Virusvarsel om Nachi-ormen

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 826234 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

18. august 2003 utstedet Microsoft Kundestøtters sikkerhetsgruppe et varsel for å informere kundene om en ny orm. En orm er en type datavirus som vanligvis sprer seg uten at brukerne gjør noe, og som distribuerer fullstendige kopier (kanskje endrede kopier) av seg selv på tvers av nettverk (for eksempel Internett). Denne nye ormen kalles "Nachi", og den utnytter sikkerhetsproblemene som ble tatt opp i Microsofts sikkerhetsbulletin MS03-026 (823980) og MS03-007 (815021), til å spre seg over nettverk ved hjelp av RPC-porter (Remote Procedure Call) eller WebDav-protokollen (World Wide Web Distributed Authoring and Versioning) som støttes av Internet Information Server (IIS) 5.0.

Denne artikkelen inneholder informasjon for nettverksadministratorer og IT-yrkesutøvere om hvordan de skal forhindre og gjenopprette fra en infeksjon fra Nachi-ormen. Nachi-ormen kalles også W32/Nachi.worm (Network Associates), Lovsan.D (F-Secure), WORM_MSBLAST.D (Trend Micro) og W32.Welchia.Worm (Symantec).

Datamaskiner som kjører noen av produktene som er oppført i starten av denne artikkelen, er sårbare hvis sikkerhetsoppdatering 823980 (MS03-026) og 815021 (MS03-007) ikke ble installert før 18. august 2003 (datoen denne ormen ble oppdaget).

Obs!  Det er ikke blitt bekreftet at gjeldende versjoner av denne ormen har infisert datamaskiner som kjører Windows Server 2003 eller Windows NT 4.0.

Hvis du vil ha mer informasjon om hvordan du gjenoppretter fra denne ormen, kontakter du leverandøren av antivirusprogrammet ditt. Hvis du vil ha mer informasjon om leverandører av antivirusprogrammer, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
49500 Liste over leverandører av antivirusprogrammer
Hvis du vil ha mer informasjon om sikkerhetsoppdatering 823980 (MS03-026) og 815021 (MS03-007), klikker du følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base:
823980 MS03-026: Bufferoverkjøring i RPC kan tillate at kode kjøres
815021 MS03-007: Ikke kontrollert buffer i Windows-komponent kan forårsake webserverskade

Mer informasjon

Symptomer på infisering

Hvis datamaskinen er infisert med denne ormen, kan du oppleve de samme symptomene som er dokumentert i Microsoft Knowledge Base-artikkel 826955 for Blaster-ormen og variantene av den. Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
826955 Virusvarsel om Blaster-ormen og variantene av den
I tillegg kan det hende at filen Dllhost.exe eller Svchost.exe finnes i mappen %windir%\System32\Wins.

Obs!  Dllhost.exe eller Svchost.exe er gyldige Windows-filer, men de befinner seg i mappen %windir%\System32, og ikke i mappen %windir%\System32\Wins. I tillegg er filen Svchost.exe, som denne ormen kopierer til mappen %windir%\System32\Wins, en kopi av Windows-filen Tftpd.exe. Filen Dllhost.exe, som denne ormen kopierer til mappen %windir%\System32\Wins, er en kopi av viruset. Virusversjonen av filen har vanligvis en filstørrelse over 10 000 byte. Den gyldige Windows-filen Dllhost.exe har en filstørrelse på 5 632 byte (Windows Server 2003), 4 608 byte (Windows XP) eller 5 904 byte (Windows 2000).

Tekniske detaljer

På samme måte som Blaster-ormen og variantene av den utnytter også denne ormen sikkerhetsproblemet som tas opp i Microsofts sikkerhetsbulletin MS03-026. Ormen instruerer måldatamaskinene om å laste ned en kopi av ormen fra et infisert system ved hjelp av TFTP-programmet.

I tillegg til å utnytte RPC-sikkerhetsproblemet som tas opp i Microsofts sikkerhetsbulletin MS03-026, sprer denne ormen også seg selv ved hjelp av det tidligere drøftede sikkerhetsproblemet i Microsofts sikkerhetsbulletin MS03-007. Denne utnyttelsen rettes mot IIS 5.0 via port 80.

