθεί, με χρήση του προγράμματος TFTP.

Εκτός από την εκμετάλλευση του θέματος ευπάθειας της κλήσης απομακρυσμένης διαδικασίας (RPC) που αντιμετωπίζεται στο Ενημερωτικό δελτίο ασφαλείας MS03-026 της Microsoft, αυτός ο ιός τύπου worm μεταδίδεται επίσης χρησιμοποιώντας το θέμα ευπάθειας που αναφέρθηκε παλαιότερα στο Ενημερωτικό δελτίο ασφαλείας MS03-007 της Microsoft. Σε αυτήν την περίπτωση στοχεύει τον IIS 5.0 μέσω της θύρας 80.

Μετά την επιτυχημένη προσβολή του υπολογιστή, ο ιός τύπου worm εγκαθιστά εσφαλμένα την ενημερωμένη έκδοση κώδικα ασφαλείας 823980 (MS03-026) στους υπολογιστές που έχουν προσβληθεί, προσδιορίζοντας πρώτα το λειτουργικό σύστημα και στη συνέχεια κάνοντας λήψη της ενημερωμένης έκδοσης κώδικα ασφαλείας που του αντιστοιχεί. Η ακατάλληλη εγκατάσταση των αρχείων και των ρυθμίσεων του μητρώου που σχετίζονται με την ενημερωμένη έκδοση κώδικα ασφαλείας 823980 (MS03-026) ενδέχεται να καταστήσει τους υπολογιστές που έχουν προσβληθεί ευάλωτους στα ζητήματα που αναφέρονται στο Ενημερωτικό δελτίο ασφαλείας της Microsoft MS03-026 και επομένως ενδέχεται να δημιουργηθούν προβλήματα κατά την εγκατάσταση της επίσημης ενημερωμένης έκδοσης κώδικα ασφαλείας 823980 (MS03-026) της Microsoft. Τα ακόλουθα συμπτώματα μπορεί να υποδεικνύουν ότι η ενημερωμένη έκδοση κώδικα ασφαλείας 823980 (MS03-026) έχει εγκατασταθεί από τον ιό τύπου worm Nachi:
  • Δεν υπάρχει καταχώρηση για την ενημερωμένη έκδοση κώδικα ασφαλείας 823980 (MS03-026) στο εργαλείο "Προσθαφαίρεση προγραμμάτων" (Add or Remove Programs). Για παράδειγμα, η Επείγουσα επιδιόρθωση των Windows XP - KB823980 (Windows XP Hotfix - KB823980) δεν εμφανίζεται στη λίστα του εργαλείου "Προσθαφαίρεση προγραμμάτων" (Add or Remove Programs). Αυτό το ζήτημα παραμένει ακόμα και μετά την εγκατάσταση της έκδοσης της Microsoft για την ενημερωμένη έκδοση κώδικα ασφαλείας 823980 (MS03-026). Το ζήτημα προκύπτει επειδή ο ιός τύπου worm εγκαθιστά την ενημερωμένη έκδοση κώδικα ασφαλείας 823980 (MS03-026) σε λειτουργία "εκτός αρχείου". Ένας διαχειριστής μπορεί να εγκαταστήσει την ενημερωμένη έκδοση κώδικα ασφαλείας 823980 (MS03-026) σε λειτουργία "εκτός αρχείου" με χρήση του διακόπτη /n.
  • Εμφανίζεται η ακόλουθη καταχώρηση στο αρχείο καταγραφής συμβάντων συστήματος:

    Προέλευση: (Source:) NtServicePack
    Κατηγορία: (Category:) Καμία (None)
    Αναγνωριστικό συμβάντος: (Event ID:) 4359
    Χρήστης: (User:) NT AUTHORITY\SYSTEM
    Περιγραφή: (Description:) Λειτουργικό Σύστημα Εγκαταστάθηκε η επείγουσα επιδιόρθωση KB823980. ( Hotfix KB823980 was installed.)

    Σημείωση Για να ταξινομήσετε τα στοιχεία του αρχείου καταγραφής συμβάντων κατά προέλευση, κάντε κλικ στην επικεφαλίδα της στήλης Προέλευση (Source) στην Προβολή Συμβάντων (Event Viewer).

Πρόληψη

Για να αποτρέψετε τη μετάδοση αυτού του ιού στον υπολογιστή σας, ακολουθήστε τα εξής βήματα:
  1. Ενεργοποιήστε τη δυνατότητα "Τείχος προστασίας σύνδεσης στο Internet" (Internet Connection Firewall - ICF) στα Windows XP, στον Windows Server 2003, Standard Edition και στον Windows Server 2003, Enterprise Edition. Ή χρησιμοποιήστε το βασικό τείχος προστασίας (Basic Firewall) με τον Microsoft Internet Security and Acceleration (ISA) Server 2000 ή ένα τείχος προστασίας άλλου κατασκευαστή, για να αποκλείσετε τις θύρες TCP 135, 139, 445 και 593, τις θύρες UDP 69 (TFTP), 135, 137 και 138 και τη θύρα TCP 80.

