Alerta sobre o vírus Nachi

Traduções deste artigo Traduções deste artigo
ID do artigo: 826234 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Em 18 de agosto de 2003, a Equipe de Segurança do Atendimento Microsoft apresentou um alerta informando aos clientes sobre um novo vírus. O "worm" é um tipo de vírus de computador que geralmente se espalha sem que o usuário tenha feito algo e distribui cópias completas (provavelmente modificadas) de si pelas redes (como a Internet, por exemplo). Conhecido normalmente como "Nachi", esse novo vírus explora as vulnerabilidades apresentadas pelos Boletins de Segurança da Microsoft MS03-026 (823980) e MS03-007 (815021) para se espalhar pelas redes usando portas RPC (Remote Procedure Call) ou o protocolo WebDAV (World Wide Web Distributed Authoring and Versioning) suportado pelo IIS (Internet Information Server) 5.0.

Este artigo apresenta informações para administadores de rede e profissionais de TI sobre como evitar esse vírus e recuperar de uma infecção do vírus Nachi. O vírus Nachi também é conhecido como W32/Nachi.worm (Network Associates), Lovsan.D (F-Secure), WORM_MSBLAST.D (Trend Micro) e W32.Welchia.Worm (Symantec).

Os computadores que executam qualquer um dos produtos listados no início deste artigo são vulneráveis se os patches de segurança 823980 (MS03-026) e 815021 (MS03-007) não foram instalados antes da data de descoberta desse vírus (18 de agosto de 2003).

Observação Não foi confirmado se as versões atuais desse vírus infectaram computadores que executam o Windows Server 2003 ou Windows NT 4.0.

Para obter informações adicionais sobre como recuperar desse vírus, entre em contato com o fornecedor do seu software antivírus. Para obter informações adicionais sobre fornecedores de software antivírus, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
49500 Lista de fornecedores de software antivírus
Para obter informações adicionais sobre os patches de segurança 823980 (MS03-026) e 815021 (MS03-007), clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento da Microsoft:
823980 MS03-026: Saturação do buffer em RPC pode permitir a execução do código
815021 MS03-007: Buffer não-verificado no componente do Windows pode comprometer o servidor Web

Mais Informações

Sintomas da Infecção

Se o seu computador estiver infectado por esse vírus, você poderá encontrar os mesmos sintomas documentados no artigo 826955 da Base de Dados de Conhecimento da Microsoft sobre o vírus Blaster e suas variantes. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
826955 Alerta de Vírus sobre o Worm Blaster e suas Variantes
Além disso, o arquivo Dllhost.exe ou Svchost.exe podem estar na sua pasta %windir%\System32\Wins.

Observação Dllhost.exe ou Svchost.exe são arquivos válidos do Windows, mas estão localizados na pasta %windir%\System32, não na pasta %windir%\System32\Wins. Além disso, o arquivo Svchost.exe que este vírus copia para a pasta %windir%\System32\Wins é uma cópia do arquivo Tftpd.exe do Windows. O arquivo Dllhost.exe que este vírus copia para a pasta %windir%\System32\Wins é uma cópia do vírus. A versão do vírus do arquivo geralmente excede o tamanho de 10.000 bytes. O tamanho do arquivo Dllhost.exe válido do Windows é de 5.632 bytes (Windows Server 2003), 4.608 bytes (Windows XP), ou 5.904 bytes (Windows 2000).

Detalhes Técnicos

Semelhante ao vírus Blaster e a suas variantes, esse vírus também explora a vulnerabilidade apresentada no Boletim de Segurança da Microsoft MS03-026. O vírus faz com que computadores alvo façam o download de uma cópia do vírus a partir de um sistema infectado usando o programa TFTP.

Além de explorar a vulnerabilidade RPC apresentada no Boletim de Segurança da Microsoft MS03-026, o vírus também se espalha usando a vulnerabilidade apresentada anteriormente no Boletim de Segurança da Microsoft MS03-007. Essa exploração é direcionada no IIS 5.0 pela porta 80.

