Virusvarning för masken Nachi

Artikelöversättning Artikelöversättning
Artikel-id: 826234 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Den 18 augusti 2003 varnade Microsoft Product Support Services Security Team för en ny mask. En mask är ett slags datavirus som i allmänhet sprids utan några åtgärder från användaren och som skickar fullständiga kopior (eventuellt modifierade) av sig själv via nätverk (som Internet). Denna nya mask, som i allmänhet kallas "Nachi", utnyttjar de säkerhetsproblem som beskrivs i Microsoft-säkerhetsbulletinerna MS03-026 (823980) och MS03-007 (815021) för att sprida sig i nätverk med hjälp av öppna RPC-portar (Remote Procedure Call) eller det WebDAV-protokoll (World Wide Web Distributed Authoring and Versioning) som stöds av Internet Information Server (IIS) 5.0.

Denna artikel innehåller information för nätverksadministratörer och IT-proffs om förebyggande åtgärder mot masken Nachi samt åtgärder om datorn angrips. Masken Nachi kallas också W32/Nachi.worm (Network Associates), Lovsan.D (F-Secure), WORM_MSBLAST.D (Trend Micro) och W32.Welchia.Worm (Symantec).

Datorer med någon av de produkter som nämns i början av denna artikel är sårbara om varken säkerhetskorrigering 823980 (MS03-026) eller säkerhetskorrigering 815021 (MS03-007) installerades före den 18 augusti 2003 (det datum då denna mask upptäcktes).

Obs! Det har inte bekräftats att någon aktuell version av denna mask har angripit datorer med Windows Server 2003 eller Windows NT 4.0.

Ytterligare information om hur datorn återställs från denna mask kan erhållas från leverantören av antivirusprogrammet. Om du vill veta mer om leverantörer av antivirusprogram klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
49500 Lista över leverantörer av antivirusprogram
Om du vill veta mer om säkerhetskorrigeringarna 823980 (MS03-026) och 815021 (MS03-007) klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
823980 MS03-026: Buffertöverskridning i RPC möjliggör körning av kod
815021 MS03-007: Oskyddad buffert i Windows-komponent kan orsaka problem på webbserver

Mer Information

Symptom på angrepp

Om datorn har angripits av denna mask kan det ge upphov till samma symptom som beskrivs i artikel 826955 i Microsoft Knowledge Base för masken Blaster och dess varianter. Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
826955 Virusvarning för masken Blaster med varianter
Dessutom kan filen Dllhost.exe eller Svchost.exe finnas i mappen %windir%\System32\Wins.

Obs! Dllhost.exe och Svchost.exe är giltiga Windows-filer, men de finns i mappen %windir%\System32, inte i mappen %windir%\System32\Wins. Dessutom är filen Svchost.exe som kopieras av masken till mappen %windir%\System32\Wins en kopia av Windows-filen Tftpd.exe. Filen Dllhost.exe som kopieras av masken till mappen %windir%\System32\Wins är en kopia av viruset. Virusversionen av denna fil är normalt över 10 000 byte stor. Den giltiga Windows-filen Dllhost.exe är på 5 632 byte (Windows Server 2003), 4 608 byte (Windows XP) eller 5 904 byte (Windows 2000).

Teknisk information

Liksom masken Blaster och dess varianter utnyttjar denna mask också det säkerhetsproblem som beskrivs i Microsoft-säkerhetsbulletinen MS03-026. Genom masken instrueras måldatorer att hämta en kopia av masken från den angripna datorn med hjälp av TFTP-programmet.

Förutom att masken utnyttjar det RPC-säkerhetsproblem som beskrivs i Microsoft-säkerhetsbulletin MS03-026 sprider den sig också med hjälp av det tidigare beskrivna säkerhetsproblemet i Microsoft-säkerhetsbulletin MS03-007. Detta sker med IIS 5.0 via port 80.

