Vírusriasztás: a Nachi féreg

A cikk fordítása A cikk fordítása
Cikk azonosítója: 826234 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

2003. augusztus 18-án a Microsoft terméktámogatási szolgálatának biztonsági csapata riasztást adott ki, melyben értesítette a felhasználókat az új féregről. A féreg egy olyan típusú számítógépes vírus, amely általában felhasználói beavatkozás nélkül terjed, és önmagáról teljes (esetleg módosított) másolatokat terjeszt hálózatokon (például az interneten) keresztül. Az új féreg, melyet Nachi néven emlegetnek, az MS03-026 (823980) és MS03-007 (815021) Microsoft Security Bulletin által kijavított sérülékenységet kihasználva terjed a hálózatokon a Távoli eljáráshívás (RPC) nyitott portjai vagy az Internet Information Server (IIS) 5.0 által támogatott WebDAV (World Wide Web Distributed Authoring and Versioning) protokoll segítségével.

Ez a cikk hálózati rendszergazdák és informatikai szakemberek számára tartalmaz információkat a Nachi féreg fertőzésének megelőzéséről, illetve a már megfertőzött rendszer megtisztításáról. A Nachi féreg egyéb közhasználatú nevei: W32/Nachi.worm (Network Associates), Lovsan.D (F-Secure), WORM_MSBLAST.D (Trend Micro) és W32.Welchia.Worm (Symantec).

A cikk elején felsorolt termékek bármelyikét futtató felhasználók ki vannak téve a támadás veszélyének, ha a 823980 (MS03-026) és 815021 (MS03-007) biztonsági javításokat nem telepítették 2003. augusztus 18. előtt (a féreg felfedezésének napja).

Megjegyzés Arról nem érkezett jelentés, hogy a féreg újabb verziói Windows Server 2003 vagy Windows NT 4.0 rendszereket is megtámadtak volna.

A féreg eltávolításának módjáról érdeklődjön a víruskereső szoftver forgalmazójánál. A vírusellenőrző szoftverek gyártóiról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
49500 A víruskereső szoftverek forgalmazóinak listája
A 823980-as (MS03-039) és a 815021-es (MS03-007) biztonsági javításról további információt a Microsoft Tudásbázis következő cikkeiben talál a megfelelő cikk számára kattintva:
823980 MS03-026: Az RPC-felület puffertúlcsordulása programkód végrehajtására adhat lehetőséget
815021 MS03-007: Egy Windows-összetevő ellenőrizetlen puffere a webkiszolgálók módosítását teheti lehetővé

További információ

A fertőzés tünetei

Ha a számítógép ezzel a féreggel fertőzött, a Microsoft Tudásbázis 826955-ös számú cikkében ismertetett Blaster féreg és annak különféle variánsai által kiváltott tüneteket tapasztalhatja. További információt a Microsoft tudásbázis következő cikkében talál a cikk számára kattintva:
826955 Vírusriasztás: a Blaster féreg és variánsai
Emellett a Dllhost.exe és az Svchost.exe fájl megjelenhet a %windir%\System32\Wins mappában.

Megjegyzés A Dllhost.exe és az Svchost.exe a Windows érvényes fájljai, de a %windir%\System32 mappában, nem pedig a %windir%\System32\Wins mappában találhatók. A féreg által a %windir%\System32\Wins mappába másolt Svchost.exe fájl a Windows Tftpd.exe fájljának másolata. A féreg által a %windir%\System32\Wins mappába másolt Dllhost.exe fájl a vírus egy példánya. A fájl vírusverziójának mérete általában 10 000 bájt fölött van. A Windows érvényes Dllhost.exe fájljának mérete 5 632 bájt (Windows Server 2003), 4 608 bájt (Windows XP), vagy 5 904 bájt (Windows 2000).

Technikai adatok

A féreg a Blaster féreghez és annak változataihoz hasonló, de a MS03-026 Microsoft Security Bulletin által javított sérülékenységet is kihasználja. A féreg a célszámítógépeket arra utasítja, hogy töltsék le a féreg egy példányát egy fertőzött rendszerről a TFTP program segítségével.

Az MS03-026 Microsoft Security Bulletin által kijavított RPC-sérülékenységen kívül a féreg az MS03-007 Microsoft Security Bulletin által korábban javított sérülékenységet kihasználva is terjed. Ez az IIS 5.0 szolgáltatást támadja meg a 80-as porton keresztül.