Når infeksjonen er et faktum, installerer denne ormen feilaktig sikkerhetsoppdatering 823980 (MS03-026) på infiserte datamaskiner ved å først finne operativsystemet og deretter laste ned den tilhørende sikkerhetsoppdateringen for dette operativsystemet. Den feilaktige installasjonen av disse filene og registerinnstillingene som er knyttet til sikkerhetsoppdateringen 823980 (MS03-026), kan gjøre infiserte datamaskiner sårbare for probleme som er dokumentert i Microsofts sikkerhetsbulletin MS03-026, og kan skape problemer når du prøver å installere Microsoft-versjonen av sikkerhetsoppdateringen 823980 (MS03-026). Følgende symptomer kan indikere at sikkerhetsoppdateringen 823980 (MS03-026) ble installert av Nachi-ormen:
  • Det finnes ingen oppføring for sikkerhetsoppdateringen 823980 (MS03-026) i verktøyet Legg til eller fjern programmer. Windows XP Hotfix - KB823980 vises for eksempel ikke i listen Legg til eller fjern programmer. Dette problemet vedvarer også etter at du har installert Microsoft-versjonen av sikkerhetsoppdateringen 823980 (MS03-026). Dette problemet oppstår fordi ormen installerer sikkerhetsoppdateringen 823980 (MS03-026) i modusen "ingen arkiv". En administrator kan installere sikkerhetsoppdateringen 823980 (MS03-026) i modusen "ingen arkiv" ved å bruke /n-bryteren.
  • Følgende oppføring vises i systemhendelsesloggen:

    Kilde: NtServicePack
    Kategori: Ingen
    Hendelses-ID: 4359
    Bruker: NT AUTHORITY\SYSTEM
    Beskrivelse: Operativsystem Hotfix KB823980 ble installert.

    Obs! Hvis du vil sortere systemhendelsesloggen etter Kilde, klikker du kolonneoverskriften Kilde i hendelseslisten.

Forebygging

Hvis du vil hindre at dette viruset infiserer datamaskinen, gjør du følgende:
  1. Aktiver funksjonen for brannmur for Internett-tilkobling i Windows XP, Windows Server 2003, Standard Edition og Windows Server 2003, Enterprise Edition, eller bruk grunnleggende brannmur, Microsoft Internet Security and Acceleration (ISA) Server 2000 eller en brannmur fra tredjepart til å blokkere TCP-port 135, 139, 445 og 593, UDP-port 69 (TFTP), 135, 137 og 138 samt TCP-port 80.

