Alerta de vírus sobre o 'worm' Nachi

Traduções de Artigos Traduções de Artigos
Artigo: 826234 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Em 18 de Agosto de 2003, a equipa de segurança do suporte técnico da Microsoft divulgou um alerta para informar os clientes sobre um novo worm. Um worm é um tipo de vírus informático que normalmente se propaga sem intervenção do utilizador e que distribui cópias completas (possivelmente modificadas) do próprio vírus pelas redes (por exemplo, a Internet). Geralmente conhecido por "Nachi", este novo worm explora as vulnerabilidades abordadas nos boletins de segurança MS03-026 (823980) e MS03-007 (815021) da Microsoft para se propagar através de redes utilizando portas de chamada de procedimento remoto (RPC, Remote Procedure Call) abertas ou o protocolo de criação de conteúdos e controlo de versão distribuídas pela Web (WebDAV, World Wide Web Distributed Authoring and Versioning), suportado pelo IIS (Serviços de informação Internet - Internet Information Services) 5.0.

Este artigo contém informações para administradores de rede e profissionais de TI sobre como evitar e recuperar de uma infecção do worm Nachi. O worm Nachi também é conhecido por W32/Nachi.worm (Network Associates), Lovsan.D (F-Secure), WORM_MSBLAST.D (Trend Micro) e W32.Welchia.Worm (Symantec).

Os computadores com qualquer dos produtos listados no início deste artigo em execução estão vulneráveis se não tiverem sido instalados os patches de segurança 823980 (MS03-026) e 815021 (MS03-007) antes de 18 de Agosto de 2003 (a data em que o worm foi descoberto).

Nota: ainda não foi confirmado que as versões actuais deste worm tenham infectado computadores com o Windows Server 2003 ou Windows NT 4.0.

Para obter informações adicionais sobre como recuperar de um ataque deste worm, contacte o seu fornecedor de software antivírus. Para obter informações adicionais sobre fornecedores de software antivírus, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
49500 Lista de fornecedores de software antivírus
Para obter informações adicionais sobre os patches de segurança 823980 (MS03-026) e 815021 (MS03-007), clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
823980 MS03-026: Uma sobrecarga da memória intermédia na RPC pode permitir a execução de código
815021 MS03-007: Memória intermédia não verificada num componente do Windows pode comprometer o servidor da Web

Mais Informação

Sintomas de infecção

Se o computador estiver infectado com este worm, poderá detectar os mesmos sintomas documentados no artigo 826955 da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) para o worm Blaster e respectivas variantes. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
826955 Alerta de vírus sobre o 'worm' Blaster e respectivas variantes
Além disso, os ficheiros Dllhost.exe ou Svchost.exe poderão existir na pasta %windir%\System32\Wins.

Nota: Dllhost.exe ou Svchost.exe são ficheiros válidos do Windows, mas estão localizados na pasta %windir%\System32, e não na pasta %windir%\System32\Wins. Adicionalmente, o ficheiro Svchost.exe copiado por este worm para a pasta %windir%\System32\Wins é uma cópia do ficheiro Tftpd.exe do Windows. O ficheiro Dllhost.exe copiado por este worm para a pasta %windir%\System32\Wins é uma cópia do vírus. A versão de vírus do ficheiro tem, tipicamente, um tamanho superior a 10 000 bytes. O ficheiro Dllhost.exe válido do Windows tem um tamanho de 5632 bytes (Windows Server 2003), 4608 bytes (Windows XP) ou 5904 bytes (Windows 2000).

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

Detalhes técnicos

À semelhança do worm Blaster e respectivas variantes, este worm também explora a vulnerabilidade abordada no boletim de segurança MS03-026 da Microsoft. O worm dá instruções aos computadores de destino para transferirem uma cópia do worm a partir de um sistema afectado utilizando o programa TFTP.