När datorn har angripits installeras också säkerhetskorrigering 823980 (MS03-026) felaktigt genom att operativsystemet först fastställs och säkerhetskorrigeringen för detta operativsystem sedan hämtas. En sådan felaktig installation av filer och registerinställningar som hör till säkerhetskorrigering 823980 (MS03-026) kan medföra att angripna datorer drabbas av de problem som dokumenteras i Microsoft-säkerhetsbulletin MS03-026. Det kan även uppstå problem vid försök att installera Microsoft-versionen av säkerhetskorrigering 823980 (MS03-026). Följande symptom kan tyda på att säkerhetskorrigering 823980 (MS03-026) har installerats av masken Nachi:
  • Det finns ingen post för säkerhetskorrigering 823980 (MS03-026) i Lägg till eller ta bort program. Windows XP Hotfix - KB823980 visas exempelvis inte i listan Lägg till eller ta bort program. Problemet kvarstår också efter installation av Microsoft-versionen av säkerhetskorrigering 823980 (MS03-026). Detta problem beror på att masken installerar säkerhetskorrigering 823980 (MS03-026) i läget "no archive". En administratör kan installera säkerhetskorrigering 823980 (MS03-026) i läget "no archive" med hjälp av växeln /n.
  • Följande post uppträder i systemhändelseloggen:

    Source: NtServicePack
    Category: Ingen
    Event ID: 4359
    User: NT AUTHORITY\SYSTEM
    Description: Operativsystem Hotfix KB823980 was installed.

    Obs! Du kan sortera systemhändelseloggen efter källa genom att klicka på kolumnrubriken Källa i Loggboken.

Förebyggande åtgärder

Så här förhindrar du att datorn angrips av detta virus:
  1. Aktivera Brandvägg för Internet-anslutning i Windows XP, i Windows Server 2003, Standard Edition, och i Windows Server 2003, Enterprise Edition, eller använd Basic Firewall, Microsoft Internet Security and Acceleration (ISA) Server 2000 eller en brandvägg från ett annat företag för att blockera TCP-portarna 135, 139, 445 och 593, UDP-portarna 69 (TFTP), 135, 137 och 138 samt TCP-port 80.

    Så här aktiverar du Brandvägg för Internet-anslutning i Windows XP och Windows Server 2003:
    1. Klicka på Start och sedan på Kontrollpanelen.
    2. Dubbelklicka på Nätverks- och Internet-inställningar på Kontrollpanelen, och klicka sedan på Nätverksanslutningar.
    3. Högerklicka på den anslutning du vill aktivera Brandvägg för Internet-anslutning för, och klicka sedan på Egenskaper.
    4. Klicka på fliken Avancerat, och markera sedan kryssrutan Skydda min dator och mitt nätverk genom att begränsa eller neka åtkomst till den här datorn från Internet.
    Obs! Vissa fjärranslutningar visas kanske inte i mapparna Nätverksanslutning. Detta kan exempelvis vara fallet för AOL- och MSN-fjärranslutningar. Ibland kan Brandvägg för Internet-anslutning aktiveras för en anslutning som inte visas i mappen Nätverksanslutning genom följande åtgärder. Om dessa åtgärder inte ger önskat resultat kan du kontakta Internet-leverantören för information om hur Internet-anslutningen kan skyddas med en brandvägg.
    1. Starta Internet Explorer.
    2. Klicka på Internet-alternativVerktyg-menyn.
    3. Klicka på fliken Anslutningar på fjärranslutningen du använder för att ansluta till Internet och sedan på Inställningar.
    4. Klicka på Egenskaper i området Uppringningsinställningar.
    5. Klicka på fliken Avancerat, och markera sedan kryssrutan Skydda min dator och mitt nätverk genom att begränsa eller neka åtkomst till den här datorn från Internet.
    Om du vill veta mer om hur du aktiverar Brandvägg för Internet-anslutning i Windows XP och Windows Server 2003, klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    283673 Aktivera eller inaktivera Brandvägg för Internet-anslutning i Windows XP
    Obs! Brandvägg för Internet-anslutning finns endast i Windows XP, Windows Server 2003, Standard Edition, och Windows Server 2003, Enterprise Edition. Basic Firewall är en del av Routning och fjärråtkomst som kan aktiveras för alla offentliga gränssnitt på en dator med både Routning och fjärråtkomst och Windows Server 2003.
  2. Denna mask utnyttjar två tidigare beskrivna säkerhetsproblem för att angripa datorer. Kontrollera därför att du har installerat säkerhetskorrigeringarna 823980 och 815021 på alla datorer för att korrigera det säkerhetsproblem som beskrivs i Microsoft-säkerhetsbulletinerna MS03-026 och MS03-007. Säkerhetskorrigering 824146 ersätter säkerhetskorrigering 823980. Microsoft rekommenderar att du installerar säkerhetskorrigering 824146. Denna korrigeringsfil innehåller också korrigeringar för de problem som beskrivs i Microsoft-säkerhetsbulletin MS03-026 (823980). Om du vill veta mer om säkerhetskorrigering 824146 klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    824146 Buffertöverskridning i RPCSS möjliggör körning av skadliga program
    Om du vill veta mer om säkerhetskorrigering 823980 och dess förutsättningar (till exempel ett Service Pack för den aktuella Windows-versionen), klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    823980 MS03-026: Buffertöverskridning i RPC-gränssnitt möjliggör körning av kod
    Om du vill veta mer om säkerhetskorrigering 815021 och dess förutsättningar (till exempel ett Service Pack för den aktuella Windows-versionen), klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    815021 MS03-007: Oskyddad buffert i Windows-komponent kan orsaka problem på webbserver
  3. Använd den senaste uppdateringen av antivirusprogrammet för att identifiera nya virus och deras varianter.