    Για να ενεργοποιήσετε τη δυνατότητα "Τείχος προστασίας σύνδεσης στο Internet" (ICF) στα Windows XP ή στον Windows Server 2003, ακολουθήστε τα εξής βήματα:
    • Κάντε κλικ στο μενού Έναρξη (Start) και, στη συνέχεια, κάντε κλικ στην επιλογή Πίνακας Ελέγχου (Control Panel).
    • Στον Πίνακα Ελέγχου (Control Panel), κάντε διπλό κλικ στην επιλογή Συνδέσεις δικτύου και Internet (Networking and Internet Connections) και στη συνέχεια κάντε κλικ στην επιλογή Συνδέσεις δικτύου (Network Connections).
    • Κάντε δεξιό κλικ στη σύνδεση για την οποία θέλετε να ενεργοποιήσετε τη δυνατότητα "Τείχος προστασίας σύνδεσης στο Internet" (ICF) και στη συνέχεια κάντε κλικ στην επιλογή Ιδιότητες (Properties).
    • Κάντε κλικ στην καρτέλα Για προχωρημένους (Advanced) και κατόπιν κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Προφύλαξη του υπολογιστή και του δικτύου μου με περιορισμό ή απαγόρευση πρόσβασης σε αυτόν τον υπολογιστή από το Internet (Protect my computer and network by limiting or preventing access to this computer from the Internet).
    Σημείωση Μερικές συνδέσεις μέσω τηλεφώνου ενδέχεται να μην εμφανίζονται στους φακέλους "Συνδέσεις δικτύου" (Network Connections). Για παράδειγμα, ενδέχεται να μην εμφανίζονται οι συνδέσεις μέσω τηλεφώνου AOL και MSN. Σε ορισμένες περιπτώσεις, μπορείτε να χρησιμοποιήσετε την ακόλουθη διαδικασία για να ενεργοποιήσετε τη δυνατότητα "Τείχος προστασίας σύνδεσης στο Internet" (Internet Connection Firewall - ICF) για μια σύνδεση που δεν εμφανίζεται στο φάκελο "Συνδέσεις δικτύου" (Network Connections). Εάν αυτά τα βήματα δεν έχουν αποτέλεσμα, επικοινωνήστε με την υπηρεσία παροχής Internet (ISP) για πληροφορίες σχετικά με την προστασία της σύνδεσης Internet.
    • Ξεκινήστε τον Internet Explorer.
    • Από το μενού Εργαλεία (Tools), κάντε κλικ στην εντολή Επιλογές Internet (Internet Options).
    • Κάντε κλικ στην καρτέλα Συνδέσεις (Connections), έπειτα κάντε κλικ στη σύνδεση μέσω τηλεφώνου που χρησιμοποιείτε για να συνδεθείτε στο Internet και κατόπιν κάντε κλικ στην επιλογή Ρυθμίσεις (Settings).
    • Στην περιοχή Ρυθμίσεις της σύνδεσης μέσω τηλεφώνου (Dial-up settings), κάντε κλικ στην επιλογή "Ιδιότητες" (Properties).
    • Κάντε κλικ στην καρτέλα Για προχωρημένους (Advanced) και κατόπιν κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Προφύλαξη του υπολογιστή και του δικτύου μου με περιορισμό ή απαγόρευση πρόσβασης σε αυτόν τον υπολογιστή από το Internet (Protect my computer and network by limiting or preventing access to this computer from the Internet).
    Για πρόσθετες πληροφορίες σχετικά με τον τρόπο ενεργοποίησης της δυνατότητας "Τείχος προστασίας σύνδεσης στο Internet" (Internet Connection Firewall) στα Windows XP ή στον Windows Server 2003, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    283673
    (http://support.microsoft.com/kb/283673/EL/ )
    ΔΙΑΔΙΚΑΣΙΕΣ: Ενεργοποίηση ή απενεργοποίηση της δυνατότητας "Τείχος προστασίας σύνδεσης στο Internet" (Internet Connection Firewall) στα Windows XP
    Σημείωση Η δυνατότητα "Τείχος προστασίας σύνδεσης στο Internet" (Internet Connection Firewall - ICF) είναι διαθέσιμη μόνο για τα Windows XP, τον Windows Server 2003, Standard Edition και τον Windows Server 2003, Enterprise Edition. Το βασικό τείχος προστασίας (Basic Firewall) είναι ένα στοιχείο του προγράμματος "Δρομολόγηση και απομακρυσμένη πρόσβαση" (Routing and Remote Access), το οποίο μπορείτε να ενεργοποιήσετε για οποιαδήποτε δημόσια σύνδεση σε κάποιον υπολογιστή που χρησιμοποιεί ταυτόχρονα το πρόγραμμα "Δρομολόγηση και απομακρυσμένη πρόσβαση" (Routing and Remote Access) και κάποιο μέλος της οικογένειας προϊόντων του Windows Server 2003.
  2. Αυτός ο ιός τύπου worm χρησιμοποιεί δύο θέματα ευπάθειας που έχουν ήδη ανακοινωθεί στη μέθοδο μετάδοσής του. Επομένως, βεβαιωθείτε ότι έχετε εγκαταστήσει και τις δύο ενημερωμένες εκδόσεις κώδικα ασφαλείας 823980 και 815021 σε όλους τους υπολογιστές σας για να αντιμετωπίσετε αυτό το θέμα ευπάθειας που προσδιορίζεται στα Ενημερωτικά δελτία ασφαλείας MS03-026 και MS03-007 της Microsoft. Η ενημερωμένη έκδοση κώδικα ασφαλείας 824146 αντικαθιστά την ενημερωμένη έκδοση κώδικα ασφαλείας 823980. Η Microsoft συνιστά να εγκαταστήσετε την ενημερωμένη έκδοση κώδικα ασφαλείας 824146. Αυτή η ενημερωμένη έκδοση κώδικα ασφαλείας περιλαμβάνει επίσης τις ενημερώσεις κώδικα για τα ζητήματα τα οποία αντιμετωπίζονται στο Ενημερωτικό δελτίο ασφαλείας MS03-026 (823980) της Microsoft. Για πρόσθετες πληροφορίες σχετικά με την ενημερωμένη έκδοση κώδικα ασφαλείας 824146, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    824146
    (http://support.microsoft.com/kb/824146/EL/ )
    Η υπέρβαση buffer στο RPCSS μπορεί να επιτρέψει την εκτέλεση κακόβουλων προγραμμάτων από έναν εισβολέα
    Για πρόσθετες πληροφορίες σχετικά με την ενημερωμένη έκδοση κώδικα ασφαλείας 823980 και τυχόν προαπαιτούμενων (όπως κάποιο Service Pack για την έκδοση των Windows που χρησιμοποιείτε), κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    823980
    (http://support.microsoft.com/kb/823980/EL/ )
    MS03-026: Η υπέρβαση buffer στη διασύνδεση RPC ενδέχεται να επιτρέψει την εκτέλεση κώδικα
    Για πρόσθετες πληροφορίες σχετικά με την ενημερωμένη έκδοση κώδικα ασφαλείας 815021 και τυχόν προαπαιτούμενων (όπως κάποιο Service Pack για την έκδοση των Windows που χρησιμοποιείτε), κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    815021
    (http://support.microsoft.com/kb/815021/EL/ )
    MS03-007: Ένα μη επιλεγμένο Buffer σε στοιχείο των Windows ενδέχεται να προκαλέσει παραβίαση του διακομιστή Web
  3. Χρησιμοποιήστε την πιο πρόσφατη υπογραφή εντοπισμού ιών από τον προμηθευτή του λογισμικού εντοπισμού ιών, για να εντοπίσετε νέους ιούς και τις παραλλαγές τους.

