关于 Nachi 蠕虫的病毒警报

文章翻译 文章翻译
文章编号: 826234 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

2003 年 8 月 18 日,Microsoft 产品支持服务安全小组发出警报,通知客户出现了一种新的蠕虫病毒。蠕虫这种计算机病毒通常情况下无需用户操作就可以传播,可通过网络(如 Internet)完整地进行自我复制(可能经过修改)。当时出现的这种新蠕虫病毒通常称为“Nachi”,它利用 Microsoft 安全公告 MS03-026 (823980) 和 MS03-007 (815021) 中讨论的安全漏洞,通过使用 Internet 信息服务器 (IIS) 5.0 支持的开放远程过程调用 (RPC) 端口或 World Wide Web Distributed Authoring and Versioning (WebDAV) 协议在网络上进行自我传播。

本文包含如何预防和如何从 Nachi 蠕虫感染中恢复的信息,供网络管理员和 IT 专业人员参考。Nachi 蠕虫又称 W32/Nachi.worm (Network Associates)、Lovsan.D (F-Secure)、WORM_MSBLAST.D (Trend Micro) 和 W32.Welchia.Worm (Symantec)。

运行本文开头部分列出的任何一种产品的计算机如果在 2003 年 8 月 18 日(发现该蠕虫的日期)之前未安装 823980 (MS03-026) 和 815021 (MS03-007) 安全修补程序,将容易受到该蠕虫的攻击。

注意:目前尚不确定此蠕虫的任何最新版本是否已感染运行 Windows Server 2003 或 Windows NT 4.0 的计算机。

有关从该蠕虫感染中恢复的其他信息,请联系防病毒软件供应商。 有关防病毒软件供应商的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
49500 防病毒软件供应商列表
有关 823980 (MS03-026) 和 815021 (MS03-007) 安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
823980 MS03-026:RPC 中的缓冲区溢出可能允许执行代码
815021 MS03-007:Windows 组件中未检查的缓冲区可能危及 Web 服务器的安全

更多信息

感染症状

如果您的计算机感染了此蠕虫病毒,其症状可能与 Microsoft 知识库文章 826955 中记录的感染冲击波蠕虫及其变种时的症状相同。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
826955 关于冲击波蠕虫及其变种的病毒警报
另外,Dllhost.exe 文件或 Svchost.exe 文件可能存在于您的 %windir%\System32\Wins 文件夹中。

注意:Dllhost.exe 或 Svchost.exe 是有效的 Windows 文件,但它们位于 %windir%\System32 文件夹中,而不是在 %windir%\System32\Wins 文件夹中。另外,此蠕虫复制到 %windir%\System32\Wins 文件夹中的 Svchost.exe 文件是 Windows Tftpd.exe 文件的副本。该蠕虫复制到 %windir%\System32\Wins 文件夹中的 Dllhost.exe 文件是此病毒的副本。此文件的病毒版本一般超过 10,000 字节。有效的 Windows Dllhost.exe 文件的大小为 5,632 字节 (Windows Server 2003)、4,608 字节 (Windows XP) 或 5,904 字节 (Windows 2000)。

技术细节

与冲击波蠕虫及其变种类似,此蠕虫也利用了 Microsoft 安全公告 MS03-026 中讨论的安全漏洞。此蠕虫指示目标计算机使用 TFTP 程序从受感染的系统中下载此蠕虫的副本。

除利用在 Microsoft 安全公告 MS03-026 中讨论的 RPC 安全漏洞外,该蠕虫也利用以前在 Microsoft 安全公告 MS03-007 中讨论的安全漏洞进行自我传播。这一攻击是通过使用端口 80 的 IIS 5.0 进行的。

在成功感染后,此蠕虫还将在被感染的计算机上错误地安装 823980 (MS03-026) 安全修补程序,方法是首先确定操作系统,然后为该操作系统下载相关的安全修补程序。错误地安装与 823980 (MS03-026) 安全修补程序关联的文件和注册表设置会导致感染的计算机易于受到 Microsoft 安全公告 MS03-026 中记录的问题的攻击,并且在您安装 Microsoft 版的 823980 (MS03-026) 安全修补程序时可能会产生问题。以下症状可能表明 Nachi 蠕虫已经安装了 823980 (MS03-026) 安全修补程序:
  • 在“添加或删除程序”工具中没有 823980 (MS03-026) 安全修补程序的条目。例如,“Windows XP 修复程序 - KB823980”未出现在“添加或删除程序”列表中。即使安装 Microsoft 版的 823980 (MS03-026) 安全修补程序之后,此问题仍然存在。发生此问题是因为该蠕虫是以“不存档”模式安装 823980 (MS03-026) 安全修补程序的。管理员可以通过使用 /n 开关安装 823980 (MS03-026) 安全修补程序。
  • 系统事件日志中有下面的条目:


    Source:NtServicePack
    Category:None
    Event ID:4359
    User:NT AUTHORITY\SYSTEM
    Description:Operating System Hotfix KB823980 was installed.

