Alert wirusowy dotyczący robaka Nachi

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 826234 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

18 sierpnia 2003 roku Zespół ds. zabezpieczeń Pomocy technicznej firmy Microsoft ogłosił alert, aby poinformować klientów o nowym robaku komputerowym. Robak jest wirusem komputerowym, który zazwyczaj rozprzestrzenia się bez konieczności wykonywania akcji przez użytkownika i rozpowszechnia pełne własne kopie (niekiedy zmodyfikowane) za pośrednictwem sieci (takich jak Internet). Ten nowy robak, ogólnie określany jako „Nachi”, wykorzystuje luki w zabezpieczeniach, omówione w biuletynach Microsoft Security Bulletin MS03-026 (823980) i MS03-007 (815021), do rozprzestrzeniania się za pośrednictwem sieci przy użyciu otwartych portów zdalnego wywoływania procedur (RPC) lub protokołu WebDAV (World Wide Web Distributed Authoring and Versioning) obsługiwanego przez program Internet Information Server (IIS) 5.0.

Ten artykuł zawiera informacje przeznaczone dla administratorów sieci i specjalistów IT, dotyczące sposobów zapobiegania zainfekowaniu robakiem Nachi oraz odzyskiwania systemu w przypadku infekcji tego typu. Robak Nachi jest również zwany W32/Nachi.worm (Network Associates), Lovsan.D (F-Secure), WORM_MSBLAST.D (Trend Micro) i W32.Welchia.Worm (Symantec).

Komputery, na których jest uruchomiony którykolwiek z produktów wymienionych na początku tego artykułu, są zagrożone, jeżeli obie poprawki zabezpieczeń 823980 (MS03-026) i 815021 (MS03-007) nie zostały zainstalowane przed 18 sierpnia 2003 roku (data wykrycia tego robaka).

Uwaga: Nie potwierdzono przypadków zainfekowania komputerów, na których jest uruchomiony system Windows Server 2003 lub Windows NT 4.0, przez bieżące wersje tego robaka.

Aby uzyskać dodatkowe informacje dotyczące odzyskiwania systemu w przypadku zainfekowania tym robakiem, należy skontaktować się z dostawcą oprogramowania antywirusowego. Aby uzyskać dodatkowe informacje dotyczące dostawców oprogramowania antywirusowego, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
49500 Lista dostawców oprogramowania antywirusowego
Aby uzyskać dodatkowe informacje dotyczące poprawek zabezpieczeń 823980 (MS03-026) i 815021 (MS03-007), kliknij następujące numery artykułów w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
823980 MS03-026: Przekroczenie buforu w interfejsie RPC może umożliwiać uruchomienie kodu źródłowego
815021 MS03-007: Niesprawdzany bufor w składniku systemu Windows może być przyczyną złamania zabezpieczeń serwera sieci Web

Więcej informacji

Symptomy infekcji

Jeżeli komputer jest zainfekowany tym wirusem, mogą występować symptomy udokumentowane w artykule 826955 bazy wiedzy Microsoft Knowledge Base, dotyczącym wirusa Blaster i jego odmian. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base.
826955 Alert wirusowy dotyczący robaka Blaster i jego odmian
Ponadto plik Dllhost.exe lub plik Svchost.exe może zostać umieszczony w folderze %windir%\System32\Wins.

Uwaga: Pliki Dllhost.exe i Svchost.exe są prawidłowymi plikami systemu Windows, jednak powinny znajdować się w folderze %windir%\System32, a nie w folderze %windir%\System32\Wins. Ponadto plik Svchost.exe kopiowany przez ten wirus do folderu %windir%\System32\Wins jest kopią pliku Tftpd.exe systemu Windows. Plik Dllhost.exe kopiowany przez ten wirus do folderu %windir%\System32\Wins jest kopią wirusa. Rozmiar wersji pliku zawierającej wirus zazwyczaj jest większy niż 10 000 bajtów. Rozmiar prawidłowego pliku Dllhost.exe systemu Windows jest równy 5 632 bajtów (system Windows Server 2003), 4 608 bajtów (system Windows XP) lub 5 904 bajtów (system Windows 2000).