Επαναφορά

Στις βέλτιστες πρακτικές ασφαλείας προτείνεται να γίνει μια πλήρης "καθαρή" εγκατάσταση σε έναν υπολογιστή όπου είχε μεταδοθεί ο ιός, για να καταργηθούν τυχόν στοιχεία που δεν είχαν εντοπιστεί και θα μπορούσαν να θέσουν μελλοντικά τον υπολογιστή σε κίνδυνο. Για πρόσθετες πληροφορίες, επισκεφθείτε την παρακάτω τοποθεσία CERT Coordination Center (CERT/CC) Advisory στο Web:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
(http://www.cert.org/tech_tips/win-UNIX-system_compromise.html)
Ωστόσο, πολλές εταιρείες λογισμικού αντιμετώπισης ιών παρέχουν εργαλεία για την κατάργηση της γνωστής ευπάθειας που συσχετίζεται με τον συγκεκριμένο ιό τύπου worm. Για να κάνετε λήψη του εργαλείου κατάργησης από τον προμηθευτή λογισμικού αντιμετώπισης ιών, χρησιμοποιήστε μία από τις παρακάτω διαδικασίες, ανάλογα με το λειτουργικό σύστημα που έχετε

Επαναφορά για τα Windows XP, τον Windows Server 2003, Standard Edition και τον Windows Server 2003, Enterprise Edition

  1. Ενεργοποιήστε τη δυνατότητα "Τείχος προστασίας σύνδεσης στο Internet" (Internet Connection Firewall - ICF) στα Windows XP, στον Windows Server 2003, Standard Edition και στον Windows Server 2003, Enterprise Edition. Ή χρησιμοποιήστε το βασικό τείχος προστασίας (Basic Firewall), τον Microsoft Internet Security and Acceleration (ISA) Server 2000 ή ένα τείχος προστασίας άλλου κατασκευαστή.