    注意:要按“来源”排序系统事件,请单击事件查看器中的“来源”列标题。

防范措施

要防止计算机感染此病毒,请按以下步骤进行:
  1. 启用 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版中的“Windows 防火墙”功能;或使用“基本防火墙”、Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火墙,来关闭 TCP 端口 135、139、445 和 593,关闭 UDP 端口 69 (TFTP)、135、137 和 138 以及 TCP 端口 80。

    若要启用 Windows XP 或 Windows Server 2003 中的 Windows 防火墙,请按照下列步骤操作:
    1. 单击“开始”,然后单击“控制面板”。
    2. 在“控制面板”中,双击“网络和 Internet 连接”,然后单击“网络连接”。
    3. 右键单击要启用 Windows 防火墙的连接,然后单击“属性”。
    4. 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。
    注意:某些拨号连接可能不会在“网络连接”文件夹中显示出来。例如,AOL 和 MSN 拨号连接就可能不会显示出来。在某些情况下,您可以使用下列步骤为“网络连接”文件夹中未显示的连接启用 Windows 防火墙。如果这些步骤不起作用,请与您的 Internet 服务提供商 (ISP) 联系,获取关于如何为 Internet 连接添加防火墙的信息。
    1. 启动 Internet Explorer。
    2. 在“工具”菜单上,单击“Internet 选项”。
    3. 单击“连接”选项卡,单击您用于连接到 Internet 的拨号连接,然后单击“设置”。
    4. 在“拨号设置”区域,单击“属性”。
    5. 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。
    有关如何启用 Windows XP 或 Windows Server 2003 中的 Windows 防火墙的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    283673 如何在 Windows XP 中启用或禁用 Windows 防火墙
    注意:仅在 Windows XP、Windows Server 2003 Standard Edition 和 Windows Server 2003 Enterprise Edition 中提供了 Windows 防火墙。“基本防火墙”是“路由和远程访问”的组件,对于既运行“路由和远程访问”又运行 Windows Server 2003 系列操作系统之一的计算机上的任何公共接口,都可启用“路由和远程访问”。
  2. 此蠕虫病毒使用以前公布的这两个漏洞作为它的一种感染手段。因此,您必须确保在所有的计算机上都安装了 823980 和 815021 安全修补程序,以便修补在 Microsoft 安全公告 MS03-026 和 MS03-007 中指出的漏洞。824146 安全修补程序替换 823980 安全修补程序。Microsoft 建议您安装 824146 安全修补程序。此修补程序也包含用于 Microsoft 安全公告 MS03-026 (823980) 中讨论的问题的修补程序。 有关 824146 安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    824146 RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
    有关 823980 安全修补程序和先决条件(如用于 Windows 版本的 Service Pack)的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    823980 MS03-026:RPC 接口中的缓冲区溢出可能允许执行代码
    有关 815021 安全修补程序和先决条件(如用于 Windows 版本的 Service Pack)的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    815021 MS03-007:Windows 组件中未检查的缓冲区可能危及 Web 服务器的安全
  3. 使用从您的防病毒软件供应商处获得的最新病毒检测特征库来检测新病毒及其变种。

恢复

根据最佳安全防护方法的建议,您应在系统安全曾被破坏过的计算机上执行一次完全“干净”的安装,以便清除掉可能会在将来危及系统安全的任何隐藏利用形式。有关其他信息,请访问下面的 CERT Coordination Center (CERT/CC) Advisory Web 站点:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
不过,许多防病毒公司提供了一些工具,用来清除与这一特定的蠕虫相关的已知利用形式。要从防病毒软件供应商处下载清除工具,请根据您的操作系统的情况执行下面的步骤之一。

Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版的恢复措施

  1. 启用 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版中的 Windows 防火墙功能;或使用“基本防火墙”、Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火墙。

