Сообщение о черве Nachi

Переводы статьи Переводы статьи
Код статьи: 826234 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

18 августа 2003 г. служба технической поддержки Майкрософт выпустила предупреждение о новом черве. Червь представляет собой компьютерный вирус, который, как правило, распространяется по сетям (например, Интернету) без участия пользователя и копирует себя (иногда с небольшими изменениями). Широко известный под именем «Nachi», этот червь использует уязвимости, описанные в бюллетенях Майкрософт по безопасности MS03-026 (823980) и MS03-007 (815021), для распространения по сетям через открытые порты удаленного вызова процедур (RPC) или по протоколу WebDAV (World Wide Web Distributed Authoring and Versioning), который поддерживается сервером IIS (Internet Information Server) 5.0.

В этой статье содержатся сведения для администраторов сетей и IT-специалистов по организации защиты от вируса и восстановлению системы в случае заражения. Червь Nachi известен также под названиями W32/Nachi.worm (Network Associates), Lovsan.D (F-Secure), WORM_MSBLAST.D (Trend Micro) и W32.Welchia.Worm (Symantec).

Уязвимы все компьютеры, на которых используется один из перечисленных в начале данной статьи продуктов, если на них до 18 августа 2003 года (дата обнаружения вируса) не были установлены исправления безопасности 823980 (MS03-026) и 815021 (MS03-007).

Примечание. На данный момент не поступало сообщений о заражении версиями данного вируса компьютеров под управлением Windows Server 2003 или Windows NT 4.0.

Для получения дополнительных сведений по восстановлению системы после заражения обратитесь к разработчику антивирусного программного обеспечения. Дополнительные сведения о разработчиках антивирусных программ см. в следующей статье базы знаний Майкрософт:
49500 Список производителей антивирусного программного обеспечения
Дополнительные сведения об исправлениях безопасности 823980 (MS03-026) и 815021 (MS03-007) см. в следующих статьях базы знаний Майкрософт.
823980 MS03-026: Переполнение буфера RPC может допустить запуск кода
815021 MS03-007: Неограниченный буфер в компоненте Windows может привести к несанкционированному доступу к веб-серверу

Дополнительная информация

Признаки заражения

Если компьютер заражен этим вирусом, наблюдаются симптомы, описанные в статье базы знаний Майкрософт 826955 (посвящена червю Blaster и его модификациям). Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
826955 Сообщение о черве W32.Blaster.Worm и его разновидностях
Кроме того, в папке %windir%\System32\Wins может появиться файл Dllhost.exe или Svchost.exe.

Примечание. Файлы Dllhost.exe и Svchost.exe являются действительными файлами Windows, но они расположены в папке %windir%\System32, а не %windir%\System32\Wins. Кроме того, файл Svchost.exe, который данный вирус копирует в папку %windir%\System32\Wins, является копией файла Windows Tftpd.exe. Файл Dllhost.exe, который данный вирус копирует в папку %windir%\System32\Wins, представляет собой копию вируса. Размер созданного вирусом файла обычно превышает 10 000 байт. Подлинный файл Windows Dllhost.exe имеет размер 5 632 байта (Windows Server 2003), 4 608 байт (Windows XP) или 5 904 байта (Windows 2000).

Технические сведения

Подобно червю Blaster и его модификациям, этот вирус использует уязвимые места, для устранения которых предназначено исправление безопасности MS03-026. Червь дает целевому компьютеру команду на загрузку своей копии из зараженной системы с помощью программы TFTP.

Помимо уязвимости RPC (см. бюллетень по безопасности Microsoft MS03-026), червь для распространения использует уязвимость, описанную в бюллетене по безопасности MS03-007. Такая атака направлена на IIS 5.0 через порт 80.