Depois da infecção, o vírus também instala o patch de segurança 823980 (MS03-026) em computadores infectados determinando o sistema operacional e, em seguida, fazendo o download do patch de segurança associado àquele sistema operacional. A instalação incorreta dos arquivos e das configurações do registro associadas ao patch de segurança 823980 (MS03-026) pode fazer com que os computadores infectados fiquem vulneráveis aos problemas apresentados no Boletim de Segurança da Microsoft MS03-026 e causar problemas ao tentar instalar a versão Microsoft do patch de segurança 823980 (MS03-026). Os seguintes sintomas podem indicar que o patch de segurança 823980 (MS03-026) foi instalado pelo vírus Nachi:
  • Não há entrada para o patch de segurança 823980 (MS03-026) na ferramenta Adicionar ou Remover Programas. Por exemplo, Windows XP Hotfix - KB823980 não aparece na lista Adicionar ou Remover Programas. Esse problema permanece mesmo após a instalação da versão Microsoft do patch de segurança 823980 (MS03-026). Esse problema ocorre pois o vírus instala o patch de segurança 823980 (MS03-026) no modo "no archive". Um administrador pode instalar o patch de segurança 823980 (MS03-026) no modo "no archive" usando a opção /n.
  • A seguinte entrada aparece no logo de evento do sistema:

    Origem: NtServicePack
    Categoria: Nenhuma
    Identificação do evento: 4359
    Usuário: NT AUTHORITY\SYSTEM
    Descrição: Sistema Operacional Hotfix KB823980 foi instalado.

    Observação: Para classificar o log de evento do sistema como Origem, clique no cabeçalho da coluna Origem no Visualizador de Eventos.

Prevenção

Para evitar que esse vírus infecte seu computador, execute essas etapas:
  1. Ative o recurso ICF (Internet Connection Firewall) no Windows XP, Windows Server 2003, Standard Edition, e no Windows Server 2003, Enterprise Edition; ou use Basic Firewall, Microsoft Internet Security and Acceleration (ISA) Server 2000, ou um firewall de terceiros para bloquear as portas TCP 135, 139, 445 e 593; portas UDP 69 (TFTP), 135, 137 e 138; e porta TCP 80.

    Para ativar o recurso ICF no Windows XP ou Windows Server 2003, execute essas etapas:
    1. Clique em Iniciar e em Painel de controle.
    2. No Painel de Controle, clique duas vezes em Conexões de Rede e Internet, e então clique em Conexões de Rede.
    3. Clique com o botão direito do mouse na conexão onde você deseja ativar o ICF e clique em Propriedades.
    4. Clique na guia Avançado, e então marque a caixa de seleção Proteger meu computador ou minha rede limitando ou evitando o acesso a este computador a partir da Internet.
    Observação Algumas conexões dial-up podem não aparecer nas pastas Conexão de Rede. Por exemplo, as conexões dial-up da AOL e MSN podem não aparecer. Às vezes, você poderá usar os seguintes passos para ativar o ICF para uma conexão que não aparece na pasta de Conexão de Rede. Se essas etapas não funcionarem, entre em contato com seu ISP (Provedor de serviços de Internet) para obter informações sobre como proteger sua conexão.
    1. Inicie o Internet Explorer.
    2. No menu Ferramentas, clique em Opções da Internet.
    3. Clique na guia Conexões, clique na conexão dial-up a ser usada para conectar-se à Internet, e então clique em Configurações.
    4. Na área Configurações dial-up, clique em Propriedades.
    5. Clique na guia Avançado, e então marque a caixa de seleção Proteger meu computador ou minha rede limitando ou evitando o acesso a este computador a partir da Internet.
    Para obter informações adicionais sobre como ativar o ICF no Windows XP ou no Windows Server 2003, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    283673 COMO: Ativar ou desativar o recurso Firewall de conexão com a Internet no Windows XP
    Observação O ICF está disponível somente no Windows XP, Windows Server 2003, Standard Edition, e Windows Server 2003, Enterprise Edition. Basic Firewall é um componente de Roteamento e Acesso Remoto que você pode ativar para qualquer interface pública em um computador que esteja executando o Roteamento e Acesso Remoto e um membro do grupo do Windows Server 2003.
  2. Esse vírus usa duas vulnerabilidades informadas anteriormente como parte do método de infecção. Por isso, verifique se você instalou os patches de segurança 823980 e 815021 em todos os seus computadores para relatar a vulnerabilidade identificada nos Boletins de Segurança da Microsoft MS03-026 e MS03-007. O patch de segurança 824146 substitui o 823980. A Microsoft recomenda a instalação do patch de segurança 824146. Esse patch também inclui as correções para os problemas relatados no Boletim de Segurança da Microsoft MS03-026 (823980). Para obter mais informações sobre o patch de segurança 824146, clique no seguinte número para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    824146 Uma Saturação do Buffer no RPCSS Poderia Permitir a um Invasor a Execução de Programas Maliciosos
    Para obter informações adicionais sobre o patch de segurança 823980 e quaisquer pré-requisitos (como um service pack para sua versão do Windows), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    823980 MS03-026: Saturação do buffer na interface RPC pode permitir a execução do código
    Para obter informações adicionais sobre o patch de segurança 815021 e quaisquer pré-requisitos (como um service pack para sua versão do Windows), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    815021 MS03-007: Buffer não-verificado no componente do Windows pode comprometer o servidor Web
  3. Use a assinatura de detecção de vírus mais recente a partir de seu fornecedor de antivírus para detectar novos vírus e suas variantes.