    要启用 Windows 防火墙,请按照下列步骤操作:
    1. 单击“开始”,然后单击“控制面板”。
    2. 在“控制面板”中,双击“网络和 Internet 连接”,然后单击“网络连接”。
    3. 右键单击要启用 Windows 防火墙的连接,然后单击“属性”。
    4. 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。
    注意:
    • 如果在按照这些步骤操作时,您的计算机需要反复关机或重新启动,则在启用防火墙前,断开与 Internet 的连接。如果是通过宽带连接到 Internet 的,请找出接到外部 DSL 或电缆调制解调器的电缆,然后将其从调制解调器或电话插孔上拔掉。如果您使用的是拨号连接,请找出从计算机内部的调制解调器连到电话插孔的电话线,然后将其从电话插孔或计算机上拔掉。如果无法断开与 Internet 的连接,请使用以下命令将 RPCSS 配置为在服务失败时不重新启动计算机:
      sc failure rpcss reset= 0 actions= restart
      要在完成这些步骤之后将 RPCSS 重置为默认恢复设置,请使用下面的命令:
      sc failure rpcss reset= 0 actions= reboot/60000
    • 如果多台计算机共享一个 Internet 连接,则只在直接连接到 Internet 的计算机上使用防火墙。不要在共享 Internet 连接的其他计算机上使用防火墙。如果您运行的是 Windows XP,请使用“网络安装向导”来启用 Windows 防火墙。
    • 使用防火墙将不会影响您的电子邮件服务或 Web 浏览,但是防火墙可能会禁用一些 Internet 软件、服务或功能。如果发生这种情况,可能必须打开防火墙上的一些端口,供某些 Internet 功能使用。请参见无法工作的 Internet 服务中包含的文档,以确定必须打开哪些端口。要确定如何打开这些端口,请参见防火墙中包含的文档。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
      308127 如何在 Windows XP 中手动打开 Windows 防火墙中的端口
    • 在某些情况下,您可以使用下列步骤为“网络连接”文件夹中未显示的连接启用 Windows 防火墙。如果这些步骤不起作用,请与您的 Internet 服务提供商 (ISP) 联系,获取关于如何为 Internet 连接添加防火墙的信息。
      1. 启动 Internet Explorer。
      2. 在“工具”菜单上,单击“Internet 选项”。
      3. 单击“连接”选项卡,单击您用于连接到 Internet 的拨号连接,然后单击“设置”。
      4. 在“拨号设置”区域,单击“属性”。
      5. 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。
    有关如何启用 Windows XP 或 Windows Server 2003 中的 Windows 防火墙的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
    283673 如何在 Windows XP 中启用或禁用 Windows 防火墙
    注意:仅在 Windows XP、Windows Server 2003 Standard Edition 和 Windows Server 2003 Enterprise Edition 中提供了 Windows 防火墙。“基本防火墙”是“路由和远程访问”的一个组件,在运行“路由和远程访问”以及 Windows Server 2003 系列操作系统之一的计算机上,可以为任何公共接口启用该组件。
  2. 查找下面的注册表项,如果存在,则将其删除:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    为此,请按照下列步骤操作:
    1. 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
    2. 找到下面的注册表项:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    3. 右键单击
      KB823980
      注册表项,然后单击删除
  3. 请下载并在所有的计算机上安装 824146 和 815021 安全修补程序,以修复在 Microsoft 安全公告 MS03-039、MS03-026 和 MS03-007 中指出的漏洞。 有关 824146 安全修补程序和先决条件(如用于 Windows 版本的 Service Pack)的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    824146 RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
    有关 823980 安全修补程序和先决条件(如用于 Windows 版本的 Service Pack)的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    823980 MS03-026:RPC 接口中的缓冲区溢出可能允许执行代码
    有关 815021 安全修补程序和先决条件(如用于 Windows 版本的 Service Pack)的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    815021 MS03-007:Windows 组件中未检查的缓冲区可能危及 Web 服务器的安全
  4. 安装或更新您的防病毒特征库软件,然后彻底扫描系统。
  5. 从您的防病毒供应商处下载并运行蠕虫清除工具。

Windows 2000 和 Windows NT 4.0 的恢复措施

“Windows 防火墙”功能在 Windows 2000 或 Windows NT 4.0 中不可用。如果 Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火墙不能用来阻塞 TCP 端口 135、139、445、593 和 UDP 端口 69 (TFTP)、135、137、138 以及 TCP 端口 80,请按照下列步骤操作来帮助阻塞用于局域网 (LAN) 连接的受影响端口。TCP/IP 筛选不能用于拨号连接。如果您使用拨号连接来连接到 Internet,则应启用防火墙。
  1. 配置 TCP/IP 安全。为此,请使用针对您的操作系统的步骤。