Além de explorar a vulnerabilidade da RPC abordada no boletim de segurança MS03-026 da Microsoft, este worm também se propaga utilizando a vulnerabilidade abordada anteriormente no boletim de segurança MS03-007 da Microsoft. Esta exploração é dirigida ao IIS 5.0 através da porta 80.

Aquando de uma infecção bem sucedida, este vírus também instala incorrectamente o patch de segurança 823980 (MS03-026) em computadores infectados, determinando primeiro o sistema operativo e transferindo o patch de segurança destinado a esse sistema operativo. A instalação incorrecta das definições de registo e dos ficheiros associados ao patch de segurança 823980 (MS03-026) pode deixar os computadores infectados vulneráveis aos problemas documentados no boletim de segurança MS03-026 da Microsoft, e pode provocar problemas quando o utilizador tentar instalar a versão do patch de segurança 823980 (MS03-026) da Microsoft. Os seguintes sintomas poderão indicar que o patch de segurança 823980 (MS03-026) foi instalado pelo worm Nachi:
  • Não existe qualquer entrada para o patch de segurança 823980 (MS03-026) na ferramenta Adicionar ou remover programas (Add or Remove Programs). Por exemplo, Windows XP Hotfix - KB823980 não aparece na lista da ferramenta Adicionar ou remover programas (Add or Remove Programs). Este problema permanece, mesmo após a instalação da versão da Microsoft do patch de segurança 823980 (MS03-026). Este problema ocorre porque o worm instala o patch de segurança 823980 (MS03-026) no modo "no archive" (não arquivar). Um administrador pode instalar o patch de segurança 823980 (MS03-026) no modo "no archive" utilizando o parâmetro /n.
  • Aparece a seguinte entrada no registo de eventos do sistema:

    Origem: NtServicePack
    Categoria: Nenhum
    ID do evento: 4359
    Utilizador: NT AUTHORITY\SYSTEM
    Descrição: Sistema operativo Hotfix KB823980 instalado.

    - ou -

    Source: NtServicePack
    Category: None
    Event ID: 4359
    User: NT AUTHORITY\SYSTEM
    Description: Sistema operativo Hotfix KB823980 was installed.

    Nota: para ordenar o registo de eventos do sistema por origem, clique no cabeçalho da coluna Origem (Source) no Visualizador de eventos (Event Viewer).

Prevenção

Para evitar a infecção do computador com este vírus, siga estes passos:
  1. Active a funcionalidade Firewall de ligação à Internet (ICF, Internet Connection Firewall) no Windows XP, Windows Server 2003, Standard Edition, e no Windows Server 2003, Enterprise Edition; ou utilize o Firewall básico (Basic Firewall), Microsoft Internet Security and Acceleration (ISA) Server 2000 ou um firewall de outros fabricantes para bloquear as portas TCP 135, 139, 445 e 593; as portas UDP 69 (TFTP), 135, 137 e 138; e a porta TCP 80.