A sikeres fertőzést követően a féreg hibásan telepíti a 823980-as számú (MS03-026) biztonsági javítást a fertőzött számítógépekre. Először megállapítja az operációs rendszer verzióját, majd letölti az ahhoz tartozó biztonsági javítást. A 823980-as számú (MS03-026) biztonsági javításhoz tartozó fájlok és rendszerleíró bejegyzések helytelen telepítése miatt a számítógépek továbbra is sebezhetőek maradhatnak a Microsoft Security Bulletin MS03-026. számú cikkében ismertetett biztonsági réssel szemben, és problémákat okozhatnak, amikor megpróbálja telepíteni a 823980-as számú (MS03-026) biztonsági javítás Microsoft verzióját. Az alábbi jelenségek arra utalhatnak, hogy a 823980-as (MS03-026) biztonsági javítást a Nachi féreg telepítette:
  • A Programok telepítése és törlése eszközben nem található a 823980-as (MS03-026) biztonsági javításhoz tartozó bejegyzés, például a Windows XP gyorsjavítás - KB823980 elem nem jelenik meg a Programok telepítése és törlése segédprogram listájában. A probléma akkor is fennmarad, ha telepíti a 823980-as (MS03-026) biztonsági javítás Microsoft verzióját. A probléma oka, hogy a féreg 823980 (MS03-026) „nem archív” módban telepíti a biztonsági javítást. A rendszergazdák az /n kapcsoló segítségével telepíthetik „nem archív” módban a 823980-as (MS03-026) javítást.
  • A rendszer eseménynaplójában a következő bejegyzés jelenik meg:

    Forrás: NtServicePack
    Kategória: Nincs
    Eseményazonosító: 4359
    Felhasználó: NT AUTHORITY\SYSTEM
    Leírás: Operációs rendszer KB823980-as gyorsjavítása telepítve.

    Megjegyzés: A rendszer eseménynaplójának forrás szerinti rendezéséhez kattintson a Forrás oszlopfejlécre.

Megelőzés

Annak megelőzése érdekében, hogy a vírus megfertőzze a számítógépet, hajtsa végre az alábbi lépéseket:
  1. Kapcsolja be az Internetkapcsolat tűzfala szolgáltatást Windows XP, Windows Server 2003, Standard Edition és Windows Server 2003, Enterprise Edition rendszerben; vagy az Egyszerű tűzfal, a Microsoft Internet Security and Acceleration (ISA) Server 2000 szolgáltatás vagy bármely külső gyártótól származó tűzfal segítségével blokkolja a 135-ös, 139-es, 445-ös és 593-as TCP-portot; a 69-es (TFTP), 135-ös, 137-es és 138-as UDP-portot; valamint a távoli parancshéj-elérésre szolgáló 80-as TCP-portot.