    Windows 2000
    1. 在“控制面板”中,双击“网络和拨号连接”。
    2. 右键单击您用于访问 Internet 的界面,然后单击“属性”。
    3. 在“此连接使用选中的组件”框中,单击“Internet 协议 (TCP/IP)”,然后单击“属性”。
    4. 在“Internet 协议 (TCP/IP) 属性”对话框中,单击“高级”。
    5. 单击“选项”选项卡。
    6. 单击“TCP/IP 筛选”,然后单击“属性”。
    7. 单击以选中“启用 TCP/IP 筛选(所有适配器)”复选框。
    8. 该窗口中一共有三列,分别标有以下标签:
      • TCP 端口
      • UDP 端口
      • IP 协议
      在每一列中,单击“仅允许”选项。

      有关应该为域和信任关系打开哪些端口的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
      179442 如何为域和信任关系配置防火墙
    9. 单击“确定”。

      注意:
      • 如果在按照这些步骤操作时,您的计算机需要反复关机或重新启动,则在启用防火墙前,断开与 Internet 的连接。如果是通过宽带连接到 Internet 的,请找出接到外部 DSL 或电缆调制解调器的电缆,然后将其从调制解调器或电话插孔上拔掉。如果您使用的是拨号连接,请找出从计算机内部的调制解调器连到电话插孔的电话线,然后将其从电话插孔或计算机上拔掉。
      • 如果多台计算机共享一个 Internet 连接,则只在直接连接到 Internet 的计算机上使用防火墙。不要在共享 Internet 连接的其他计算机上使用防火墙。
      • 使用防火墙将不会影响您的电子邮件服务或 Web 浏览,但是防火墙可能会禁用一些 Internet 软件、服务或功能。如果发生这种情况,可能必须打开防火墙上的一些端口,供某些 Internet 功能使用。请参见无法工作的 Internet 服务中包含的文档,以确定必须打开哪些端口。要确定如何打开这些端口,请参见防火墙中包含的文档。
      • 这些步骤是通过修改 Microsoft 知识库中编号为 309798 的文章的节选内容而得来的。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
        309798 如何在 Small Business Server 2003 中配置 TCP/IP 筛选
    Windows NT 4.0
    1. 在“控制面板”中,双击“网络”。
    2. 单击“协议”选项卡,单击“TCP/IP 协议”,然后单击“属性”。
    3. 单击“IP 地址”选项卡,然后单击“高级”。
    4. 单击以选中“启用安全”复选框,然后单击“配置”。
    5. 在“TCP 端口”列、“UDP 端口”列和“IP 协议”列中,单击以选中“仅允许”设置。
    6. 单击“确定”,然后关闭网络工具。
  2. 请下载并在所有的计算机上安装 824146 和 815021 安全修补程序,以修复在 Microsoft 安全公告 MS03-039、MS03-026 和 MS03-007 中指出的漏洞。824146 安全修补程序替换 823980 安全修补程序。Microsoft 建议您安装 824146 安全修补程序。此修补程序也包含用于 Microsoft 安全公告 MS03-026 (823980) 中讨论的问题的修补程序。 有关 824146 安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    824146 RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
    有关 823980 安全修补程序和先决条件(如用于 Windows 版本的 Service Pack)的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    823980 MS03-026:RPC 接口中的缓冲区溢出可能允许执行代码
    有关 815021 安全修补程序和先决条件(如用于 Windows 版本的 Service Pack)的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    815021 MS03-007:Windows 组件中未检查的缓冲区可能危及 Web 服务器的安全
  3. 安装或更新您的防病毒特征库软件,然后彻底扫描系统。
  4. 从您的防病毒供应商处下载并运行蠕虫清除工具。
    Network Associates
    http://vil.nai.com/vil/content/v_100559.htm

    Trend Micro
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

    Symantec
    http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
    有关 Virus Information Alliance (VIA) 的更多信息,请访问以下 Microsoft Web 站点:
    http://www.microsoft.com/technet/security/topics/virus/default.mspx

参考

有关其他信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/security/alerts/nachi.mspx

属性

文章编号: 826234 - 最后修改: 2005年11月25日 - 修订: 5.7
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Terminal Server(终端服务器)
  • Microsoft Windows NT Server, Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 开发员版
关键字:?
kbhowto KB826234
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com