    Slik aktiverer du brannmuren for Internett-tilkobling i Windows XP eller Windows Server 2003:
    1. Klikk Start, og klikk deretter Kontrollpanel.
    2. Dobbeltklikk Nettverks- og Internett-tilkoblinger i Kontrollpanel, og klikk deretter Nettverkstilkoblinger.
    3. Høyreklikk tilkoblingen der du vil aktivere brannmuren for Internett-tilkobling, og klikk deretter Egenskaper.
    4. Klikk Avansert-kategorien, og merk deretter av for Beskytt datamaskinen og nettverket ved å begrense eller hindre tilgang til denne maskinen fra Internett.
    Obs!  Det kan hende at enkelte eksterne tilkoblinger ikke vises i Nettverkstilkobling-mappene. Det kan for eksempel hende at eksterne AOL- og MSN-tilkoblinger ikke vises. I noen tilfeller kan du følge fremgangsmåten nedenfor til å aktivere brannmuren for Internett-tilkobling for en tilkobling som ikke vises i Nettverkstilkobling-mappen. Hvis disse trinnene ikke fungerer, kontakter du Internett-leverandøren for å få informasjon om hvordan du aktiverer brannmur for Internett-tilkoblingen.
    1. Start Internet Explorer.
    2. Klikk Alternativer for InternettVerktøy-menyen.
    3. Klikk Tilkoblinger-kategorien, klikk den eksterne tilkoblingen du bruker til å koble til Internett, og klikk deretter Innstillinger.
    4. Klikk Egenskaper under Oppringingsinnstillinger.
    5. Klikk Avansert-kategorien, og merk deretter av for Beskytt datamaskinen og nettverket ved å begrense eller hindre tilgang til denne maskinen fra Internett.
    Hvis du vil ha mer informasjon om hvordan du aktiverer Brannmur for Internett-tilkobling i Windows XP eller Windows Server 2003, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    283673 SLIK: aktiverer eller deaktiverer du brannmur for Internett-tilkobling i Windows XP
    Obs!  Brannmur for Internett-tilkobling er bare tilgjengelig i Windows XP, Windows Server 2003, Standard Edition og Windows Server 2003, Enterprise Edition. Grunnleggende brannmur er en komponent for ruting og ekstern pålogging som du kan aktivere for alle felles grensesnitt på en datamaskin som kjører både ruting og ekstern pålogging, og som er medlem av Windows Server 2003-serien.
  2. Denne ormen bruker to tidligere annonserte sikkerhetsproblemer som en del av infiseringsmetoden. På grunn av dette må du passe på at du har installert sikkerhetsoppdatering 823980 og 815021 på alle datamaskiner for å løse sikkerhetsproblemet som er identifisert i sikkerhetsbulletin MS03-026 og MS03-007 fra Microsoft. Sikkerhetsoppdateringen 824146 erstatter sikkerhetsoppdateringen 823980. Microsoft anbefaler at du installerer sikkerhetsoppdateringen 824146. Denne oppdateringen inneholder også hurtigreparasjonene for problemene som er drøftet i Microsofts sikkerhetsbulletin MS03-026 (823980). Hvis du vil ha mer informasjon om sikkerhetsoppdatering 824146, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    824146 Bufferoverløp i RPCSS kan gi en angriper tilgang til å kjøre ondsinnede programmer
    Hvis du vil ha mer informasjon om sikkerhetsoppdatering 823980 og eventuelle forutsetninger (for eksempel en oppdateringspakke for din versjon av Windows), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    823980 MS03-026: Bufferoverkjøring i RPC-grensesnittet kan tillate at kode kjøres
    Hvis du vil ha mer informasjon om sikkerhetsoppdatering 815021 og eventuelle forutsetninger (for eksempel en oppdateringspakke for din versjon av Windows), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    815021 MS03-007: Ikke kontrollert buffer i Windows-komponent kan forårsake webserverskade
  3. Bruk den siste antivirussignaturen fra leverandøren av antivirusprogrammet du bruker, til å finne nye virus og varianter av disse.

Gjenoppretting

Gode fremgangsmåter for sikkerhet innebærer at du utfører en fullstendig "ren" installasjon på en tidligere usikret datamaskin for å fjerne eventuelle uoppdagede utnyttelser som kan føre til fremtidige skader. Hvis du vil ha mer informasjon, går du til følgende rådgivende webområde for CERT Coordination Center (CERT/CC):
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
Mange antivirus-selskaper har imidlertid laget verktøy som fjerner den kjente utnyttelsen som er tilknyttet denne bestemte ormen. Hvis du vil laste ned verktøyet for fjerning fra leverandøren av antivirus-programmet, bruker du én av fremgangsmåtene nedenfor, avhengig av hvilket operativsystem du bruker

Gjenoppretting for Windows XP, Windows Server 2003, Standard Edition og Windows Server 2003, Enterprise Edition

  1. Aktiver funksjonen Brannmur for Internett-tilkobling i Windows XP, Windows Server 2003, Standard Edition og Windows Server 2003, Enterprise Edition, eller bruk grunnleggende brannmur, Microsoft Internet Security and Acceleration (ISA) Server 2000, eller en brannmur fra tredjepart.