    Για να ενεργοποιήσετε τη δυνατότητα "Τείχος προστασίας σύνδεσης στο Internet" (Internet Connection Firewall - ICF), ακολουθήστε τα εξής βήματα:
    • Κάντε κλικ στο μενού Έναρξη (Start) και, στη συνέχεια, κάντε κλικ στην επιλογή Πίνακας Ελέγχου (Control Panel).
    • Στον Πίνακα Ελέγχου (Control Panel), κάντε διπλό κλικ στην επιλογή Συνδέσεις δικτύου και Internet (Networking and Internet Connections) και στη συνέχεια κάντε κλικ στην επιλογή Συνδέσεις δικτύου (Network Connections).
    • Κάντε δεξιό κλικ στη σύνδεση για την οποία θέλετε να ενεργοποιήσετε τη δυνατότητα "Τείχος προστασίας σύνδεσης στο Internet" (ICF) και στη συνέχεια κάντε κλικ στην εντολή Ιδιότητες (Properties).
    • Κάντε κλικ στην καρτέλα Για προχωρημένους (Advanced) και κατόπιν κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Προφύλαξη του υπολογιστή και του δικτύου μου με περιορισμό ή απαγόρευση πρόσβασης σε αυτόν τον υπολογιστή από το Internet (Protect my computer and network by limiting or preventing access to this computer from the Internet).
    Σημειώσεις
    • Εάν τερματίζεται η λειτουργία του υπολογιστή σας ή γίνεται συνεχώς επανεκκίνηση του υπολογιστή όταν προσπαθείτε να ακολουθήσετε αυτά τα βήματα, αποσυνδεθείτε από το Internet πριν να ενεργοποιήσετε το τείχος προστασίας. Εάν συνδέεστε με το Internet μέσω σύνδεσης ευρείας ζώνης, εντοπίστε το καλώδιο που ξεκινά από το εξωτερικό μόντεμ DSL ή το καλωδιακό μόντεμ και αποσυνδέστε το, είτε από το μόντεμ είτε από το βύσμα του τηλεφώνου. Εάν χρησιμοποιείτε μια σύνδεση μέσω τηλεφώνου, εντοπίστε το καλώδιο του τηλεφώνου που συνδέει το μόντεμ που βρίσκεται στο εσωτερικό του υπολογιστή σας με το βύσμα του τηλεφώνου και στη συνέχεια αποσυνδέστε το, είτε από το βύσμα του τηλεφώνου είτε από τον υπολογιστή σας. Εάν δεν μπορείτε να αποσυνδεθείτε από το Internet, χρησιμοποιήστε την ακόλουθη εντολή για να ρυθμίσετε τις παραμέτρους RPCSS, ώστε να μην γίνεται επανεκκίνηση του υπολογιστή όταν αποτυγχάνει η υπηρεσία:
      sc failure rpcss reset= 0 actions= restart
      Για να επαναφέρετε το RPCSS στην προεπιλεγμένη ρύθμιση αποκατάστασης, αφού ολοκληρώσετε αυτά τα βήματα, χρησιμοποιήστε την ακόλουθη εντολή:
      sc failure rpcss reset= 0 actions= reboot/60000
    • Εάν μια σύνδεση στο Internet χρησιμοποιείται από περισσότερους από έναν υπολογιστές, χρησιμοποιήστε τείχος προστασίας μόνο στον υπολογιστή που συνδέεται άμεσα με το Internet. Μην χρησιμοποιήσετε τείχος προστασίας στους υπόλοιπους υπολογιστές που κάνουν κοινή χρήση της σύνδεσης στο Internet. Εάν έχετε Windows XP, χρησιμοποιήστε τον "Οδηγό εγκατάστασης δικτύου" (Network Setup Wizard) για να ενεργοποιήσετε τη δυνατότητα "Τείχος προστασίας σύνδεσης στο Internet" (Internet Connection Firewall - ICF).
    • Η χρήση ενός τείχους προστασίας δεν θα πρέπει να επηρεάσει την υπηρεσία ηλεκτρονικού ταχυδρομείου ή την περιήγησή σας στο Web, μπορεί όμως να απενεργοποιήσει κάποια στοιχεία λογισμικού, υπηρεσίες ή δυνατότητες του Internet. Εάν συμβεί αυτό, ίσως χρειαστεί να ανοίξετε κάποιες θύρες στο τείχος προστασίας για να λειτουργήσει μια δυνατότητα του Internet. Για να προσδιορίσετε ποιες θύρες πρέπει να ανοίξετε, ανατρέξτε στην τεκμηρίωση που περιλαμβάνεται στην υπηρεσία Internet που δεν λειτουργεί. Για να μάθετε τον τρόπο ανοίγματος των θυρών, ανατρέξτε στην τεκμηρίωση που συνοδεύει το τείχος προστασίας. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
      308127
      (http://support.microsoft.com/kb/308127/EL/ )
      Τρόπος μη αυτόματου ανοίγματος θυρών σε ένα τείχος προστασίας σύνδεσης στο Internet στα Windows XP
    • Σε ορισμένες περιπτώσεις, μπορείτε να χρησιμοποιήσετε την ακόλουθη διαδικασία για να ενεργοποιήσετε τη δυνατότητα "Τείχος προστασίας σύνδεσης στο Internet" (Internet Connection Firewall - ICF) για μια σύνδεση που δεν εμφανίζεται στο φάκελο "Συνδέσεις δικτύου" (Network Connections). Εάν αυτά τα βήματα δεν έχουν αποτέλεσμα, επικοινωνήστε με την υπηρεσία παροχής Internet (ISP) για πληροφορίες σχετικά με την προστασία της σύνδεσης Internet.
      • Ξεκινήστε τον Internet Explorer.