Återställning

Höga säkerhetsnormer kräver att du genomför en fullständig, "ren" installation på en tidigare smittad dator för att ta bort all oupptäckt skadlig kod som kan smitta datorn i framtiden. Ytterligare information finns på följande CERT Coordination Center (CERT/CC) Advisory-webbplats:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
Många antivirusföretag har skapat verktyg för borttagning av denna mask. Hämta borttagningsverktyget från leverantören av antivirusprogrammet genom någon av nedanstående åtgärder.

Återställning för Windows XP, Windows Server 2003, Standard Edition, och Windows Server 2003, Enterprise Edition

  1. Aktivera Brandvägg för Internet-anslutning i Windows XP, i Windows Server 2003, Standard Edition, och i Windows Server 2003, Enterprise Edition, eller använd Basic Firewall, Microsoft Internet Security and Acceleration (ISA) Server 2000 eller en brandvägg från ett annat företag.

    Så här aktiverar du Brandvägg för Internet-anslutning:
    1. Klicka på Start och sedan på Kontrollpanelen.
    2. Dubbelklicka på Nätverks- och Internet-inställningar på Kontrollpanelen, och klicka sedan på Nätverksanslutningar.
    3. Högerklicka på den anslutning du vill aktivera Brandvägg för Internet-anslutning för, och klicka sedan på Egenskaper.
    4. Klicka på fliken Avancerat, och markera sedan kryssrutan Skydda min dator och mitt nätverk genom att begränsa eller neka åtkomst till den här datorn från Internet.
    Obs!
    • Om datorn stängs av eller startar om upprepade gånger när du försöker utföra åtgärderna, kopplar du från Internet innan du aktiverar brandväggen. Om du ansluter till Internet via en bredbandsanslutning letar du upp kabeln från det externa DSL- eller kabelmodemet och drar sedan ut kabeln från modemet eller telefonjacket. Om du använder en fjärranslutning letar du upp den telefonkabel som går från modemet inuti datorn till telefonjacket, och drar sedan ut kabeln från telefonjacket eller datorn. Om det inte går att koppla från Internet använder du följande kommando för att konfigurera RPCSS så att datorn inte startas om när tjänsten inte fungerar:
      sc failure rpcss reset= 0 actions= restart
      Använd följande kommando för att återställa RPCSS till standardinställningen för återställning efter dessa åtgärder:
      sc failure rpcss reset= 0 actions= reboot/60000
    • Om du delar en Internet-anslutning på flera datorer använder du bara en brandvägg på den dator som är direkt ansluten till Internet. Använd inte en brandvägg på andra datorer som delar Internet-anslutningen. I Windows XP använder du guiden Konfigurera nätverk för att aktivera Brandvägg för Internet-anslutning.
    • Brandväggen bör inte påverka e-post eller Internet-surfning, men den kan inaktivera vissa program, tjänster eller funktioner på Internet. I sådana fall måste du kanske öppna vissa portar i brandväggen för att de aktuella Internet-funktionerna ska fungera. Information om vilka portar som måste öppnas finns i dokumentationen till den Internet-tjänst som inte fungerar. Information om hur du öppnar portarna finns i dokumentationen till brandväggen. Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
      308127 Öppna portar manuellt i Brandvägg för Internet-anslutning i Windows XP
    • Ibland kan Brandvägg för Internet-anslutning aktiveras för en anslutning som inte visas i mappen Nätverksanslutningar genom följande åtgärder. Om dessa åtgärder inte ger önskat resultat kan du kontakta Internet-leverantören för information om hur Internet-anslutningen kan skyddas med en brandvägg.
      1. Starta Internet Explorer.
      2. Klicka på Internet-alternativVerktyg-menyn.
      3. Klicka på fliken Anslutningar på fjärranslutningen du använder för att ansluta till Internet och sedan på Inställningar.