    Følg disse trinnene for å aktivere brannmuren for Internett-tilkobling:
    1. Klikk Start, og klikk deretter Kontrollpanel.
    2. Dobbeltklikk Nettverks- og Internett-tilkoblinger i Kontrollpanel, og klikk deretter Nettverkstilkoblinger.
    3. Høyreklikk tilkoblingen der du vil aktivere brannmuren for Internett-tilkobling, og klikk deretter Egenskaper.
    4. Klikk Avansert-kategorien, og merk deretter av for Beskytt datamaskinen og nettverket ved å begrense eller hindre tilgang til denne maskinen fra Internett.
    Obs! 
    • Hvis datamaskinen blir slått av eller starter på nytt flere ganger når du prøver å utføre disse trinnene, kobler du fra Internett før du aktiverer brannmuren. Hvis du kobler til Internett via en bredbåndstilkobling, finner du ledningen som går fra det eksterne DSL- eller kabelmodemet, og tar ledningen ut av modemet eller telefonkontakten. Hvis du bruker en ekstern tilkobling, finner du telefonledningen som går fra modemet inne i datamaskinen til telefonkontakten, og tar ut ledningen fra telefonkontakten eller datamaskinen. Hvis du ikke kan koble fra Internett, bruker du følgende kommando for å konfigurere RPCSS til ikke å starte datamaskinen på nytt når tjenesten mislykkes:
      sc failure rpcss reset= 0 actions= restart
      Hvis du vil tilbakestille RPCSS til standardinnstilling for gjenoppretting etter at du har fullført disse trinnene, bruker du følgende kommando:
      sc failure rpcss reset= 0 actions= reboot/60000
    • Hvis du har flere datamaskiner som deler en Internett-tilkobling, bruker du bare en brannmur på datamaskinen som er koblet direkte til Internett. Ikke bruk en brannmur på de andre datamaskinene som deler Internett-tilkoblingen. Hvis du kjører Windows XP, bruker du veiviseren for nettverksinstallasjon til å aktivere brannmuren for Internett-tilkobling.
    • Bruk av en brannmur skal ikke ha noen innvirkning på e-posttjenesten eller websøking, men en brannmur kan deaktivere en del Internett-programmer, -tjenester eller -funksjoner. Hvis dette skjer, må du kanskje åpne noen porter i brannmuren for at noen Internett-funksjoner skal fungere. Se dokumentasjonen som følger med Internett-tjenesten som ikke fungerer, for å finne ut hvilke porter du må åpne. Se dokumentasjonen som følger med brannmuren, for å finne ut hvordan du åpner disse portene. Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
      308127 Slik åpner du manuelt porter i brannmuren for Internett-tilkobling i Windows XP (denne artikkelen kan være på engelsk)
    • I noen tilfeller kan du følge fremgangsmåten nedenfor til å aktivere brannmuren for Internett-tilkobling for en tilkobling som ikke vises i Nettverkstilkobling-mappen. Hvis disse trinnene ikke fungerer, kontakter du Internett-leverandøren for å få informasjon om hvordan du aktiverer brannmur for Internett-tilkoblingen.
      1. Start Internet Explorer.
      2. Klikk Alternativer for InternettVerktøy-menyen.
      3. Klikk Tilkoblinger-kategorien, klikk den eksterne tilkoblingen du bruker til å koble til Internett, og klikk deretter Innstillinger.
      4. Klikk Egenskaper under Oppringingsinnstillinger.
      5. Klikk Avansert-kategorien, og merk deretter av for Beskytt datamaskinen og nettverket ved å begrense eller hindre tilgang til denne maskinen fra Internett.
    Hvis du vil ha mer informasjon om hvordan du aktiverer brannmuren for Internett-tilkobling i Windows XP eller Windows Server 2003, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    283673 SLIK: aktiverer eller deaktiverer du brannmur for Internett-tilkobling i Windows XP
    Obs!  Brannmur for Internett-tilkobling er bare tilgjengelig i Windows XP, Windows Server 2003, Standard Edition og Windows Server 2003, Enterprise Edition. Grunnleggende brannmur er en komponent for ruting og ekstern pålogging som du kan aktivere for alle felles grensesnitt på en datamaskin som kjører ruting og ekstern pålogging, og som er medlem av Windows Server 2003-serien.
  2. Finn og slett følgende registernøkkel hvis den finnes:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    Når du skal gjøre dette, bruker du følgende fremgangsmåte:
    1. Klikk Start, Kjør, skriv inn regedit, og klikk deretter OK.
    2. Finn følgende registernøkkel:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    3. Høyreklikk nøkkelen
      KB823980
      , og klikk deretter Slett.
  3. Last ned og installer sikkerhetsoppdatering 824146 og 815021 på alle datamaskiner for å korrigere sikkerhetsproblemet som er identifisert i Microsofts sikkerhetsbulletin MS03-039, MS03-026 og MS03-007. Hvis du vil ha mer informasjon om sikkerhetsoppdatering 824146 og eventuelle forutsetninger (for eksempel en oppdateringspakke for din versjon av Windows), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    824146 Bufferoverløp i RPCSS kan gi en angriper tilgang til å kjøre ondsinnede programmer
    Hvis du vil ha mer informasjon om sikkerhetsoppdatering 823980 og eventuelle forutsetninger (for eksempel en oppdateringspakke for din versjon av Windows), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    823980 MS03-026: Bufferoverkjøring i RPC-grensesnittet kan tillate at kode kjøres
    Hvis du vil ha mer informasjon om sikkerhetsoppdatering 815021 og eventuelle forutsetninger (for eksempel en oppdateringspakke for din versjon av Windows), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    815021 MS03-007: Ikke kontrollert buffer i Windows-komponent kan forårsake webserverskade
  4. Installer eller oppdater antivirusprogramsignaturen, og kjør deretter en fullstendig systemskanning.
  5. Last ned og kjør deretter verktøyet for fjerning av ormen fra leverandøren av antivirus-programmet du bruker.