    Para activar o ICF no Windows XP ou no Windows Server 2003, siga estes passos:
    1. Clique em Iniciar (Start) e clique em Painel de controlo (Control Panel).
    2. No Painel de controlo (Control Panel), faça duplo clique em Ligações de rede e de Internet (Networking and Internet Connections) e, em seguida, clique em Ligações de rede (Network Connections).
    3. Clique com o botão direito do rato na ligação em que pretende activar o ICF e, em seguida, clique em Propriedades (Properties).
    4. Clique no separador Avançadas (Advanced) e clique para seleccionar a caixa de verificação Proteger o meu computador e a rede limitando ou impedindo o acesso a este computador a partir da Internet (Protect my computer or network by limiting or preventing access to this computer from the Internet).
    Nota: algumas ligações de acesso telefónico podem não aparecer na pasta Ligações de rede (Network Connection). Por exemplo, as ligações de acesso telefónico AOL e MSN podem não aparecer. Por vezes, pode utilizar os seguintes passos para activar o ICF para uma ligação que não apareça na pasta de ligações de rede. Se estes passos não funcionarem, contacte o fornecedor de serviços Internet (ISP, Internet Service Provider) para obter informações sobre como proteger a ligação à Internet com um firewall.
    1. Inicie o Internet Explorer.
    2. No menu Ferramentas (Tools), clique em Opções da Internet (Internet Options).
    3. Clique no separador Ligações (Connections), clique na ligação de acesso telefónico utilizada para ligar à Internet e clique em Definições (Settings).
    4. Na área Definições de acesso telefónico (Dial-up settings), clique em Propriedades (Properties).
    5. Clique no separador Avançadas (Advanced) e clique para seleccionar a caixa de verificação Proteger o meu computador e a rede limitando ou impedindo o acesso a este computador a partir da Internet (Protect my computer or network by limiting or preventing access to this computer from the Internet).
    Para obter informações adicionais sobre como activar o firewall de ligação à Internet no Windows XP ou no Windows Server 2003, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    283673 COMO: Activar ou desactivar a funcionalidade 'Firewall de ligação à Internet' do Windows XP
    Nota: o ICF só está disponível no Windows XP, Windows Server 2003, Standard Edition, e Windows Server 2003, Enterprise Edition. O Firewall básico (Basic Firewall) é um componente do Encaminhamento e acesso remoto (Routing and Remote Access) que pode activar para qualquer interface pública num computador com o encaminhamento e acesso remoto e com um membro da família Windows Server 2003.
  2. Este worm utiliza duas vulnerabilidades anteriormente divulgadas como parte do respectivo método de infecção. Devido a este facto, tem de certificar-se de que instalou os patches de segurança 823980 e 815021 em todos os computadores para corrigir a vulnerabilidade identificada nos boletins de segurança MS03-026 e MS03-007 da Microsoft. O patch de segurança 824146 substitui o patch de segurança 823980. A Microsoft recomenda a instalação do patch de segurança 824146. Este patch de segurança inclui as correcções para os problemas apresentados no boletim de segurança MS03-026 (823980) da Microsoft. Para obter informações adicionais sobre o patch de segurança 824146, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    824146 MS03-039: Uma sobrecarga da memória intermédia no RPCSS pode permitir que um atacante execute programas maliciosos
    Para obter informações adicionais sobre o patch de segurança 823980 e eventuais pré-requisitos (como um Service Pack para a sua versão do Windows), clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    823980 MS03-026: Uma sobrecarga da memória intermédia na RPC pode permitir a execução de código
    Para obter informações adicionais sobre o patch de segurança 815021 e eventuais pré-requisitos (como um Service Pack para a sua versão do Windows), clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    815021 MS03-007: Memória intermédia não verificada num componente do Windows pode comprometer o servidor da Web
  3. Utilize a assinatura de detecção de vírus mais recente do seu fornecedor de antivírus para detectar novos vírus e respectivas variantes.

Recuperação

Os procedimentos recomendados de segurança sugerem que efectue uma instalação "de raiz" completa num computador anteriormente comprometido, para remover qualquer meio de exploração não descoberto que possa vir a colocar o computador em risco. Para obter informações adicionais, visite o seguinte Web site do CERT Coordination Center (CERT/CC) Advisory:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
No entanto, muitas empresas de antivírus fornecem ferramentas para remover o meio de exploração conhecido associado a este worm específico. Para transferir a ferramenta de remoção do seu fornecedor de antivírus, utilize um dos seguintes procedimentos, de acordo com o sistema operativo.

Recuperação para Windows XP, Windows Server 2003, Standard Edition, e Windows Server 2003, Enterprise Edition

  1. Active a funcionalidade ICF no Windows XP, Windows Server 2003, Standard Edition, e Windows Server 2003, Enterprise Edition; ou utilize o firewall básico, o Microsoft Internet Security and Acceleration (ISA) Server 2000 ou um firewall de outros fabricantes.