    Windows XP vagy Windows Server 2003 rendszereken az Internetkapcsolat tűzfala engedélyezéséhez tegye a következőket:
    1. Kattintson a Start menü Vezérlőpult parancsára.
    2. A Vezérlőpulton kattintson duplán a Hálózati és internetes kapcsolatok ikonra, majd kattintson a Hálózati kapcsolatok elemre.
    3. Kattintson jobb gombbal arra a kapcsolatra, amelynél engedélyezni kívánja az Internetes kapcsolat tűzfalát, majd kattintson a Tulajdonságok parancsra.
    4. Kattintson a Speciális fülre, majd jelölje be a Védem a számítógépet és a hálózatot, korlátozom vagy letiltom a hozzáférést az internetről négyzetet.
    Megjegyzés Előfordulhat, hogy bizonyos telefonos kapcsolatok nem jelennek meg a Hálózati kapcsolatok mappáiban. Például az AOL és MSN telefonos kapcsolatok nem biztos, hogy megjelennek. Egyes esetekben a következő lépések végrehajtásával engedélyezheti az internetkapcsolat tűzfalát az olyan kapcsolatokra, amelyek nem jelennek meg a Hálózati kapcsolatok mappában. Ha ezekkel a lépésekkel nem éri el a kívánt eredményt, érdeklődje meg az internetszolgáltatójánál, hogy miként telepíthet tűzfalat az internetkapcsolatra.
    1. Indítsa el az Internet Explorer programot.
    2. Kattintson az Eszközök menü Internetbeállítások parancsára.
    3. Kattintson a Kapcsolatok fülre, jelölje ki az internetre való csatlakozáshoz használt telefonos kapcsolatot, majd kattintson a Beállítások gombra.
    4. A Tárcsázási beállítások területen kattintson a Tulajdonságok gombra.
    5. Kattintson a Speciális fülre, majd jelölje be a Védem a számítógépet és a hálózatot, korlátozom vagy letiltom a hozzáférést az internetről jelölőnégyzetet.
    Az Internetkapcsolat tűzfala szolgáltatás Windows XP vagy Windows Server 2003 rendszerben való bekapcsolásáról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
    283673 ÚTMUTATÓ: Az Internetkapcsolat tűzfala szolgáltatás engedélyezése vagy letiltása Windows XP rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat)
    Megjegyzés: Az Internetkapcsolat tűzfala szolgáltatás csak Windows XP, Windows Server 2003, Standard Edition és Windows Server 2003, Enterprise Edition rendszerben elérhető. Az Egyszerű tűzfal az Útválasztás és távelérés összetevője, amely bármely nyilvános felülethez engedélyezhető egy olyan számítógépen, amelyen az Útválasztás és távelérés, valamint a Windows Server 2003 család egy tagja fut.
  2. A féreg által használt fertőzési módszer két korábban közzétett biztonsági résen alapul. Ezért ellenőrizze, hogy a 823980-as és a 815021-es biztonsági javítást egyaránt telepítette-e az összes számítógépre a Microsoft Security Bulletin MS03-026. és MS03-007. számú cikkeiben leírt biztonsági rések elhárítása érdekében. A 824146-as javítás kiváltja a 823980-ast. A Microsoft a 824146-as biztonsági javítás telepítését ajánlja. Ez a javítás a Microsoft Security Bulletin MS03-026 (823980) számú cikkében tárgyalt hibákat is javítja. A 824146-os számú biztonsági javításról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
    824146 MS03-039: Az RPCSS szolgáltatás puffertúlcsordulása rosszindulatú programok végrehajtására adhat lehetőséget a támadóknak
    A 8823980. számú biztonsági javításról és az esetleges előfeltételekről (például a használt Windows-verzióhoz tartozó szervizcsomag) további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
    823980 MS03-026: Az RPC-felület puffertúlcsordulása programkód végrehajtására adhat lehetőséget
    A 815021. számú biztonsági javításról és az esetleges előfeltételekről (például a használt Windows-verzióhoz tartozó szervizcsomag) további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
    815021 MS03-007: Egy Windows-összetevő ellenőrizetlen puffere a webkiszolgálók módosítását teheti lehetővé
  3. Az új vírusok és változataik észleléséhez használja mindig a víruskereső program legfrissebb adatbázisát.

Helyreállítás

A legbiztonságosabb megoldás az, ha a korábban fertőzött számítógépen tiszta rendszertelepítést végez a jövőbeli problémák elkerülése érdekében. További tudnivalókért látogasson el a CERT Coordination Center (CERT/CC) következő tanácsadó webhelyére:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
Mindazonáltal számos, víruskereső programokat gyártó cég biztosít az ezzel a féreggel kapcsolatos ismert biztonsági rés megszüntetésére szolgáló eszközöket. Ha az eltávolítóeszközt le szeretné tölteni a víruskereső szoftver gyártójától, a használt operációs rendszer függvényében hajtsa végre az alábbi eljárásokat:

Helyreállítás Windows XP, Windows Server 2003, Standard Edition és Windows Server 2003, Enterprise Edition rendszerben

  1. Kapcsolja be az Internetkapcsolat tűzfala szolgáltatást Windows XP, Windows Server 2003, Standard Edition és Windows Server 2003, Enterprise Edition rendszerben, illetve használja az Egyszerű tűzfal, a Microsoft Internet Security and Acceleration (ISA) Server 2000 szolgáltatást vagy bármely külső gyártótól származó tűzfalat.