Gjenoppretting for Windows 2000 og Windows NT 4.0

Funksjonen Brannmur for Internett-tilkobling er ikke tilgjengelig i Windows 2000 eller Windows NT 4.0. Hvis Microsoft Internet Security and Acceleration (ISA) Server 2000 eller en brannmur fra tredjepart ikke er tilgjengelig for blokkering av TCP-port 135, 139, 445 og 593, UDP-port 69 (TFTP), 135, 137 og 138 og TCP-port 80, følger du disse trinnene for å hjelpe med å blokkere de aktuelle portene for LAN-tilkoblinger. TCP/IP-filtrering er ikke tilgjengelig for eksterne tilkoblinger. Hvis du bruker en ekstern tilkobling for å koble til Internett, bør du aktivere en brannmur.
  1. Konfigurer TCP/IP-sikkerhet. Bruk den fremgangsmåten som er riktig for ditt operativsystem.

    Windows 2000
    1. Dobbeltklikk Nettverk og eksterne tilkoblinger i Kontrollpanel.
    2. Høyreklikk grensesnittet du bruker for å få tilgang til Internett, og klikk deretter Egenskaper.
    3. I boksen Merkede komponenter brukes av denne tilkoblingen klikker du Internett-protokoll (TCP/IP), og deretter klikker du Egenskaper.
    4. I dialogboksen Egenskaper for Internett-protokoll (TCP/IP) klikker du Avansert.
    5. Klikk Alternativer-kategorien.
    6. Klikk TCP/IP-filtrering og deretter Egenskaper.
    7. Merk av for Aktiver TCP/IP-filtrering (alle kort).
    8. Det er tre kolonner med følgende navn:
      • TCP-porter
      • UDP-porter
      • IP-protokoller
      I hver enkelt kolonne klikker du alternativet Tillat bare.

      Hvis du vil ha mer informasjon om portene som bør være åpne for domener og klareringer, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
      179442 Slik konfigurerer du en brannmur for domener og klareringer
    9. Klikk OK.