      • Από το μενού Εργαλεία (Tools), κάντε κλικ στην εντολή Επιλογές Internet (Internet Options).
      • Κάντε κλικ στην καρτέλα Συνδέσεις (Connections), έπειτα κάντε κλικ στη σύνδεση μέσω τηλεφώνου που χρησιμοποιείτε για να συνδεθείτε στο Internet και κατόπιν κάντε κλικ στην επιλογή Ρυθμίσεις (Settings).
      • Στην περιοχή Ρυθμίσεις της σύνδεσης μέσω τηλεφώνου (Dial-up settings), κάντε κλικ στην επιλογή "Ιδιότητες" (Properties).
      • Κάντε κλικ στην καρτέλα Για προχωρημένους (Advanced) και κατόπιν κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Προφύλαξη του υπολογιστή και του δικτύου μου με περιορισμό ή απαγόρευση πρόσβασης σε αυτόν τον υπολογιστή από το Internet (Protect my computer and network by limiting or preventing access to this computer from the Internet).
    Για πρόσθετες πληροφορίες σχετικά με τον τρόπο ενεργοποίησης της δυνατότητας "Τείχος προστασίας σύνδεσης στο Internet" (Internet Connection Firewall) στα Windows XP ή στον Windows Server 2003, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    283673
    (http://support.microsoft.com/kb/283673/EL/ )
    ΔΙΑΔΙΚΑΣΙΕΣ: Ενεργοποίηση ή απενεργοποίηση της δυνατότητας "Τείχος προστασίας σύνδεσης στο Internet" (Internet Connection Firewall) στα Windows XP
    Σημείωση Η δυνατότητα "Τείχος προστασίας σύνδεσης στο Internet" (Internet Connection Firewall - ICF) είναι διαθέσιμη μόνο για τα Windows XP, τον Windows Server 2003, Standard Edition και τον Windows Server 2003, Enterprise Edition. Το βασικό τείχος προστασίας (Basic Firewall) είναι ένα στοιχείο της δυνατότητας "Δρομολόγηση και απομακρυσμένη πρόσβαση" (Routing and Remote Access), την οποία μπορείτε να ενεργοποιήσετε για οποιαδήποτε δημόσια διασύνδεση σε κάποιον υπολογιστή που εκτελεί τη δυνατότητα "Δρομολόγηση και απομακρυσμένη πρόσβαση" (Routing and Remote Access) και είναι μέλος της οικογένειας προϊόντων του Windows Server 2003.
  2. Εντοπίστε και κατόπιν διαγράψτε το εξής κλειδί μητρώου, αν υπάρχει:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    • Κάντε κλικ στο μενού Έναρξη (Start), κατόπιν στην επιλογή Εκτέλεση (Run), πληκτρολογήστε regedit και, τέλος, κάντε κλικ στο κουμπί OK.
    • Εντοπίστε το ακόλουθο κλειδί μητρώου:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    • Κάντε δεξιό κλικ στο κλειδί
      KB823980
       και, στη συνέχεια, κάντε κλικ στην εντολή Διαγραφή (Delete).
  3. Κάντε λήψη και εγκατάσταση και των δύο ενημερωμένων εκδόσεων κώδικα ασφαλείας 824146 και 815021 σε όλους τους υπολογιστές σας για να αντιμετωπίσετε το θέμα ευπάθειας που προσδιορίζεται στα Ενημερωτικά δελτία ασφαλείας MS03-039, MS03-026 και MS03-007 της Microsoft. Για πρόσθετες πληροφορίες σχετικά με την ενημερωμένη έκδοση κώδικα ασφαλείας 824146 και τυχόν προαπαιτούμενων (όπως κάποιο Service Pack για την έκδοση των Windows που χρησιμοποιείτε), κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    824146
    (http://support.microsoft.com/kb/824146/EL/ )
    Η υπέρβαση buffer στο RPCSS μπορεί να επιτρέψει την εκτέλεση κακόβουλων προγραμμάτων από έναν εισβολέα
    Για πρόσθετες πληροφορίες σχετικά με την ενημερωμένη έκδοση κώδικα ασφαλείας 823980 και τυχόν προαπαιτούμενων (όπως κάποιο Service Pack για την έκδοση των Windows που χρησιμοποιείτε), κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    823980
    (http://support.microsoft.com/kb/823980/EL/ )
    MS03-026: Η υπέρβαση buffer στη διασύνδεση RPC ενδέχεται να επιτρέψει την εκτέλεση κώδικα
    Για πρόσθετες πληροφορίες σχετικά με την ενημερωμένη έκδοση κώδικα ασφαλείας 815021 και τυχόν προαπαιτούμενων (όπως κάποιο Service Pack για την έκδοση των Windows που χρησιμοποιείτε), κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    815021
    (http://support.microsoft.com/kb/815021/EL/ )
    MS03-007: Ένα μη επιλεγμένο Buffer σε στοιχείο των Windows ενδέχεται να προκαλέσει παραβίαση του διακομιστή Web
  4. Εγκαταστήστε ή ενημερώστε το λογισμικό υπογραφής αντιμετώπισης ιών και, στη συνέχεια, εκτελέστε μια πλήρη σάρωση του συστήματος.
  5. Κάντε λήψη και στη συνέχεια εκτελέστε το εργαλείο κατάργησης του ιού τύπου worm από τον προμηθευτή λογισμικού αντιμετώπισης ιών.