      4. Klicka på Egenskaper i området Uppringningsinställningar.
      5. Klicka på fliken Avancerat, och markera sedan kryssrutan Skydda min dator och mitt nätverk genom att begränsa eller neka åtkomst till den här datorn från Internet.
    Om du vill veta mer om hur du aktiverar Brandvägg för Internet-anslutning i Windows XP och Windows Server 2003, klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    283673 Aktivera eller inaktivera Brandvägg för Internet-anslutning i Windows XP
    Obs! Brandvägg för Internet-anslutning finns endast i Windows XP, Windows Server 2003, Standard Edition, och Windows Server 2003, Enterprise Edition. Basic Firewall är en del av Routning och fjärråtkomst som kan aktiveras för alla offentliga gränssnitt på en dator med både Routning och fjärråtkomst och Windows Server 2003.
  2. Leta upp och ta bort följande registernyckel om den finns:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    Gör så här:
    1. Klicka på Start, klicka på Kör, skriv regedit och klicka på OK.
    2. Leta upp följande registernyckel:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    3. Högerklicka på nyckeln
      KB823980
      och klicka sedan på Ta bort.
  3. Hämta säkerhetskorrigeringarna 824146 och 815021 och installera dem på alla datorer för att korrigera det säkerhetsproblem som beskrivs i Microsoft-säkerhetsbulletinerna MS03-039, MS03-026 och MS03-007. Om du vill veta mer om säkerhetskorrigering 824146 och dess förutsättningar (till exempel ett Service Pack för den aktuella Windows-versionen), klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    824146 Buffertöverskridning i RPCSS möjliggör körning av skadliga program
    Om du vill veta mer om säkerhetskorrigering 823980 och dess förutsättningar (till exempel ett Service Pack för den aktuella Windows-versionen), klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    823980 MS03-026: Buffertöverskridning i RPC-gränssnitt möjliggör körning av kod
    Om du vill veta mer om säkerhetskorrigering 815021 och dess förutsättningar (till exempel ett Service Pack för den aktuella Windows-versionen), klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    815021 MS03-007: Oskyddad buffert i Windows-komponent kan orsaka problem på webbserver
  4. Installera eller uppdatera antivirusprogrammet, och gör sedan en fullständig genomsökning av datorn.
  5. Hämta och kör verktyget för maskborttagning från leverantören av antivirusprogrammet.

Återställning för Windows 2000 och Windows NT 4.0

Funktionen Brandvägg för Internet-anslutning finns inte i Windows 2000 eller Windows NT 4.0. Om du inte har tillgång till Microsoft Internet Security and Acceleration (ISA) Server 2000 eller en brandvägg från ett annat företag för att blockera TCP-portarna 135, 139, 445 och 593, UDP-portarna 69 (TFTP), 135, 137 och 138 samt TCP-port 80, blockerar du de aktuella portarna för anslutningar till det lokala nätverket. TCP/IP-filtrering är inte tillgängligt för fjärranslutningar. Om du ansluter till Internet med en fjärranslutning bör du aktivera en brandvägg.
  1. Konfigurera TCP/IP-säkerhet. Gör så här:

    Windows 2000
    1. Dubbelklicka på Nätverks- och fjärranslutningar på Kontrollpanelen.
    2. Högerklicka gränssnittet du använder för Internet-åtkomst, och klicka sedan på Egenskaper.
    3. Klicka på Internet Protocol (TCP/IP) i rutan Markerade komponenter används av anslutningen, och klicka sedan på Egenskaper.
    4. Klicka på Avancerat i dialogrutan Egenskaper för Internet Protocol (TCP/IP).
    5. Klicka på fliken Alternativ.
    6. Klicka på TCP/IP-filtrering och sedan på Egenskaper.
    7. Markera kryssrutan Aktivera TCP/IP-filtrering (alla kort).
    8. Det finns tre kolumner med följande etiketter:
      • TCP-portar
      • UDP-portar
      • IP-protokoll
      Markera alternativet Tillåt endast.