После успешного внедрения червь неправильно устанавливает на зараженном компьютере исправление безопасности 823980 (MS03-026), определив сначала операционную систему, а затем загрузив соответствующее исправление. Неправильная установка файлов и параметров реестра, связанных с исправлением безопасности 823980 (MS03-026), может сделать зараженный компьютер уязвимым для неполадок, описанных в бюллетене Майкрософт по безопасности MS03-026, и вызвать проблемы при установке версии исправления безопасности 823980 (MS03-026) от корпорации Майкрософт. На то, что исправление безопасности 823980 (MS03-026) было установлено червем Nachi, указывают следующие признаки.
  • В списке «Установка и удаление программ» отсутствует запись об исправлении безопасности 823980 (MS03-026). Например, Windows XP Hotfix - KB823980 в списке установленных программ нет. Эта проблема остается даже после установки версии исправления безопасности 823980 (MS03-026) от корпорации Майкрософт, потому что червь устанавливает исправление безопасности 823980 (MS03-026) без создания архива. Администратор может установить исправление безопасности 823980 (MS03-026) без создания архива с помощью параметра командной строки /n.
  • В журнале системных событий появляется следующая запись.

    Источник: NtServicePack
    Категория: Отсутствует
    Код (ID): 4359
    Пользователь: NT AUTHORITY\SYSTEM
    Описание: Операционная система Исправление KB823980 установлено.

    Примечание. Чтобы отсортировать журнал системных событий по источнику, щелкните в окне просмотра событий заголовок столбца Источник.

Меры предосторожности

Чтобы не допустить заражения компьютера этим вирусом, выполните следующие действия.
  1. В операционных системах Windows XP, Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition включите брандмауэр подключения к Интернету (ICF) или воспользуйтесь простым брандмауэром, сервером ISA (Microsoft Internet Security and Acceleration Server) 2000, либо брандмауэром стороннего производителя, чтобы закрыть TCP-порты 135, 139, 445 и 593, UDP-порты 69 (TFTP), 135, 137, 138 и TCP-порт 80.

    Чтобы включить брандмауэр подключения к Интернету в Windows XP и Windows Server 2003, выполните следующие действия.
    1. Нажмите кнопку Пуск и выберите пункт Панель управления.
    2. На панели управления щелкните ссылку Сеть и подключения к Интернету, а затем — Сетевые подключения.
    3. Щелкните правой кнопкой мыши необходимое подключение и выберите пункт Свойства.
    4. На вкладке Дополнительно установите флажок Защитить мое подключение к Интернету.
    Примечание. Определенные подключения удаленного доступа не отображаются в папке «Сетевые подключения» (например, подключения удаленного доступа AOL и MSN). В некоторых случаях включить брандмауэр подключения к Интернету для подключения, которое не отображается в папке «Сетевые подключения», можно следующим образом. Если эти действия не помогают, обратитесь к поставщику услуг Интернета за информацией о защите подключения брандмауэром.
    1. Запустите Internet Explorer.
    2. В меню Сервис выберите команду Свойства обозревателя.
    3. На вкладке Подключения выберите подключение удаленного доступа, с помощью которого требуется подключиться к Интернету, и нажмите кнопку Настройка.
    4. В области Настройка удаленного доступа нажмите кнопку Свойства.
    5. На вкладке Дополнительно установите флажок Защитить мое подключение к Интернету.
    Дополнительные сведения о включении брандмауэра подключения к Интернету в Windows XP и Windows Server 2003 см. в следующей статье базы знаний Майкрософт:
    283673 Как включить или выключить брандмауэр подключения к Интернету в Windows XP
    Примечание. Брандмауэр подключения к Интернету имеется только в операционных системах Windows XP, Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition. Простой брандмауэр входит в состав службы маршрутизации и удаленного доступа. Его можно включить для любого общего интерфейса на компьютере под управлением операционной системы из семейства Windows Server 2003, на котором запущена эта служба.
  2. При заражении червь использует уязвимости, о которых сообщалось ранее. Убедитесь, что для устранения уязвимостей, описанных в бюллетенях Майкрософт по безопасности MS03-026 и MS03-007, на всех компьютерах установлены исправления безопасности 823980 и 815021. Исправление безопасности 824146 заменяет исправление 823980. Корпорация Майкрософт рекомендует установить исправление безопасности 824146. Этот пакет включает исправления проблем, которые описаны в бюллетене Майкрософт по безопасности MS03-026 (823980). Дополнительные сведения об исправлении безопасности 824146 см. в следующей статье базы знаний Майкрософт:
    824146 Переполнение буфера в RPCSS может допустить запуск враждебных программ
    Дополнительные сведения об исправлении безопасности 823980 и требованиях к его установке (например, наличие пакета обновления для используемой версии Windows) см. в следующей статье базы знаний Майкрософт:
    823980 MS03-026: Переполнение буфера интерфейса RPC может допустить запуск кода
    Дополнительные сведения об исправлении безопасности 815021 и требованиях к его установке (например, наличие пакета обновления для используемой версии Windows) см. в следующей статье базы знаний Майкрософт:
    815021 MS03-007: Неограниченный буфер в компоненте Windows может привести к несанкционированному доступу к веб-серверу
  3. Используйте для поиска вирусов и их модификаций последние версии описаний вирусов от разработчика антивирусного программного обеспечения.