Επαναφορά για τα Windows 2000 και τα Windows NT 4.0

Η δυνατότητα "Τείχος προστασίας σύνδεσης στο Internet" (Internet Connection Firewall) δεν είναι διαθέσιμη στα Windows 2000 ή στα Windows NT 4.0. Εάν ο Microsoft Internet Security and Acceleration (ISA) Server 2000 ή ένα τείχος προστασίας άλλου κατασκευαστή δεν είναι διαθέσιμα για να αποκλείσουν τις θύρες TCP 135, 139, 445 και 593, τις θύρες UDP 69 (TFTP), 135, 137 και 138 και τη θύρα TCP 80, ακολουθήστε τα εξής βήματα για να διευκολύνετε τον αποκλεισμό των θυρών που επηρεάζονται για τις συνδέσεις τοπικού δικτύου (LAN). Τα φίλτρα πρωτοκόλλου TCP/IP δεν είναι διαθέσιμα για τις συνδέσεις μέσω τηλεφώνου. Εάν χρησιμοποιείτε μία σύνδεση μέσω τηλεφώνου για να συνδεθείτε στο Internet, θα πρέπει να ενεργοποιήσετε ένα τείχος προστασίας.
  1. Ρύθμιση παραμέτρων ασφαλείας TCP/IP. Για να εκτελέσετε αυτήν την ενέργεια, χρησιμοποιήστε τη διαδικασία που ταιριάζει στο λειτουργικό σας σύστημα.