Szczegółowe informacje techniczne

Podobnie jak wirus Blaster i jego odmiany, ten wirus również wykorzystuje lukę w zabezpieczeniach, omówioną w biuletynie Microsoft Security Bulletin MS03-026. Komputery docelowe pobierają kopię wirusa z zainfekowanego systemu, zgodnie z instrukcjami tego wirusa, przy użyciu programu wykorzystującego protokół TFTP.

Oprócz luki w zabezpieczeniach protokołu RPC, omówionej w artykule Microsoft Security Bulletin MS03-026, ten wirus rozprzestrzenia się również, wykorzystując lukę w zabezpieczeniach omówioną w biuletynie Microsoft Security Bulletin MS03-007. W tym przypadku wykorzystywane są usługi IIS 5.0 za pośrednictwem portu 80.

Po pomyślnym zainfekowaniu wirus niepoprawnie instaluje poprawkę zabezpieczeń 823980 (MS03-026) na zainfekowanych komputerach, najpierw określając system operacyjny, a następnie pobierając skojarzoną poprawkę zabezpieczeń dla tego systemu operacyjnego. Niepoprawna instalacja plików i ustawień rejestru, które są skojarzone z poprawką zabezpieczeń 823980 (MS03-026), może spowodować, że zainfekowane komputery będą narażone na problemy udokumentowane w biuletynie Microsoft Security Bulletin MS03-026 i może być przyczyną problemów przy próbie zainstalowania poprawki zabezpieczeń 823980 (MS03-026) w wersji opracowanej przez firmę Microsoft. Następujące symptomy mogą wskazywać, że poprawka zabezpieczeń 823980 (MS03-026) została zainstalowana przez wirusa Nachi:
  • Brak wpisu odpowiadającego poprawce zabezpieczeń 823980 (MS03-026) w narzędziu Dodawanie lub usuwanie programów. Na przykład pozycja Windows XP Hotfix - KB823980 nie pojawia się na liście Dodaj lub usuń programy. Ten problem pozostaje nawet po zainstalowaniu poprawki zabezpieczeń 823980 (MS03-026) w wersji opracowanej przez firmę Microsoft. Ten problem występuje, ponieważ wirus instaluje poprawkę zabezpieczeń 823980 (MS03-026) w trybie "bez archiwizacji". Administrator może zainstalować poprawkę zabezpieczeń 823980 (MS03-026) w trybie "bez archiwizacji" przy użyciu przełącznika /n.
  • Następujący wpis pojawia się w dzienniku zdarzeń System:

    Źródło: NtServicePack
    Kategoria: Brak
    Identyfikator zdarzenia: 4359
    Użytkownik: ZARZĄDZANIE NT\SYSTEM
    Opis: System operacyjny Poprawka HotFix KB823980 została zainstalowana.

    Uwaga: Aby posortować dziennik zdarzeń System według źródła, kliknij nagłówek kolumny Źródło w Podglądzie zdarzeń.

Zapobieganie infekcji

Aby zapobiec zainfekowaniu komputera przez ten wirus, należy postępować zgodnie z następującymi krokami:
  1. Włącz Zaporę połączenia internetowego w systemie Windows XP, Windows Server 2003, Standard Edition lub Windows Server 2003, Enterprise Edition albo użyj zapory podstawowej, programu Microsoft Internet Security and Acceleration (ISA) Server 2000 lub zapory oferowanej przez innego producenta do zablokowania portów 139, 445 i 593 protokołu TCP, portów 69 (TFTP), 135, 137 i 138 protokołu UDP oraz portu 80 protokołu TCP.