Восстановление

С точки зрения безопасности наилучшим решением является удаление, а затем повторная установка операционной системы зараженного компьютера. За дополнительной информацией обратитесь на веб-узел координационного центра CERT Coordination Center (CERT/CC) Advisory по следующему адресу:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
В то же время многие разработчики антивирусных программ выпускают средства по устранению известных последствий заражения этим червем. Чтобы загрузить средство удаления вируса с веб-узла разработчика, выполните указанные ниже действия в зависимости от используемой операционной системы.

Восстановление Windows XP, Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition

  1. Включите брандмауэр подключения к Интернету (ICF) в Windows XP, Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition, или воспользуйтесь простым брандмауэром, сервером ISA (Microsoft Internet Security and Acceleration Server) 2000 или брандмауэром независимого разработчика.

    Для этого необходимо выполнить следующие действия.
    1. Нажмите кнопку Пуск и выберите пункт Панель управления.
    2. На панели управления щелкните ссылку Сеть и подключения к Интернету, а затем — Сетевые подключения.
    3. Щелкните правой кнопкой мыши необходимое подключение и выберите пункт Свойства.
    4. На вкладке Дополнительно установите флажок Защитить мое подключение к Интернету.
    Примечания
    • Если при попытке выполнить эти действия компьютер отключается или перезагружается, перед включением брандмауэра разорвите связь с Интернетом. Если для подключения к Интернету используется широкополосное соединение, найдите кабель, подключенный к внешнему высокоскоростному модему или модему DSL, и отключите его от модема или телефонного разъема. В случае использования подключения удаленного доступа найдите кабель, соединяющий модем внутри компьютера с телефонным разъемом, и отключите этот кабель от телефонного разъема или от компьютера. Если отключиться от Интернета не удается, введите следующую команду, чтобы служба RPCSS не перезапускалась при сбое:
      sc failure rpcss reset= 0 actions= restart
      Чтобы вернуть стандартные параметры службы RPCSS после выполнения описанных действий, введите следующую команду:
      sc failure rpcss reset= 0 actions= reboot/60000
    • Если общее подключение к Интернету используют несколько компьютеров, включите брандмауэр только на том компьютере, который подключен к Интернету напрямую. Не включайте брандмауэр на остальных компьютерах, использующих общее подключение к Интернету. В Windows XP для включения брандмауэра подключения к Интернету используйте мастер настройки сети.
    • Брандмауэр не влияет на работу программы электронной почты или веб-обозревателя, но отключает некоторые интернет-программы, службы и функции. Для восстановления утраченной функциональности необходимо открыть в брандмауэре некоторые порты. Чтобы определить эти порты, обратитесь к документации соответствующей интернет-службы. Инструкции по открытию портов в брандмауэре см. в документации к брандмауэру. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
      308127 Как вручную открыть порты в брандмауэре подключения к Интернету для Windows XP
    • В некоторых случаях включить брандмауэр для подключения, которое не отображается в папке «Сетевые подключения», можно следующим образом. Если эти действия не помогают, обратитесь к поставщику услуг Интернета за информацией о защите подключения брандмауэром.
      1. Запустите Internet Explorer.
      2. В меню Сервис выберите команду Свойства обозревателя.
      3. На вкладке Подключения выберите подключение удаленного доступа, с помощью которого требуется подключиться к Интернету, и нажмите кнопку Настройка.
      4. В области Настройка удаленного доступа нажмите кнопку Свойства.
      5. На вкладке Дополнительно установите флажок Защитить мое подключение к Интернету.
    Дополнительные сведения о включении брандмауэра подключения к Интернету в Windows XP и Windows Server 2003 см. в следующей статье базы знаний Майкрософт:
    283673 Как включить или выключить брандмауэр подключения к Интернету в Windows XP
    Примечание. Брандмауэр подключения к Интернету имеется только в операционных системах Windows XP, Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition. Простой брандмауэр входит в состав службы маршрутизации и удаленного доступа. Его можно включить для любого общего интерфейса на компьютере под управлением операционной системы из семейства Windows Server 2003, на котором запущена эта служба.
  2. Найдите и удалите следующий раздел реестра (если он существует):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    Для этого необходимо выполнить следующие действия.
    1. Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
    2. Найдите раздел:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    3. Щелкните правой кнопкой мыши раздел
      KB823980
      и выберите команду Удалить.
  3. Чтобы устранить уязвимости, описанные в бюллетенях Майкрософт по безопасности MS03-039, MS03-026 и MS03-007, загрузите и установите на всех компьютерах исправления безопасности 824146 и 815021. Дополнительные сведения об исправлении безопасности 824146 и требованиях к его установке (например, наличие пакета обновления для используемой версии Windows) см. в следующей статье базы знаний Майкрософт:
    824146 Переполнение буфера в RPCSS может допустить запуск враждебных программ
    Дополнительные сведения об исправлении безопасности 823980 и требованиях к его установке (например, наличие пакета обновления для используемой версии Windows) см. в следующей статье базы знаний Майкрософт:
    823980 MS03-026: Переполнение буфера интерфейса RPC может допустить запуск кода
    Дополнительные сведения об исправлении безопасности 815021 и требованиях к его установке (например, наличие пакета обновления для используемой версии Windows) см. в следующей статье базы знаний Майкрософт:
    815021 MS03-007: Неограниченный буфер в компоненте Windows может привести к несанкционированному доступу к веб-серверу
  4. Установите или обновите антивирусные программы, а затем выполните полное сканирование компьютера.
  5. Загрузите и запустите средство удаления червя, разработанное производителем антивирусного программного обеспечения.