Recuperação

As melhores práticas para segurança sugerem que você execute uma instalação "limpa" completa em um computador comprometido anteriormente para remover quaisquer explorações não descobertas que levam a um futuro comprometimento. Para obter mais informações, visite o seguinte site CERT Coordination Center (CERT/CC) Advisory na Web:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html(site em inglês)
No entanto, muitas empresas de antivírus fornecem ferramentas para remover a exploração conhecida associada a esse vírus específico. Para fazer o download da ferramenta de remoção a partir do fornecedor de seu antivírus, use um dos seguintes procedimentos dependendo do seu sistema operacional,.

Recuperação para Windows XP, Windows Server 2003, Standard Edition, e Windows Server 2003, Enterprise Edition

  1. Ative o recurso ICF (Internet Connection Firewall) no Windows XP, Windows Server 2003, Standard Edition, e no Windows Server 2003, Enterprise Edition; ou use Basic Firewall, Microsoft Internet Security and Acceleration (ISA) Server 2000, ou um firewall de terceiros.

    Para ativar o ICF, execute essas etapas:
    1. Clique em Iniciar e em Painel de controle.
    2. No Painel de Controle, clique duas vezes em Conexões de Rede e Internet, e então clique em Conexões de Rede.
    3. Clique com o botão direito do mouse na conexão onde você deseja ativar o ICF e clique em Propriedades.
    4. Clique na guia Avançado, e então marque a caixa de seleção Proteger meu computador ou minha rede limitando ou evitando o acesso a este computador a partir da Internet.
    Observações
    • Se o computador desligar ou reiniciar várias vezes quando você tentar executar essas etapas, desconecte-se da Internet antes de ativar seu firewall. Se você se conectar à Internet usando uma conexão de banda larga, localize o cabo executado a partir de seu DSL externo ou o modem do cabo, e então desconecte o cabo do modem ou do telefone. Se você usar uma conexão dial-up, localize o cabo do telefone executado a partir do modem dentro do computador ao se telefone, e desconecte o cabo do computador ou do telefone. Se você não conseguir se desconectar da Internet, digite o seguinte comando para configurar o RPCSS para não reiniciar o computador quando o serviço falhar:
      sc failure rpcss reset= 0 actions= restart
      Para redefinir o RPCSS à configuração de recuperação padrão após concluir essas etapas, digite o seguinte comando:
      sc failure rpcss reset= 0 actions= reboot/60000
    • Caso a sua conexão à Internet seja compartilhada por mais de um computador, use um firewall somente no computador que está conectado diretamente à Internet. Não use um firewall nos outros computadores que compartilham a conexão à Internet. Se você estiver executando o Windows XP, use o Assistente para Configuração de Rede para ativar o ICF.
    • O uso de um firewall não deverá afetar seu serviço de e-mail ou a navegação na Web, mas o firewall pode desativar alguns serviços, recursos ou software da Internet. Se isso ocorrer, você precisará abrir algumas portas em seu firewall para que alguns recursos da Internet funcionem Consulte a documentação incluída no serviço da Internet que não esteja funcionando para determinar quais portas devem ser abertas. Consulte a documentação incluída em seu firewall para determinar como essas portas devem ser abertas. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
      308127 WINXP - Como abrir portas manualmente no firewall da conexão de Internet no Windows XP
    • Às vezes, você poderá usar os seguintes passos para ativar o ICF para uma conexão que não aparece na pasta de Conexão de Rede. Se essas etapas não funcionarem, entre em contato com seu ISP (Provedor de serviços de Internet) para obter informações sobre como proteger sua conexão.
      1. Inicie o Internet Explorer.
      2. No menu Ferramentas, clique em Opções da Internet.
      3. Clique na guia Conexões, clique na conexão dial-up a ser usada para conectar-se à Internet, e então clique em Configurações.
      4. Na área Configurações dial-up, clique em Propriedades.