    Aby włączyć Zaporę połączenia internetowego w systemie Windows XP lub w systemie Windows Server 2003, wykonaj następujące kroki:
    1. Kliknij przycisk Start, a następnie kliknij polecenie Panel sterowania.
    2. W Panelu sterowania kliknij dwukrotnie ikonę Połączenia sieciowe i internetowe, a następnie kliknij węzeł Połączenia sieciowe.
    3. Kliknij prawym przyciskiem myszy połączenie, dla którego chcesz włączyć Zaporę połączenia internetowego, a następnie kliknij polecenie Właściwości.
    4. Kliknij kartę Zaawansowane, a następnie kliknij, aby zaznaczyć pole wyboru Chroń mój komputer i moją sieć, ograniczając lub wykluczając dostęp do tego komputera z Internetu.
    Uwaga: Niektóre połączenia telefoniczne mogą nie pojawiać się w folderach Połączenie sieciowe. Na przykład połączenia telefoniczne AOL i MSN mogą się nie pojawiać. W niektórych wypadkach, postępując zgodnie z poniższą procedurą, można włączyć Zaporę połączenia internetowego dla połączenia, które nie pojawia się w folderze Połączenie sieciowe. Jeśli te kroki nie umożliwiają rozwiązania problemu, skontaktuj się z usługodawcą internetowym, aby uzyskać informacje dotyczące sposobów konfigurowania zapory dla połączenia internetowego.
    1. Uruchom program Internet Explorer.
    2. W menu Narzędzia kliknij polecenie Opcje internetowe.
    3. Kliknij kartę Połączenia, kliknij połączenie telefoniczne, którego używasz do łączenia się z Internetem, a następnie kliknij przycisk Ustawienia.
    4. W obszarze Ustawienia połączenia telefonicznego kliknij przycisk Właściwości.
    5. Kliknij kartę Zaawansowane, a następnie kliknij, aby zaznaczyć pole wyboru Chroń mój komputer i moją sieć, ograniczając lub wykluczając dostęp do tego komputera z Internetu.
    Aby uzyskać dodatkowe informacje dotyczące sposobu włączania Zapory połączenia internetowego w systemie Windows XP lub Windows Server 2003, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    283673 Jak włączyć lub wyłączyć zaporę połączenia internetowego w systemie Windows XP
    Uwaga: Zapora połączenia internetowego jest dostępna tylko w systemie Windows XP, w systemie Windows Server 2003, Standard Edition i w systemie Windows Server 2003, Enterprise Edition. Zapora podstawowa jest składnikiem Routingu i dostępu zdalnego, który można włączyć dla dowolnego interfejsu publicznego na komputerze z uruchomionym Routingiem i dostępem zdalnym, należącym do rodziny systemów Windows Server 2003.
  2. Częścią metody infekcji stosowanej przez tego robaka jest wykorzystanie dwu opisanych wcześniej luk w zabezpieczeniach. Trzeba się więc upewnić, że zainstalowano obie poprawki zabezpieczeń 823980 i 815021 na wszystkich komputerach w celu wyeliminowania luki w zabezpieczeniach opisanej w biuletynach Microsoft Security Bulletin MS03-026 i MS03-007. Poprawka zabezpieczeń 824146 zastępuje poprawkę zabezpieczeń 823980. Firma Microsoft zaleca, aby zainstalować poprawkę zabezpieczeń 824146, która zapewnia również rozwiązanie problemów opisanych w biuletynie Microsoft Security Bulletin MS03-026 (823980). Aby uzyskać dodatkowe informacje dotyczące poprawki zabezpieczeń 824146, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    824146 MS03-039: Przepełnienie buforu w usłudze RPCSS może pozwolić atakującemu na uruchamianie szkodliwych programów
    Aby uzyskać dodatkowe informacje dotyczące poprawki zabezpieczeń 823980 i wymagań wstępnych (takich jak dodatek Service Pack dla danej wersji systemu Windows), kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    823980 MS03-026: Przekroczenie buforu w interfejsie RPC może umożliwiać uruchomienie kodu źródłowego
    Aby uzyskać dodatkowe informacje dotyczące poprawki zabezpieczeń 815021 i wymagań wstępnych (takich jak dodatek Service Pack dla danej wersji systemu Windows), kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    815021 MS03-007: Niesprawdzany bufor w składniku systemu Windows może być przyczyną złamania zabezpieczeń serwera sieci Web
  3. Użyj najnowszego podpisu wirusa, uzyskanego od dostawcy oprogramowania antywirusowego, do wykrycia nowych wirusów i ich odmian.