    Para activar o ICF, siga estes passos:
    1. Clique em Iniciar (Start) e clique em Painel de controlo (Control Panel).
    2. No Painel de controlo (Control Panel), faça duplo clique em Ligações de rede e de Internet (Networking and Internet Connections) e, em seguida, clique em Ligações de rede (Network Connections).
    3. Clique com o botão direito do rato na ligação em que pretende activar o ICF e, em seguida, clique em Propriedades (Properties).
    4. Clique no separador Avançadas (Advanced) e clique para seleccionar a caixa de verificação Proteger o meu computador e a rede limitando ou impedindo o acesso a este computador a partir da Internet (Protect my computer or network by limiting or preventing access to this computer from the Internet).
    Notas
    • Se o computador for encerrado ou reiniciado repetidamente quando tentar seguir estes passos, desligue a ligação à Internet antes de activar o firewall. Se ligar à Internet através de uma ligação de banda larga, localize o cabo que vai do modem DSL externo ou do modem de cabo externo à tomada telefónica e desligue-o do modem ou da tomada. Se utilizar uma ligação de acesso telefónico, localize o cabo de telefone que vai do modem interno à tomada telefónica e, em seguida, desligue esse cabo da tomada telefónica ou do computador. Se não for possível desligar a ligação à Internet, utilize o seguinte comando para configurar o RPCSS para não reiniciar o computador aquando da falha do serviço :
      sc failure rpcss reset= 0 actions= restart
      Para repor as predefinições de recuperação do RPCSS após a execução destes passos, utilize o seguinte comando:
      sc failure rpcss reset= 0 actions= reboot/60000
    • Se tiver mais de um computador a partilhar uma ligação à Internet, utilize um firewall apenas no computador que está ligado directamente à Internet. Não utilize um firewall nos outros computadores que partilham a ligação à Internet. Se estiver a utilizar o Windows XP, utilize o Assistente de configuração de rede (Network Setup Wizard) para activar o ICF.
    • A utilização de um firewall não deverá afectar o seu serviço de correio electrónico nem a navegação na Web, mas um firewall pode desactivar algum software, serviços ou funcionalidades de Internet. Se ocorrer este comportamento, poderá ter de abrir algumas portas no firewall para que algumas funcionalidades da Internet funcionem. Consulte a documentação incluída com o serviço Internet que não funciona para determinar as portas que é necessário abrir. Consulte a documentação incluída com o firewall para determinar como abrir estas portas. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
      308127 Como abrir manualmente portas no 'Firewall de ligação à Internet' no Windows XP
    • Por vezes, pode utilizar os seguintes passos para activar o ICF para uma ligação que não apareça na pasta de ligações de rede. Se estes passos não funcionarem, contacte o fornecedor de serviços Internet (ISP, Internet Service Provider) para obter informações sobre como proteger a ligação à Internet com um firewall.
      1. Inicie o Internet Explorer.
      2. No menu Ferramentas (Tools), clique em Opções da Internet (Internet Options).
      3. Clique no separador Ligações (Connections), clique na ligação de acesso telefónico utilizada para ligar à Internet e clique em Definições (Settings).
      4. Na área Definições de acesso telefónico (Dial-up settings), clique em Propriedades (Properties).
      5. Clique no separador Avançadas (Advanced) e clique para seleccionar a caixa de verificação Proteger o meu computador e a rede limitando ou impedindo o acesso a este computador a partir da Internet (Protect my computer or network by limiting or preventing access to this computer from the Internet).
    Para obter informações adicionais sobre como activar o ICF no Windows XP ou no Windows Server 2003, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    283673 COMO: Activar ou desactivar a funcionalidade 'Firewall de ligação à Internet' do Windows XP
    Nota: o ICF só está disponível no Windows XP, Windows Server 2003, Standard Edition, e Windows Server 2003, Enterprise Edition. O Firewall básico (Basic Firewall) é um componente do Encaminhamento e acesso remoto (Routing and Remote Access) que pode activar para qualquer interface pública de um computador com este serviço e que seja membro da família Windows Server 2003.
  2. Localize e elimine a seguinte chave do registo, caso exista:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    Para tal, siga estes passos:
    1. Clique em Iniciar (Start), clique em Executar (Run), escreva regedit e, em seguida, clique em OK.
    2. Localize a seguinte chave de registo:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    3. Clique com o botão direito do rato na chave
      KB823980
      e clique em Eliminar (Delete).
  3. Transfira e instale os patches de segurança 824146 e 815021 em todos os computadores para corrigir a vulnerabilidade identificada nos boletins de segurança MS03-039, MS03-026 e MS03-007 da Microsoft. Para obter informações adicionais sobre o patch de segurança 824146 e eventuais pré-requisitos (como um Service Pack para a sua versão do Windows), clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    824146 MS03-039: Uma sobrecarga da memória intermédia no RPCSS pode permitir que um atacante execute programas maliciosos
    Para obter informações adicionais sobre o patch de segurança 823980 e eventuais pré-requisitos (como um Service Pack para a sua versão do Windows), clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    823980 MS03-026: Uma sobrecarga da memória intermédia na RPC pode permitir a execução de código
    Para obter informações adicionais sobre o patch de segurança 815021 e eventuais pré-requisitos (como um Service Pack para a sua versão do Windows), clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    815021 MS03-007: Memória intermédia não verificada num componente do Windows pode comprometer o servidor da Web
  4. Instale ou actualize o software de assinatura antivírus e, em seguida, execute uma verificação completa do sistema.
  5. Transfira e execute a ferramenta de remoção do worm, do seu fornecedor de antivírus.