    Windows 2000
    • Στον Πίνακα Ελέγχου (Control Panel), κάντε διπλό κλικ στο εικονίδιο Συνδέσεις Δικτύου και Δικτύου μέσω Τηλεφώνου (Network and Dial-Up Connections).
    • Κάντε δεξιό κλικ στη διασύνδεση που χρησιμοποιείτε για να αποκτήσετε πρόσβαση στο Internet και επιλέξτε την εντολή Ιδιότητες (Properties).
    • Στο πλαίσιο Επιλεγμένα στοιχεία που χρησιμοποιούνται από αυτήν τη σύνδεση (Components checked are used by this connection), κάντε κλικ στο στοιχείο Πρωτόκολλο Internet (TCP/IP) (Internet Protocol (TCP/IP)) και κατόπιν κάντε κλικ στο κουμπί Ιδιότητες (Properties).
    • Στο παράθυρο διαλόγου Ιδιότητες: Πρωτόκολλο Internet (TCP/IP) (Internet Protocol (TCP/IP) Properties), κάντε κλικ στο κουμπί Για προχωρημένους (Advanced).
    • Κάντε κλικ στην καρτέλα Επιλογές (Options).
    • Επιλέξτε το στοιχείο Φίλτρα πρωτοκόλλου TCP/IP (TCP/IP filtering) και κάντε κλικ στο κουμπί Ιδιότητες (Properties).
    • Επιλέξτε το πλαίσιο ελέγχου Ενεργοποίηση φίλτρων TCP/IP (Όλοι οι προσαρμογείς) (Enable TCP/IP Filtering (All adapters)).
    • Υπάρχουν τρεις στήλες με τις εξής ετικέτες:
      • Θύρες TCP (TCP Ports)
      • Θύρες UDP (UDP Ports)
      • Πρωτόκολλα IP (IP Protocols)
      Σε κάθε στήλη, κάντε κλικ στην επιλογή Επιτρέπονται μόνο (Permit Only).

      Για πρόσθετες πληροφορίες σχετικά με τις θύρες που πρέπει να είναι ανοικτές για τομείς και σχέσεις αξιοπιστίας, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
      179442
      (http://support.microsoft.com/kb/179442/EL/ )
      Τρόπος ρύθμισης παραμέτρων τείχους προστασίας για τομείς και σχέσεις αξιοπιστίας
    • Κάντε κλικ στο κουμπί ΟΚ.