Восстановление Windows 2000 и Windows NT 4.0

В операционных системах Windows 2000 и Windows NT 4.0 отсутствует брандмауэр подключения к Интернету. Если для блокировки TCP-портов 135, 139, 445 и 593, UDP-портов 69 (TFTP), 135, 137, 138, и TCP-порта 80 не удается воспользоваться сервером ISA (Microsoft Internet Security and Acceleration Server) 2000 или брандмауэром независимого разработчика, выполните следующие действия, чтобы заблокировать указанные порты в локальной сети. Удаленные подключения не поддерживают фильтрацию TCP/IP. При выходе в Интернет с помощью удаленного подключения следует использовать брандмауэр.
  1. Настройте параметры безопасности TCP/IP. Для этого выполните одну из описанных ниже процедур в зависимости от используемой операционной системы.

    Windows 2000
    1. На панели управления дважды щелкните значок Сеть и удаленный доступ к сети.
    2. Щелкните правой кнопкой мыши интерфейс, который используется для получения доступа к Интернету, и выберите пункт Свойства.
    3. В списке Отмеченные компоненты используются этим подключением выберите элемент Протокол Интернета (TCP/IP) и нажмите кнопку Свойства.
    4. В окне Свойства протокола Интернета (TCP/IP) нажмите кнопку Дополнительно.
    5. Откройте вкладку Параметры.
    6. Выберите параметр Фильтрация TCP/IP и нажмите кнопку Свойства.
    7. Установите флажок Задействовать фильтрацию TCP/IP (все адаптеры).
    8. В этом окне имеются три столбца:
      • TCP-порты
      • UDP-порты
      • IP-протоколы
      Для каждого из этих столбцов выберите вариант Только.