Recuperação para Windows 2000 e Windows NT 4.0

A funcionalidade Firewall de ligação à Internet (Internet Connection Firewall) não está disponível no Windows 2000 nem no Windows NT 4.0. Se não tiver disponível o Microsoft Internet Security and Acceleration (ISA) Server 2000 ou um firewall de outros fabricantes para bloquear as portas TCP 135, 139, 445 e 593; as portas UDP 69 (TFTP), 135, 137 e 138; e a porta TCP 80, siga estes passos para ajudar a bloquear as portas afectadas para as ligações de rede local. A filtragem TCP/IP não está disponível para ligações de acesso telefónico. Se estiver a utilizar uma ligação de acesso telefónico para ligar à Internet, deverá activar um firewall.
  1. Configure a segurança TCP/IP. Para tal, utilize o procedimento para o sistema operativo em questão.

    Windows 2000
    1. No Painel de controlo (Control Panel), faça duplo clique em Ligações de acesso telefónico e de rede (Network and Dial-up Connections).
    2. Clique com o botão direito do rato na interface que pretende utilizar para acesso à Internet e clique em Propriedades (Properties).
    3. Na caixa Os componentes assinalados são utilizados por esta ligação (Components checked are used by this connection), clique em TCP/IP (Protocolo Internet) [Internet Protocol (TCP/IP)] e, em seguida, clique em Propriedades (Properties).
    4. Na caixa de diálogo Propriedades de TCP/IP (Protocolo Internet) [Internet Protocol (TCP/IP) Properties], clique em Avançadas (Advanced).
    5. Clique no separador Opções (Options).
    6. Clique em Filtragem TCP/IP (TCP/IP filtering) e, em seguida, clique em Propriedades (Properties).
    7. Clique para seleccionar a caixa de verificação Activar filtragem TCP/IP (todas as placas) [Enable TCP/IP Filtering (All adapters)].
    8. Existem três colunas com os seguintes rótulos:
      • Portas TCP (TCP Ports)
      • Portas UDP (UDP Ports)
      • Protocolos IP (IP Protocols)
      Em cada coluna, clique na opção Permitir só (Permit Only).

      Para obter informações adicionais sobre as portas que devem ser abertas para domínios e fidedignidades, clique no número de artigo que se segue para visualizá-lo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
      179442 How to configure a firewall for domains and trusts
    9. Clique em OK.