      5. Clique na guia Avançado, e então marque a caixa de seleção Proteger meu computador ou minha rede limitando ou evitando o acesso a este computador a partir da Internet.
    Para obter informações adicionais sobre como ativar o ICF no Windows XP ou no Windows Server 2003, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    283673 COMO: Ativar ou desativar o recurso Firewall de conexão com a Internet no Windows XP
    Observação O ICF está disponível somente no Windows XP, Windows Server 2003, Standard Edition, e Windows Server 2003, Enterprise Edition. O firewall básico é um componente de roteamento e acesso remoto que você pode ativar para qualquer interface pública em um computador que esteja executando o roteamento e acesso remoto e que é membro da família Windows Server 2003.
  2. Localize e exclua a seguinte chave do registro, caso ela exista:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    Para fazer isso, execute essas etapas:
    1. Clique em Iniciar, em Executar, digite regedit e clique em OK.
    2. Localize a seguinte chave do registro:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    3. Clique com o botão direito do mouse na chave
      KB823980
      , e então clique em Excluir.
  3. Faça o download dos patches de segurança 824146 e 815021 e instale-os em todos os computadores que apresentarem a vulnerabilidade identificada nos Boletins de Segurança da Microsoft MS03-039 e MS03-007 Para obter informações adicionais sobre o patch de segurança 824146 e quaisquer pré-requisitos (como um service pack para sua versão do Windows), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    824146 Uma Saturação do Buffer no RPCSS Poderia Permitir a um Invasor a Execução de Programas Maliciosos
    Para obter informações adicionais sobre o patch de segurança 823980 e quaisquer pré-requisitos (como um service pack para sua versão do Windows), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    823980 MS03-026: Saturação do buffer na interface RPC pode permitir a execução do código
    Para obter informações adicionais sobre o patch de segurança 815021 e quaisquer pré-requisitos (como um service pack para sua versão do Windows), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    815021 MS03-007: Buffer não-verificado no componente do Windows pode comprometer o servidor Web
  4. Instale ou atualize seu software da asisnatura de antivírus e então execute uma verificação completa no sistema.
  5. Faça o download da ferramenta de remoção do worm a partir do seu fornecedor de antivírus e execute-a.

Recuperação para Windows 2000 e Windows NT 4.0

O recurso IFC não está disponível no Windows 2000 ou Windows NT 4.0. Se o Microsoft Internet Security and Acceleration (ISA) Server 2000 ou um firewall de terceiros não estiver disponível para bloquear portas TCP 135, 139, 445 e 593; portas UDP 69 (TFTP), 135, 137 e 138; e porta TCP 80, execute essas etapas para ajudar a bloquear as portas afetadas para conexões LAN (local area network). A Filtragem TCP/IP não está disponível para conexões dial-up. Se você estiver usando uma conexão dial-up para conectar-se à Internet, será necessário ativar um firewall.
  1. Configure a segurança TCP/IP. Para fazer isso, use o procedimento adequado ao seu sistema operacional:

    Windows 2000
    1. No Painel de Controle, clique duas vezes em Conexões de Rede e Dial-up.
    2. Clique com o botão direito do mouse na interface usada para acessar a Internet, e então clique em Propriedades.
    3. Na caixa Os componentes marcados serão usados por esta conexão, clique em Internet Protocol (TCP/IP), e clique em Propriedades.
    4. Na caixa de diálogo Propriedades do Internet Protocol (TCP/IP), clique em Avançado.
    5. Clique na guia Opções.
    6. Clique em Filtragem TCP/IP, e em Propriedades.
    7. Desmarque a caixa de diálogo Ativar Filtragem TCP/IP (Todos os adaptadores).
    8. Há três colunas com as seguintes indicações:
      • Portas TCP
      • Portas UDP
      • Protocolos IP
      Em cada coluna, clique na opção Permitir Somente.