Odzyskiwanie systemu

Zgodnie z najważniejszymi wskazówkami dotyczącymi zabezpieczeń należy wykonać pełną, czystą instalację na zainfekowanym komputerze w celu usunięcia skutków infekcji związanej z tym wirusem, które mogą prowadzić do naruszenia systemu zabezpieczeń w przyszłości. Aby uzyskać dodatkowe informacje, odwiedź następującą witrynę centrum CERT Coordination Center (CERT/CC) w sieci Web:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
Wiele firm dostarczających oprogramowanie antywirusowe oferuje narzędzia służące do usuwania skutków infekcji związanej z tym wirusem. Aby pobrać z witryny dostawcy oprogramowania antywirusowego narzędzie służące do usuwania skutków infekcji związanej z tym wirusem, należy użyć jednej z następujących procedur odpowiednich dla danego systemu operacyjnego.

Odzyskiwanie systemu Windows XP, Windows Server 2003, Standard Edition i Windows Server 2003, Enterprise Edition

  1. Włącz Zaporę połączenia internetowego w systemie Windows XP, Windows Server 2003, Standard Edition lub Windows Server 2003, Enterprise Edition albo użyj zapory podstawowej, programu Microsoft Internet Security and Acceleration (ISA) Server 2000 lub zapory oferowanej przez innego producenta.