      Notas
      • Se o computador for encerrado ou reiniciado repetidamente quando tentar seguir estes passos, desligue a ligação à Internet antes de activar o firewall. Se ligar à Internet através de uma ligação de banda larga, localize o cabo que vai do modem DSL externo ou do modem de cabo (cable modem) externo à tomada telefónica e desligue-o do modem ou da tomada telefónica. Se utilizar uma ligação de acesso telefónico, localize o cabo de telefone que vai do modem interno à tomada telefónica e, em seguida, desligue esse cabo da tomada telefónica ou do computador.
      • Se tiver mais de um computador a partilhar uma ligação à Internet, utilize um firewall apenas no computador que está ligado directamente à Internet. Não utilize um firewall nos outros computadores que partilham a ligação à Internet.
      • A utilização de um firewall não deverá afectar o seu serviço de correio electrónico nem a navegação na Web, mas um firewall pode desactivar algum software, serviços ou funcionalidades de Internet. Se ocorrer este comportamento, poderá ter de abrir algumas portas no firewall para que algumas funcionalidades da Internet funcionem. Consulte a documentação incluída com o serviço Internet que não funciona para determinar as portas que é necessário abrir. Consulte a documentação incluída com o firewall para determinar como abrir estas portas.
      • Estes passos são baseados num excerto modificado do artigo 309798 da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base). Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
        309798 COMO: Configurar a filtragem TCP/IP no Windows 2000
    Windows NT 4.0
    1. No Control Panel, faça duplo clique em Network.
    2. Clique no separador Protocol, clique em TCP/IP Protocol e, em seguida, clique em Properties.
    3. Clique no separador IP Address e, em seguida, clique em Advanced.
    4. Clique para seleccionar a caixa de verificação Enable Security e, em seguida, clique em Configure.
    5. Nas colunas TCP Ports, UDP Ports e IP Protocols, clique para seleccionar a definição Permit only.
    6. Clique em OK e, em seguida, feche a ferramenta Network.
  2. Transfira e instale os patches de segurança 824146 e 815021 em todos os computadores para corrigir a vulnerabilidade identificada nos boletins de segurança MS03-039, MS03-026 e MS03-007 da Microsoft. O patch de segurança 824146 substitui o patch de segurança 823980. A Microsoft recomenda a instalação do patch de segurança 824146. Este patch de segurança inclui as correcções para os problemas apresentados no boletim de segurança MS03-026 (823980) da Microsoft. Para obter informações adicionais sobre o patch de segurança 824146, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    824146 MS03-039: Uma sobrecarga da memória intermédia no RPCSS pode permitir que um atacante execute programas maliciosos
    Para obter informações adicionais sobre o patch de segurança 823980 e eventuais pré-requisitos (como um Service Pack para a sua versão do Windows), clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    823980 MS03-026: Uma sobrecarga da memória intermédia na RPC pode permitir a execução de código
    Para obter informações adicionais sobre o patch de segurança 815021 e eventuais pré-requisitos (como um Service Pack para a sua versão do Windows), clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    815021 MS03-007: Memória intermédia não verificada num componente do Windows pode comprometer o servidor da Web
  3. Instale ou actualize o software de assinatura antivírus e, em seguida, execute uma verificação completa do sistema.
  4. Transfira e execute a ferramenta de remoção do worm, do seu fornecedor de antivírus.
    Network Associates
    http://vil.nai.com/vil/content/v_100559.htm

    Trend Micro
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

    Symantec
    http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
    Para obter mais informações sobre a Virus Information Alliance (VIA), visite o seguinte Web site da Microsoft:
    http://www.microsoft.com/technet/security/topics/virus/via.asp

Referências

Para obter informações adicionais, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/alerts/nachi.mspx

Propriedades

Artigo: 826234 - Última revisão: 25 de novembro de 2005 - Revisão: 5.5
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Versão 2002
  • Microsoft Windows XP 64-Bit Edition Versão 2003
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Serviços de informação Internet 5.0 da Microsoft
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Server, Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palavras-chave: 
KB826234

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com