      Para obter informações adicionais sobre as portas que deveriam estar abertas para domínios e relações de confiança, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
      179442 Como configurar um firewall para domínios e relações de confiança
    9. Clique em OK.

      Observações
      • Se o computador desligar ou reiniciar várias vezes quando você tentar executar essas etapas, desconecte-se da Internet antes de ativar seu firewall. Se você se conectar à Internet usando uma conexão de banda larga, localize o cabo executado a partir de seu DSL externo ou o modem do cabo, e então desconecte o cabo do modem ou do telefone. Se você usar uma conexão dial-up, localize o cabo do telefone executado a partir do modem dentro do computador ao se telefone, e desconecte o cabo do computador ou do telefone.
      • Caso a sua conexão à Internet seja compartilhada por mais de um computador, use um firewall somente no computador que está conectado diretamente à Internet. Não use um firewall nos outros computadores que compartilham a conexão à Internet.
      • O uso de um firewall não deverá afetar seu serviço de e-mail ou a navegação na Web, mas o firewall pode desativar alguns serviços, recursos ou software da Internet. Se isso ocorrer, você precisará abrir algumas portas em seu firewall para que alguns recursos da Internet funcionem Consulte a documentação incluída no serviço da Internet que não esteja funcionando para determinar quais portas devem ser abertas. Consulte a documentação incluída em seu firewall para determinar como essas portas devem ser abertas.
      • Esses passos são baseados em um trecho modificado do artigo 309798 da Base de Dados de Conhecimento da Microsoft: Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
        309798 Como configurar tiltragem TCP/IP em computadores com Small Business Server 2003
    Windows NT 4.0
    1. No Painel de Controle, clique duas vezes em Rede.
    2. Clique na guia Protocolo, clique em Protocolo TCP/IP, e então clique em Propriedades.
    3. Clique na guia Endereço IP, e então clique em Avançado .
    4. Marque a caixa de seleção Ativar Segurança, e então clique em Configurar.
    5. Nas colunas Portas TCP, Portas UDP, e Protocolos IP, selecione a configuração Permitir somente.
    6. Clique em OK, e então feche a ferramenta Rede.
  2. Faça o download dos patches de segurança 824146 e 815021 e instale-os em todos os computadores que apresentarem a vulnerabilidade identificada nos Boletins de Segurança da Microsoft MS03-039, MS03-026 e MS03-007. O patch de segurança 824146 substitui o 823980. A Microsoft recomenda a instalação do patch de segurança 824146. Esse patch também inclui as correções para os problemas relatados no Boletim de Segurança da Microsoft MS03-026 (823980). Para obter mais informações sobre o patch de segurança 824146, clique no seguinte número para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    824146 Uma Saturação do Buffer no RPCSS Poderia Permitir a um Invasor a Execução de Programas Maliciosos
    Para obter informações adicionais sobre o patch de segurança 823980 e quaisquer pré-requisitos (como um service pack para sua versão do Windows), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    823980 MS03-026: Saturação do buffer na interface RPC pode permitir a execução do código
    Para obter informações adicionais sobre o patch de segurança 815021 e quaisquer pré-requisitos (como um service pack para sua versão do Windows), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    815021 MS03-007: Buffer não-verificado no componente do Windows pode comprometer o servidor Web
  3. Instale ou atualize seu software da asisnatura de antivírus e então execute uma verificação completa no sistema.
  4. Faça o download da ferramenta de remoção do worm a partir do seu fornecedor de antivírus e execute-a.
    Network Associates
    http://vil.nai.com/vil/content/v_100559.htm(site em inglês)

    Trend Micro
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D(site em inglês)

    Symantec
    http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html(site em inglês)
    Para obter mais informações sobre o VIA (Virus Information Alliance), visite o seguinte site da Microsoft na Web:
    http://www.microsoft.com/technet/security/alerts/info/via.mspx(site em inglês)

Referências

Para obter informações adicionais, visite o seguinte site da Microsoft na Web:
http://www.microsoft.com/technet/security/alerts/nachi.mspx(site em inglês)

Propriedades

ID do artigo: 826234 - Última revisão: quarta-feira, 31 de janeiro de 2007 - Revisão: 6.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server, Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palavras-chave: 
KB826234

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com