      Om du vill veta mer om vilka portar som ska vara öppna för domäner och förtroenden klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
      179442 Konfigurera en brandvägg för domäner och förtroenden
    9. Klicka på OK.

      Obs!
      • Om datorn stängs av eller startar om upprepade gånger när du försöker utföra åtgärderna, kopplar du från Internet innan du aktiverar brandväggen. Om du ansluter till Internet med en bredbandsanslutning letar du upp kabeln från det externa DSL- eller kabelmodemet, och drar sedan ut denna kabel från modemet eller telefonjacket. Om du använder en fjärranslutning letar du upp den telefonkabel som går från modemet inuti datorn till telefonjacket, och drar sedan ut kabeln från telefonjacket eller datorn.
      • Om du delar en Internet-anslutning på flera datorer använder du bara en brandvägg på den dator som är direkt ansluten till Internet. Använd inte en brandvägg på andra datorer som delar Internet-anslutningen.
      • Brandväggen bör inte påverka e-post eller Internet-surfning, men den kan inaktivera vissa program, tjänster eller funktioner på Internet. I sådana fall måste du kanske öppna vissa portar i brandväggen för att de aktuella Internet-funktionerna ska fungera. Information om vilka portar som måste öppnas finns i dokumentationen till den Internet-tjänst som inte fungerar. Information om hur du öppnar portarna finns i dokumentationen till brandväggen.
      • Åtgärderna bygger på ett modifierat utdrag från artikel 309798 i Microsoft Knowledge Base. Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
        309798 Konfigurera TCP/IP-filtrering i Small Business Server 2003
    Windows NT 4.0
    1. Dubbelklicka på Nätverk på Kontrollpanelen.
    2. Klicka på fliken Protokoll, TCP/IP Protocol och Egenskaper.
    3. Klicka på fliken IP-adress och sedan på Avancerat.
    4. Markera kryssrutan Aktivera säkerhet och klicka på Konfigurera.
    5. Markera Tillåt endast i kolumnerna TCP-portar, UDP-portar och IP-protokoll.
    6. Klicka på OK och stäng Nätverk.
  2. Hämta säkerhetskorrigeringarna 824146 och 815021 och installera dem på alla datorer för att korrigera det säkerhetsproblem som beskrivs i Microsoft-säkerhetsbulletinerna MS03-039, MS03-026 och MS03-007. Säkerhetskorrigering 824146 ersätter säkerhetskorrigering 823980. Microsoft rekommenderar att du installerar säkerhetskorrigering 824146. Denna korrigeringsfil innehåller också korrigeringar för de problem som beskrivs i Microsoft-säkerhetsbulletin MS03-026 (823980). Om du vill veta mer om säkerhetskorrigering 824146 klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    824146 Buffertöverskridning i RPCSS möjliggör körning av skadliga program
    Om du vill veta mer om säkerhetskorrigering 823980 och dess förutsättningar (till exempel ett Service Pack för den aktuella Windows-versionen), klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    823980 MS03-026: Buffertöverskridning i RPC-gränssnitt möjliggör körning av kod
    Om du vill veta mer om säkerhetskorrigering 815021 och dess förutsättningar (till exempel ett Service Pack för den aktuella Windows-versionen), klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    815021 MS03-007: Oskyddad buffert i Windows-komponent kan orsaka problem på webbserver
  3. Installera eller uppdatera antivirusprogrammet, och gör sedan en fullständig genomsökning av datorn.
  4. Hämta och kör verktyget för maskborttagning från leverantören av antivirusprogrammet.
    Network Associates
    http://vil.nai.com/vil/content/v_100559.htm

    Trend Micro
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

    Symantec
    http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
    Mer information om VIA (Virus Information Alliance) finns på följande Microsoft-webbplats:
    http://www.microsoft.com/technet/security/alerts/info/via.mspx

Referenser

Ytterligare information finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/security/alerts/nachi.mspx

Egenskaper

Artikel-id: 826234 - Senaste granskning: den 31 januari 2007 - Revision: 6.3
Informationen i denna artikel gäller:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Server, Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Nyckelord: 
kbtshoot KB826234

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com