      Obs! 
      • Hvis datamaskinen blir slått av eller starter på nytt flere ganger når du prøver å utføre disse trinnene, kobler du fra Internett før du aktiverer brannmuren. Hvis du kobler til Internett via en bredbåndstilkobling, finner du ledningen som går fra det eksterne DSL- eller kabelmodemet, og tar ledningen ut av modemet eller telefonkontakten. Hvis du bruker en ekstern tilkobling, finner du telefonledningen som går fra modemet inne i datamaskinen til telefonkontakten, og tar ut ledningen fra telefonkontakten eller datamaskinen.
      • Hvis du har flere datamaskiner som deler en Internett-tilkobling, bruker du bare en brannmur på datamaskinen som er koblet direkte til Internett. Ikke bruk en brannmur på de andre datamaskinene som deler Internett-tilkoblingen.
      • Bruk av en brannmur skal ikke ha noen innvirkning på e-posttjenesten eller websøking, men en brannmur kan deaktivere en del Internett-programmer, -tjenester eller -funksjoner. Hvis dette skjer, må du kanskje åpne noen porter i brannmuren for at noen Internett-funksjoner skal fungere. Se dokumentasjonen som følger med Internett-tjenesten som ikke fungerer, for å finne ut hvilke porter du må åpne. Se dokumentasjonen som følger med brannmuren, for å finne ut hvordan du åpner disse portene.
      • Disse trinnene er basert på et endret utdrag av Microsoft Knowledge Base-artikkel 309798. Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        309798 Slik konfigurerer du TCP/IP-filtrering i Small Business Server 2003
    Windows NT 4.0
    1. Dobbeltklikk Nettverk i Kontrollpanel.
    2. Klikk Protokoll-kategorien, TCP/IP-protokoll og deretter Egenskaper.
    3. Klikk kategorien IP-adresse, og klikk deretter Avansert.
    4. Fjern merket for Aktiver sikkerhet, og klikk deretter Konfigurer.
    5. I kolonnene TCP-porter, UDP-porter og IP-protokoller merker du av for Tillat bare.
    6. Klikk OK, og lukk deretter nettverksverktøyet.
  2. Last ned og installer sikkerhetsoppdatering 824146 og 815021 på alle datamaskiner for å korrigere sikkerhetsproblemet som er identifisert i Microsofts sikkerhetsbulletin MS03-039, MS03-026 og MS03-007. Sikkerhetsoppdateringen 824146 erstatter sikkerhetsoppdateringen 823980. Microsoft anbefaler at du installerer sikkerhetsoppdateringen 824146. Denne oppdateringen inneholder også hurtigreparasjoner for problemene som er drøftet i Microsofts sikkerhetsbulletin MS03-026 (823980). Hvis du vil ha mer informasjon om sikkerhetsoppdatering 824146, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    824146 Bufferoverløp i RPCSS kan gi en angriper tilgang til å kjøre ondsinnede programmer
    Hvis du vil ha mer informasjon om sikkerhetsoppdatering 823980 og eventuelle forutsetninger (for eksempel en oppdateringspakke for din versjon av Windows), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    823980 MS03-026: Bufferoverkjøring i RPC-grensesnittet kan tillate at kode kjøres
    Hvis du vil ha mer informasjon om sikkerhetsoppdatering 815021 og eventuelle forutsetninger (for eksempel en oppdateringspakke for din versjon av Windows), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    815021 MS03-007: Ikke kontrollert buffer i Windows-komponent kan forårsake webserverskade
  3. Installer eller oppdater antivirusprogramsignaturen, og kjør deretter en fullstendig systemskanning.
  4. Last ned og kjør deretter verktøyet for fjerning av ormen fra leverandøren av antivirus-programmet du bruker.
    Network Associates
    http://vil.nai.com/vil/content/v_100559.htm

    Trend Micro
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

    Symantec
    http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
    Hvis du vil ha mer informasjon om VIA (Virus Information Alliance), går du til følgende Microsoft-webområde:
    http://www.microsoft.com/technet/security/alerts/info/via.mspx

Referanser

Hvis du vil ha mer informasjon, går du til følgende Microsoft-webområde:
http://www.microsoft.com/technet/security/alerts/nachi.mspx

Egenskaper

Artikkel-ID: 826234 - Forrige gjennomgang: 31. januar 2007 - Gjennomgang: 6.3
Informasjonen i denne artikkelen gjelder:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server, Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Nøkkelord: 
kbtshoot KB826234

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com