    Aby włączyć Zaporę połączenia internetowego, wykonaj następujące kroki:
    1. Kliknij przycisk Start, a następnie kliknij polecenie Panel sterowania.
    2. W Panelu sterowania kliknij dwukrotnie ikonę Połączenia sieciowe i internetowe, a następnie kliknij węzeł Połączenia sieciowe.
    3. Kliknij prawym przyciskiem myszy połączenie, dla którego chcesz włączyć Zaporę połączenia internetowego, a następnie kliknij polecenie Właściwości.
    4. Kliknij kartę Zaawansowane, a następnie kliknij, aby zaznaczyć pole wyboru Chroń mój komputer i moją sieć, ograniczając lub wykluczając dostęp do tego komputera z Internetu.
    Uwagi
    • Jeśli podczas próby wykonania tych kroków komputer jest wielokrotnie wyłączany lub ponownie uruchamiany, przed włączeniem zapory rozłącz połączenie z Internetem. W przypadku szerokopasmowego połączenia z Internetem zlokalizuj kabel podłączony do linii DSL lub zewnętrznego modemu kablowego, a następnie odłącz ten kabel od modemu lub gniazda telefonicznego. W przypadku korzystania z połączenia telefonicznego zlokalizuj kabel telefoniczny podłączony do modemu znajdującego się wewnątrz komputera i do gniazda telefonicznego, a następnie odłącz ten kabel od gniazda telefonicznego lub komputera. Jeśli nie możesz rozłączyć się z Internetem, wpisz następujące polecenie w wierszu polecenia w celu takiego skonfigurowania usługi RPCSS, aby komputer nie był ponownie uruchamiany w przypadku wystąpienia błędu tej usługi:
      sc failure rpcss reset= 0 actions= restart
      Aby po wykonaniu tych kroków przywrócić w usłudze RPCSS domyślne ustawienie odzyskiwania, użyj następującego polecenia:
      sc failure rpcss reset= 0 actions= reboot/60000
    • Jeżeli kilka komputerów korzysta z połączenia internetowego, użyj zapory tylko na komputerze, który jest bezpośrednio podłączony do Internetu. Nie używaj zapory na innych komputerach współużytkujących połączenie internetowe. W przypadku korzystania z systemu Windows XP użyj Kreatora konfiguracji sieci do włączenia Zapory połączenia internetowego.
    • Korzystanie z zapory nie powinno wpływać na usługę poczty e-mail lub przeglądanie sieci Web, jednak zapora może wyłączyć niektóre składniki oprogramowania internetowego, usługi lub funkcje. W takim przypadku konieczne może być otwarcie niektórych portów na zaporze, aby umożliwić korzystanie z niektórych funkcji internetowych. Aby ustalić, które porty należy otworzyć, przeczytaj dokumentację dołączoną do wyłączonej usługi internetowej. Aby ustalić, jak należy otworzyć te porty, przeczytaj dokumentację dołączoną do zapory. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
      308127 Jak ręcznie otworzyć porty w Zaporze połączenia internetowego w systemie Windows XP
    • W niektórych wypadkach, postępując zgodnie z poniższą procedurą, można włączyć Zaporę połączenia internetowego dla połączenia, które nie pojawia się w folderze Połączenia sieciowe. Jeśli te kroki nie umożliwiają rozwiązania problemu, skontaktuj się z usługodawcą internetowym, aby uzyskać informacje dotyczące sposobów konfigurowania zapory dla połączenia internetowego.
      1. Uruchom program Internet Explorer.
      2. W menu Narzędzia kliknij polecenie Opcje internetowe.
      3. Kliknij kartę Połączenia, kliknij połączenie telefoniczne, którego używasz do łączenia się z Internetem, a następnie kliknij przycisk Ustawienia.
      4. W obszarze Ustawienia połączenia telefonicznego kliknij przycisk Właściwości.
      5. Kliknij kartę Zaawansowane, a następnie kliknij, aby zaznaczyć pole wyboru Chroń mój komputer i moją sieć, ograniczając lub wykluczając dostęp do tego komputera z Internetu.
    Aby uzyskać dodatkowe informacje dotyczące sposobu włączania Zapory połączenia internetowego w systemach Windows XP lub Windows Server 2003, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    283673 Jak włączyć lub wyłączyć zaporę połączenia internetowego w systemie Windows XP
    Uwaga: Zapora połączenia internetowego jest dostępna tylko w systemie Windows XP, Windows Server 2003, Standard Edition i Windows Server 2003, Enterprise Edition. Zapora podstawowa jest składnikiem Routingu i dostępu zdalnego, który można włączyć dla dowolnego interfejsu publicznego na komputerze z uruchomionym Routingiem i dostępem zdalnym, należącym do rodziny systemów Windows Server 2003.
  2. Zlokalizuj i usuń następujący klucz rejestru, jeśli ten klucz istnieje:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    Aby to zrobić, wykonaj następujące kroki:
    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
    2. Znajdź następujący klucz rejestru:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    3. Kliknij prawym przyciskiem myszy klucz
      KB823980
      i kliknij polecenie Usuń.
  3. Pobierz zarówno poprawkę zabezpieczeń 823980, jak i poprawkę 815021, i zainstaluj je na wszystkich komputerach w celu usunięcia luki w zabezpieczeniach opisanej w biuletynach Microsoft Security Bulletin MS03-026 i MS03-007. Aby uzyskać dodatkowe informacje dotyczące poprawki zabezpieczeń 824146 i wymagań wstępnych (takich jak dodatek Service Pack dla danej wersji systemu Windows), kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    824146 MS03-039: Przepełnienie buforu w usłudze RPCSS może pozwolić atakującemu na uruchamianie szkodliwych programów
    Aby uzyskać dodatkowe informacje dotyczące poprawki zabezpieczeń 823980 i wymagań wstępnych (takich jak dodatek Service Pack dla danej wersji systemu Windows), kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    823980 MS03-026: Przekroczenie buforu w interfejsie RPC może umożliwiać uruchomienie kodu źródłowego
    Aby uzyskać dodatkowe informacje dotyczące poprawki zabezpieczeń 815021 i wymagań wstępnych (takich jak dodatek Service Pack dla danej wersji systemu Windows), kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    815021 MS03-007: Niesprawdzany bufor w składniku systemu Windows może być przyczyną złamania zabezpieczeń serwera sieci Web
  4. Zainstaluj lub zaktualizuj sygnatury wirusów, wykorzystywane przez oprogramowanie antywirusowe, a następnie wykonaj pełne skanowanie systemu.
  5. Pobierz, a następnie uruchom narzędzie służące do usuwania skutków infekcji związanej z tym wirusem, uzyskane od dostawcy oprogramowania antywirusowego.