      Дополнительные сведения о портах, которые должны быть открыты для установления доверительных отношений между доменами, см. в следующей статье базы знаний Майкрософт:
      179442 Настройка брандмауэра для установления доверительных отношений между доменами
    9. Нажмите кнопку ОК.

      Примечания
      • Если при попытке выполнить эти действия компьютер отключается или перезагружается, перед включением брандмауэра разорвите связь с Интернетом. Если для подключения к Интернету используется широкополосное соединение, найдите кабель, подключенный к внешнему высокоскоростному модему или модему DSL, и отключите его от модема или телефонного разъема. В случае использования подключения удаленного доступа найдите кабель, соединяющий модем внутри компьютера с телефонным разъемом, и отключите этот кабель от телефонного разъема или от компьютера.
      • Если общее подключение к Интернету используют несколько компьютеров, включите брандмауэр только на том компьютере, который подключен к Интернету напрямую. Не включайте брандмауэр на остальных компьютерах, использующих общее подключение к Интернету.
      • Брандмауэр не влияет на работу программы электронной почты или веб-обозревателя, но отключает некоторые интернет-программы, службы и функции. Для восстановления утраченной функциональности необходимо открыть в брандмауэре некоторые порты. Чтобы определить эти порты, обратитесь к документации соответствующей интернет-службы. Инструкции по открытию портов в брандмауэре см. в документации к брандмауэру.
      • Описанные действия представляют собой видоизмененные примеры из статьи базы знаний Майкрософт 309798. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
        309798 Настройка фильтрации TCP/IP в Small Business Server 2003
    Windows NT 4.0
    1. На панели управления дважды щелкните значок Сеть.
    2. Откройте вкладку Протокол, выберите пункт Протокол TCP/IP и нажмите кнопку Свойства.
    3. Откройте вкладку IP-адрес и нажмите кнопку Дополнительно.
    4. Установите флажок Включить защиту и нажмите кнопку Настройка.
    5. В столбцах Порты TCP, Порты UDP и IP-протоколы выберите вариант Только.
    6. Нажмите кнопку ОК и закройте окно настройки сети.
  2. Чтобы устранить уязвимости, описанные в бюллетенях Майкрософт по безопасности MS03-039, MS03-026 и MS03-007, загрузите и установите на всех компьютерах исправления безопасности 824146 и 815021. Исправление безопасности 824146 заменяет исправление 823980. Корпорация Майкрософт рекомендует установить исправление безопасности 824146. Этот пакет включает исправления проблем, описанных в бюллетене Майкрософт по безопасности MS03-026 (823980). Дополнительные сведения об исправлении безопасности 824146 см. в следующей статье базы знаний Майкрософт:
    824146 Переполнение буфера в RPCSS может допустить запуск враждебных программ
    Дополнительные сведения об исправлении безопасности 823980 и требованиях к его установке (например, наличие пакета обновления для используемой версии Windows) см. в следующей статье базы знаний Майкрософт:
    823980 MS03-026: Переполнение буфера интерфейса RPC может допустить запуск кода
    Дополнительные сведения об исправлении безопасности 815021 и требованиях к его установке (например, наличие пакета обновления для используемой версии Windows) см. в следующей статье базы знаний Майкрософт:
    815021 MS03-007: Неограниченный буфер в компоненте Windows может привести к несанкционированному доступу к веб-серверу
  3. Установите или обновите антивирусные программы, а затем выполните полное сканирование компьютера.
  4. Загрузите и запустите средство удаления червя, разработанное производителем антивирусного программного обеспечения.
    Network Associates
    http://vil.nai.com/vil/content/v_100559.htm

    Trend Micro
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

    Symantec
    http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
    За дополнительной информацией о Virus Information Alliance (VIA) обратитесь на следующий веб-узел:
    http://www.microsoft.com/technet/security/alerts/info/via.mspx

Ссылки

Дополнительные сведения см. на веб-узле корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/technet/security/alerts/nachi.mspx

Свойства

Код статьи: 826234 - Последний отзыв: 31 января 2007 г. - Revision: 6.3
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Professional Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT Advanced Server 3.1
  • операционная система Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server, Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Ключевые слова: 
kbtshoot KB826234

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com