    Az internetkapcsolat tűzfalának bekapcsolásához tegye a következőket:
    1. Kattintson a Start menü Vezérlőpult parancsára.
    2. A Vezérlőpulton kattintson duplán a Hálózati és internetes kapcsolatok ikonra, majd kattintson a Hálózati kapcsolatok elemre.
    3. Kattintson jobb gombbal arra a kapcsolatra, amelynél engedélyezni kívánja az Internetes kapcsolat tűzfalát, majd kattintson a Tulajdonságok parancsra.
    4. Kattintson a Speciális fülre, majd jelölje be a Védem a számítógépet és a hálózatot, korlátozom vagy letiltom a hozzáférést az internetről négyzetet.
    Megjegyzések
    • Ha a lépések során a számítógép visszatérően leáll vagy újraindul, bontsa az internetes kapcsolatot a tűzfal bekapcsolása előtt. Ha szélessávú kapcsolaton keresztül kapcsolódik az internetre, keresse meg a külső DSL- vagy kábelmodemhez vezető kábelt, majd húzza ki azt a modemből vagy a telefonos csatlakozóból. Telefonos kapcsolat használata esetén keresse meg a számítógép modemjét a telefonaljzattal összekötő kábelt és húzza ki akár a falból, akár a modemből. Amennyiben nem tudja megszakítani az internetkapcsolatot, a következő paranccsal adja meg, hogy az RPCSS szolgáltatás ne indítsa újra a számítógépet a szolgáltatás hibája esetén:
      sc failure rpcss reset= 0 actions= restart
      Az RPCSS alapértelmezés szerinti helyreállítási beállításának visszaállításához a lépések végrehajtása után adja ki a következő parancsot:
      sc failure rpcss reset= 0 actions= reboot/60000
    • Amennyiben több számítógépe osztozik az internetkapcsolaton, csak az internetre közvetlenül kapcsolódó gépen használjon tűzfalat. Ne használjon tűzfalat a megosztott internetkapcsolatot használó többi számítógépen. Windows XP rendszerben használja a Hálózat beállítása varázslót az internetkapcsolat tűzfalának bekapcsolásához.
    • A tűzfal használata nem befolyásolja az e-mail szolgáltatást és a webböngészést, de a tűzfal letilthat egyes internetes szoftvereket vagy szolgáltatásokat. Ebben az esetben lehet, hogy meg kell nyitnia bizonyos portokat a tűzfalon ahhoz, hogy egyes internetes szolgáltatások működjenek. A nem működő internetes szolgáltatáshoz mellékelt dokumentációban talál információt a megnyitandó portokról. A portok megnyitásához szükséges teendőket pedig a tűzfalhoz mellékelt dokumentációban találja meg. További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
      308127 Portok manuális megnyitása az Internetkapcsolat tűzfala szolgáltatásban Windows XP rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
    • Egyes esetekben a következő lépések végrehajtásával engedélyezheti az internetkapcsolat tűzfalát az olyan kapcsolatokra, amelyek nem jelennek meg a Hálózati kapcsolatok mappában. Ha ezekkel a lépésekkel nem éri el a kívánt eredményt, érdeklődje meg az internetszolgáltatójánál, hogy miként telepíthet tűzfalat az internetkapcsolatra.
      1. Indítsa el az Internet Explorer programot.
      2. Kattintson az Eszközök menü Internetbeállítások parancsára.
      3. Kattintson a Kapcsolatok fülre, kattintson a csatlakozáshoz használni kívánt telefonos kapcsolatra, majd kattintson a Beállítások elemre.
      4. A Tárcsázási beállítások területen kattintson a Tulajdonságok gombra.
      5. Kattintson a Speciális fülre, majd jelölje be a Védem a számítógépet és a hálózatot, korlátozom vagy letiltom a hozzáférést az internetről jelölőnégyzetet.
    Az Internetkapcsolat tűzfala szolgáltatás Windows XP vagy Windows Server 2003 rendszerben való bekapcsolásáról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
    283673 ÚTMUTATÓ: Az Internetkapcsolat tűzfala szolgáltatás engedélyezése vagy letiltása Windows XP rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat)
    Megjegyzés: Az Internetkapcsolat tűzfala szolgáltatás csak Windows XP, Windows Server 2003, Standard Edition és Windows Server 2003, Enterprise Edition rendszerben elérhető. Az Egyszerű tűzfal szolgáltatás az Útválasztás és távelérés szolgáltatás egy összetevője, amelyet bármely nyilvános felületre engedélyezhet olyan számítógépen, amely az Útválasztás és távelérés szolgáltatást és a Windows Server 2003 termékcsalád valamelyik operációs rendszerét futtatja.
  2. Keresse meg a rendszerleíró adatbázisban a következő kulcsot, és törölje azt:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    Ehhez hajtsa végre a következő lépéseket:
    1. Kattintson a Start gombra, majd a Futtatás parancsra, írja be a következőt: regedit, majd kattintson az OK gombra.
    2. Keresse meg a következő rendszerleíró kulcsot:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    3. Kattintson jobb gombbal a
      KB823980
      kulcsra, majd a Törlés parancsra.
  3. Töltse le és telepítse a 824146-os és a 815021-es javítást, majd telepítse azt az összes számítógépre a Microsoft Security Bulletin MS03-026. és MS03-007. számú cikkeiben leírt biztonsági rés kiküszöbölése érdekében. A 824146. számú biztonsági javításról és az esetleges előfeltételekről (például a használt Windows-verzióhoz tartozó szervizcsomag) további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
    824146 MS03-039: Az RPCSS szolgáltatás puffertúlcsordulása rosszindulatú programok végrehajtására adhat lehetőséget a támadóknak
    A 8823980. számú biztonsági javításról és az esetleges előfeltételekről (például a használt Windows-verzióhoz tartozó szervizcsomag) további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
    823980 MS03-026: Az RPC-felület puffertúlcsordulása programkód végrehajtására adhat lehetőséget
    A 815021. számú biztonsági javításról és az esetleges előfeltételekről (például a használt Windows-verzióhoz tartozó szervizcsomag) további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
    815021 MS03-007: Egy Windows-összetevő ellenőrizetlen puffere a webkiszolgálók módosítását teheti lehetővé
  4. Telepítse vagy frissítse a víruskereső szoftver vírusfelismerő adatbázisát, majd végezzen teljes rendszerellenőrzést.
  5. A víruskereső program forgalmazójától töltse le, majd futtassa a féregeltávolító eszközt.