      Σημειώσεις
      • Εάν τερματίζεται η λειτουργία του υπολογιστή σας ή γίνεται συνεχώς επανεκκίνηση του υπολογιστή όταν προσπαθείτε να ακολουθήσετε αυτά τα βήματα, αποσυνδεθείτε από το Internet πριν να ενεργοποιήσετε το τείχος προστασίας. Εάν συνδέεστε με το Internet μέσω σύνδεσης ευρείας ζώνης, εντοπίστε το καλώδιο το οποίο ξεκινά από το εξωτερικό DSL ή το καλωδιακό μόντεμ και στη συνέχεια αποσυνδέστε το, είτε από το μόντεμ είτε από το βύσμα του τηλεφώνου. Εάν χρησιμοποιείτε μια σύνδεση μέσω τηλεφώνου, εντοπίστε το καλώδιο του τηλεφώνου που συνδέει το μόντεμ που βρίσκεται στο εσωτερικό του υπολογιστή σας με το βύσμα του τηλεφώνου και στη συνέχεια αποσυνδέστε το, είτε από το βύσμα του τηλεφώνου είτε από τον υπολογιστή σας.
      • Εάν μια σύνδεση στο Internet χρησιμοποιείται από περισσότερους από έναν υπολογιστές, χρησιμοποιήστε τείχος προστασίας μόνο στον υπολογιστή που συνδέεται άμεσα με το Internet. Μην χρησιμοποιήσετε τείχος προστασίας στους υπόλοιπους υπολογιστές που κάνουν κοινή χρήση της σύνδεσης στο Internet.
      • Η χρήση ενός τείχους προστασίας δεν θα πρέπει να επηρεάσει την υπηρεσία ηλεκτρονικού ταχυδρομείου ή την περιήγησή σας στο Web, μπορεί όμως να απενεργοποιήσει κάποια στοιχεία λογισμικού, υπηρεσίες ή δυνατότητες του Internet. Εάν συμβεί αυτό, ίσως χρειαστεί να ανοίξετε κάποιες θύρες στο τείχος προστασίας για να λειτουργήσει μια δυνατότητα του Internet. Για να προσδιορίσετε ποιες θύρες πρέπει να ανοίξετε, ανατρέξτε στην τεκμηρίωση που περιλαμβάνεται στην υπηρεσία Internet που δεν λειτουργεί. Για να μάθετε τον τρόπο ανοίγματος των θυρών, ανατρέξτε στην τεκμηρίωση που συνοδεύει το τείχος προστασίας.
      • Τα βήματα αυτά βασίζονται σε ένα τροποποιημένο απόσπασμα από το άρθρο 309798 της Γνωσιακής Βάσης της Microsoft (Knowledge Base). Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        309798
        (http://support.microsoft.com/kb/309798/EL/ )
        Τρόπος ρύθμισης παραμέτρων φιλτραρίσματος TCP/IP στον Small Business Server 2003
    Windows NT 4.0
    • Στο Control Panel, κάντε διπλό κλικ στο εικονίδιο Network.
    • Κάντε κλικ στην καρτέλα Protocol, κάντε κλικ στην επιλογή TCP/IP Protocol και στη συνέχεια κάντε κλικ στο κουμπί Properties.
    • Κάντε κλικ στην καρτέλα IP Address και κατόπιν κάντε κλικ στο κουμπί Advanced.
    • Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Enable Security και κατόπιν κάντε κλικ στην επιλογή Configure.
    • Στη στήλη TCP Ports, τη στήλη UDP Ports και τη στήλη IP Protocols, κάντε κλικ για να επιλέξετε τη ρύθμιση Permit only.
    • Κάντε κλικ στο κουμπί OK και στη συνέχεια κλείστε το εργαλείο Network.
  2. Κάντε λήψη και εγκατάσταση και των δύο ενημερωμένων εκδόσεων κώδικα ασφαλείας 824146 και 815021 σε όλους τους υπολογιστές σας για να αντιμετωπίσετε το θέμα ευπάθειας που προσδιορίζεται στα Ενημερωτικά δελτία ασφαλείας MS03-039, MS03-026 και MS03-007 της Microsoft. Η ενημερωμένη έκδοση κώδικα ασφαλείας 824146 αντικαθιστά την ενημερωμένη έκδοση κώδικα ασφαλείας 823980. Η Microsoft συνιστά να εγκαταστήσετε την ενημερωμένη έκδοση κώδικα ασφαλείας 824146. Αυτή η ενημερωμένη έκδοση κώδικα ασφαλείας περιλαμβάνει επίσης ενημερώσεις κώδικα για τα ζητήματα τα οποία αντιμετωπίζονται στο Ενημερωτικό δελτίο ασφαλείας MS03-026 (823980) της Microsoft. Για πρόσθετες πληροφορίες σχετικά με την ενημερωμένη έκδοση κώδικα ασφαλείας 824146, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    824146
    (http://support.microsoft.com/kb/824146/EL/ )
    Η υπέρβαση buffer στο RPCSS μπορεί να επιτρέψει την εκτέλεση κακόβουλων προγραμμάτων από έναν εισβολέα
    Για πρόσθετες πληροφορίες σχετικά με την ενημερωμένη έκδοση κώδικα ασφαλείας 823980 και τυχόν προαπαιτούμενων (όπως κάποιο Service Pack για την έκδοση των Windows που χρησιμοποιείτε), κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    823980
    (http://support.microsoft.com/kb/823980/EL/ )
    MS03-026: Η υπέρβαση buffer στη διασύνδεση RPC ενδέχεται να επιτρέψει την εκτέλεση κώδικα
    Για πρόσθετες πληροφορίες σχετικά με την ενημερωμένη έκδοση κώδικα ασφαλείας 815021 και τυχόν προαπαιτούμενων (όπως κάποιο Service Pack για την έκδοση των Windows που χρησιμοποιείτε), κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    815021
    (http://support.microsoft.com/kb/815021/EL/ )
    MS03-007: Ένα μη επιλεγμένο Buffer σε στοιχείο των Windows ενδέχεται να προκαλέσει παραβίαση του διακομιστή Web
  3. Εγκαταστήστε ή ενημερώστε το λογισμικό υπογραφής αντιμετώπισης ιών και, στη συνέχεια, εκτελέστε μια πλήρη σάρωση του συστήματος.
  4. Κάντε λήψη και στη συνέχεια εκτελέστε το εργαλείο κατάργησης του ιού τύπου worm από τον προμηθευτή λογισμικού αντιμετώπισης ιών.
    Network Associates
    http://vil.nai.com/vil/content/v_100559.htm
    (http://vil.nai.com/vil/content/v_100559.htm)


    Trend Micro
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D
    (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D)


    Symantec
    http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
    (http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html)
    Για περισσότερες πληροφορίες σχετικά με το πρόγραμμα Virus Information Alliance (VIA), επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
    http://www.microsoft.com/technet/security/alerts/info/via.mspx
    (http://www.microsoft.com/technet/security/alerts/info/via.mspx)
Επιστροφή στην αρχή | Αποστολή σχολίων

Ιδιότητες

Αναγν. άρθρου: 826234 - Τελευταία αναθεώρηση: Τετάρτη, 31 Ιανουαρίου 2007 - Αναθεώρηση: 5.7
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server, Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Λέξεις-κλειδιά: 
KB826234
Επιστροφή στην αρχή | Αποστολή σχολίων

Αποστολή σχολίων

 
Επιστροφή στην αρχήΕπιστροφή στην αρχή