Odzyskiwanie systemów Windows 2000 i Windows NT 4.0

Zapora połączenia internetowego jest niedostępna w systemach Windows 2000 i Windows NT 4.0. Jeśli program Microsoft Internet Security and Acceleration (ISA) Server 2000 lub zapora oferowana przez innego producenta jest niedostępna i nie może być wykorzystana do zablokowania portów 135, 139, 445 i 593 protokołu TCP, portów 69 (TFTP), 135, 137 i 138 protokołu UDP oraz portu 80 protokołu TCP, wykonaj poniższe kroki ułatwiające zablokowanie odpowiednich portów dla połączeń LAN. Filtrowanie TCP/IP jest niedostępne dla połączeń telefonicznych. Jeśli do łączenia z Internetem jest używane połączenie telefoniczne, należy włączyć zaporę.
  1. Skonfiguruj zabezpieczenia protokołu TCP/IP. W tym celu zastosuj metodę odpowiednią dla używanego systemu operacyjnego.

    System Windows 2000
    1. W Panelu sterowania kliknij dwukrotnie ikonę Połączenia sieciowe i telefoniczne.
    2. Kliknij prawym przyciskiem myszy interfejs, którego chcesz użyć do uzyskania dostępu do Internetu, a następnie kliknij polecenie Właściwości.
    3. W polu Zaznaczone składniki są wykorzystywane przez to połączenie kliknij pozycję Protokół internetowy (TCP/IP), a następnie kliknij przycisk Właściwości.
    4. W oknie dialogowym Właściwości: Protokół internetowy (TCP/IP) kliknij przycisk Zaawansowane.
    5. Kliknij kartę Opcje.
    6. Kliknij pozycję Filtrowanie TCP/IP, a następnie kliknij przycisk Właściwości.
    7. Kliknij, aby zaznaczyć pole wyboru Włącz filtrowanie TCP/IP (wszystkie karty).
    8. Okno dialogowe zawiera trzy kolumny z następującymi etykietami:
      • Porty TCP
      • Porty UDP
      • Protokoły IP
      W każdej kolumnie kliknij opcję Pozwalaj tylko.

      Aby uzyskać dodatkowe informacje dotyczące portów, które powinny być otwarte dla domen i relacji zaufania, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
      179442 How to configure a firewall for domains and trusts
    9. Kliknij przycisk OK.