Helyreállítás Windows 2000 és Windows NT 4.0 rendszerben

Az Internetkapcsolat tűzfala szolgáltatás nem érhető el Windows 2000 vagy Windows NT 4.0 rendszerben. Ha a Microsoft Internet Security and Acceleration (ISA) Server 2000 vagy bármely más, külső gyártótó származó tűzfal nem áll rendelkezésre a 135-ös, 139-es, 445-ös és 593-as TCP-port, a 69-es (TFTP), 135-ös, 137-es és 138-as UDP-port valamint a 80-as TCP-port blokkolására, kövesse az alábbi lépéseket a szóban forgó portok helyi hálózati (LAN) kapcsolatok esetén történő blokkolása érdekében: A TCP/IP-szűrés telefonos kapcsolatnál nem használható. Amennyiben telefonos kapcsolattal éri el az internetet, engedélyeznie kell a tűzfal használatát.
  1. Állítsa be a TCP/IP protokoll biztonságát. Ehhez kövesse az operációs rendszerének megfelelő eljárást.

    Windows 2000
    1. Kattintson duplán a Vezérlőpult Hálózati és telefonos kapcsolatok ikonjára.
    2. Kattintson jobb gombbal az interneteléréshez használt kapcsolatra, majd válassza a Tulajdonságok parancsot.
    3. Az Ez a kapcsolat a kijelölt összetevőket használja mezőben kattintson az TCP/IP protokoll elemre, majd kattintson a Tulajdonságok elemre.
    4. Az IP (TCP/IP) tulajdonságai párbeszédpanelen kattintson a Speciális fülre.
    5. Kattintson a Beállítások fülre.
    6. Kattintson a TCP/IP-szűrés elemre, majd a Tulajdonságok elemre.
    7. Jelölje be a TCP/IP-szűrés engedélyezése (minden kártya) jelölőnégyzetet.
    8. A párbeszédpanelen három oszlop látható, a következő feliratokkal:
      • TCP-portok
      • UDP-portok
      • IP-protokollok
      Válassza az oszlopokban a Csak a következő lehetőséget.

      A tartományok és a bizalmi kapcsolatok számára nyitva tartandó portokról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
      179442 Tűzfal beállítása tartományokhoz és bizalmi kapcsolatokhoz (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
    9. Kattintson az OK gombra.

      Megjegyzések
      • Ha a lépések során a számítógép visszatérően leáll vagy újraindul, bontsa az internetes kapcsolatot a tűzfal bekapcsolása előtt. Ha szélessávú kapcsolaton keresztül kapcsolódik az internetre, keresse meg a külső DSL- vagy kábelmodemhez vezető kábelt, majd húzza ki azt a modemből vagy a telefonos csatlakozóból. Ha telefonos kapcsolatot használ, keresse meg a számítógép belsejében található modemtől a telefonos csatlakozóig vezető kábelt, majd húzza ki azt a számítógépből vagy a telefonos csatlakozóból.
      • Ha több számítógép használ egy megosztott internetkapcsolatot, akkor csak a közvetlenül az internetre csatlakozó számítógépen használjon tűzfalat. Ne használjon tűzfalat a megosztott internetkapcsolatot használó többi számítógépen.
      • A tűzfal használata nem befolyásolja az e-mail szolgáltatást és a webböngészést, de a tűzfal letilthat egyes internetes szoftvereket vagy szolgáltatásokat. Ebben az esetben lehet, hogy meg kell nyitnia bizonyos portokat a tűzfalon ahhoz, hogy egyes internetes szolgáltatások működjenek. A nem működő internetes szolgáltatáshoz mellékelt dokumentációban talál információt a megnyitandó portokról. A portok megnyitásának módjáról a tűzfal dokumentációjában olvashat bővebben.
      • Ezek a lépések a Microsoft Tudásbázis 309798-as cikkének módosított kivonatából származnak. További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
        309798 A TCP/IP-szűrés konfigurálása a Small Business Server 2003 alkalmazásban
    Windows NT 4.0
    1. A Control Panel (Vezérlőpult) ablakában kattintson duplán a Network (Hálózat) ikonra.
    2. Kattintson a Protocol (Protokoll) fülre, ezután kattintson a TCP/IP Protocol (TCP/IP protokoll), majd a Properties (Tulajdonságok) elemre.
    3. Kattintson az IP Address (IP-cím) fülre, majd kattintson az Advanced (Speciális) elemre.
    4. Jelölje be az Enable Security (Biztonság engedélyezése) jelölőnégyzetet, majd kattintson a Configure (Konfigurálás) elemre.
    5. A TCP Ports (TCP portok), UDP Ports (UDP portok) és IP Protocols (IP protokollok) oszlopok mindegyikében válassza a Permit only (Csak a következő) beállítást.
    6. Kattintson az OK gombra, majd zárja be a Network eszközt.
  2. Töltse le és telepítse a 823980-as és a 815021-es biztonsági javítást egyaránt az összes számítógépre a Microsoft Security Bulletin MS03-039, MS03-026. és MS03-007. számú cikkeiben leírt biztonsági rések elhárítása érdekében. A 824146-as javítás kiváltja a 823980-ast. A Microsoft a 824146-as biztonsági javítás telepítését ajánlja. Ez a javítás a Microsoft MS03-026-os (823980) számú biztonsági közleményében tárgyalt hibákat is javítja. A 824146-os számú biztonsági javításról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
    824146 MS03-039: Az RPCSS szolgáltatás puffertúlcsordulása rosszindulatú programok végrehajtására adhat lehetőséget a támadóknak
    A 8823980. számú biztonsági javításról és az esetleges előfeltételekről (például a használt Windows-verzióhoz tartozó szervizcsomag) további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
    823980 MS03-026: Az RPC-felület puffertúlcsordulása programkód végrehajtására adhat lehetőséget
    A 815021. számú biztonsági javításról és az esetleges előfeltételekről (például a használt Windows-verzióhoz tartozó szervizcsomag) további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
    815021 MS03-007: Egy Windows-összetevő ellenőrizetlen puffere a webkiszolgálók módosítását teheti lehetővé
  3. Telepítse, illetve frissítse a víruskereső programot, majd futtasson le egy teljes rendszervizsgálatot.
  4. Töltse le a féreg eltávolítására szolgáló eszközt a víruskereső szoftver gyártójától, majd futtassa.
    Network Associates
    http://vil.nai.com/vil/content/v_100559.htm

    Trend Micro
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

    Symantec
    http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
    A Virus Information Alliance (VIA) szövetségről a Microsoft következő webhelyén tájékozódhat bővebben:
    http://www.microsoft.com/technet/security/alerts/info/via.mspx

Hivatkozások

További tudnivalókért látogasson el a Microsoft következő webhelyére:
http://www.microsoft.com/technet/security/alerts/nachi.mspx

Tulajdonságok

Cikk azonosítója: 826234 - Utolsó ellenőrzés: 2007. január 31. - Verziószám: 6.3
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server, Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Kulcsszavak: 
kbtshoot KB826234
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com