      Uwagi
      • Jeżeli komputer jest wielokrotnie wyłączany lub ponownie uruchamiany podczas próby postępowania zgodnie z tymi krokami, rozłącz połączenie z Internetem przed włączeniem zapory. W przypadku szerokopasmowego połączenia z Internetem zlokalizuj kabel podłączony do zewnętrznego modemu DSL lub modemu kablowego, a następnie odłącz ten kabel od modemu lub gniazda telefonicznego. W przypadku korzystania z połączenia telefonicznego zlokalizuj kabel telefoniczny podłączony do modemu znajdującego się wewnątrz komputera i do gniazda telefonicznego, a następnie odłącz ten kabel od gniazda telefonicznego lub komputera.
      • Jeżeli kilka komputerów korzysta z połączenia internetowego, użyj zapory tylko na komputerze, który jest bezpośrednio podłączony do Internetu. Nie używaj zapory na innych komputerach współużytkujących połączenie internetowe.
      • Korzystanie z zapory nie powinno wpływać na usługę poczty e-mail lub przeglądanie sieci Web, jednak zapora może wyłączyć niektóre składniki oprogramowania internetowego, usługi lub funkcje. W takim przypadku konieczne może być otwarcie niektórych portów na zaporze, aby umożliwić korzystanie z niektórych funkcji internetowych. Aby ustalić, które porty należy otworzyć, przeczytaj dokumentację dołączoną do wyłączonej usługi internetowej. Aby ustalić, jak należy otworzyć te porty, przeczytaj dokumentację dołączoną do zapory.
      • Te kroki są oparte na zmodyfikowanym fragmencie artykułu 309798 bazy wiedzy Microsoft Knowledge Base. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        309798 JAK: Konfigurowanie filtrowania TCP/IP w systemie Windows 2000
    System Windows NT 4.0
    1. W Panelu sterowania kliknij dwukrotnie ikonę Sieć.
    2. Kliknij kartę Protokół, kliknij opcję Protokół TCP/IP, a następnie kliknij przycisk Właściwości.
    3. Kliknij kartę Adres IP, a następnie kliknij przycisk Zaawansowane.
    4. Kliknij, aby zaznaczyć pole wyboru Włącz zabezpieczenia, a następnie kliknij przycisk Konfiguruj.
    5. W kolumnie Porty TCP, kolumnie Porty UDP i kolumnie Protokoły IP kliknij, aby zaznaczyć ustawienie Pozwalaj tylko.
    6. Kliknij przycisk OK, a następnie zamknij aplet Sieć.
  2. Pobierz zarówno poprawkę zabezpieczeń 824146, jak i poprawkę 815021, i zainstaluj je na wszystkich komputerach w celu usunięcia luki w zabezpieczeniach opisanej w biuletynach Microsoft Security Bulletin MS03-039, MS03-026 i MS03-007. Poprawka zabezpieczeń 824146 zastępuje poprawkę zabezpieczeń 823980. Firma Microsoft zaleca, aby zainstalować poprawkę zabezpieczeń 824146. Ta poprawka zapewnia również rozwiązanie problemów opisanych w biuletynie Microsoft Security Bulletin MS03-026 (823980) Aby uzyskać dodatkowe informacje dotyczące poprawki zabezpieczeń 824146, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    824146 MS03-039: Przepełnienie buforu w usłudze RPCSS może pozwolić atakującemu na uruchamianie szkodliwych programów
    Aby uzyskać dodatkowe informacje dotyczące poprawki zabezpieczeń 823980 i wymagań wstępnych (takich jak dodatek Service Pack dla danej wersji systemu Windows), kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    823980 MS03-026: Przekroczenie buforu w interfejsie RPC może umożliwiać uruchomienie kodu źródłowego
    Aby uzyskać dodatkowe informacje dotyczące poprawki zabezpieczeń 815021 i wymagań wstępnych (takich jak dodatek Service Pack dla danej wersji systemu Windows), kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    815021 MS03-007: Niesprawdzany bufor w składniku systemu Windows może być przyczyną złamania zabezpieczeń serwera sieci Web
  3. Zainstaluj lub zaktualizuj sygnatury wirusów, wykorzystywane przez oprogramowanie antywirusowe, a następnie wykonaj pełne skanowanie systemu.
  4. Pobierz, a następnie uruchom narzędzie służące do usuwania skutków infekcji związanej z tym robakiem, uzyskane od dostawcy oprogramowania antywirusowego.
    Network Associates
    http://vil.nai.com/vil/content/v_100559.htm

    Trend Micro
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

    Symantec
    http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
    Aby uzyskać więcej informacji dotyczących programu Virus Information Alliance (VIA), odwiedź następującą witrynę firmy Microsoft w sieci Web:
    http://www.microsoft.com/technet/security/alerts/info/via.mspx

Właściwości

Numer ID artykułu: 826234 - Ostatnia weryfikacja: 31 stycznia 2007 - Weryfikacja: 5.7
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Internetowe usługi informacyjne Microsoft 5.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server, Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Słowa kluczowe: 
KB826234

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com