Nachi 病蟲的病毒警訊

文章翻譯 文章翻譯
文章編號: 826234 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

2003 年 8 月 18 日,「Microsoft 技術支援處安全性小組」發佈了一項警訊,通知客戶出現新的病蟲。 病蟲是一種電腦病毒,通常不需要使用者執行動作就能直接散佈出去,並且會透過網路 (例如網際網路) 散發本身的完整複本 (可能經過修改)。一般人們熟知的 Nachi,這個新病蟲會剝削利用 Microsoft 安全性公告 MS03-026 (823980) 及 MS03-007 (815021) 所解決的弱點,藉由開啟 Internet Information Server (IIS) 5.0 所支援的「遠端程序呼叫」(RPC,Remote Procedure Call) 連接埠或全球資訊網「分散式撰寫及版本處理」(WebDAV,World Wide Web Distributed Authoring and Versioning) 通訊協定,將本身散播到網路上。

本文包含了有關網路系統管理員及 IT 專業人員如何防範 Nachi 病蟲,以及如何從 Nachi 病蟲感染修復的資訊。Nachi 病蟲也稱為 W32/Nachi.worm (Network Associates)、Lovsan.D (F-Secure)、WORM_MSBLAST.D (Trend Micro) 及 W32.Welchia.Worm (Symantec)。

如果執行本文開頭所列任何產品的電腦未在 2003 年 8 月 18 日 (發現這個病蟲的日期) 之前安裝 823980 (MS03-026) 及 815021 (MS03-007) 安全性補充程式,就會容易受到病毒感染。

注意 尚未證實這個病毒的任何目前版本已經感染了執行 Windows Server 2003 或 Windows NT 4.0 的電腦。

如需有關從這個病蟲修復的詳細資訊,請與您的防毒軟體廠商聯絡。 如需有關防毒軟體廠商的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
49500 防毒軟體廠商的清單
如需有關 823980 (MS03-026) 及 815021 (MS03-007) 安全性補充程式的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
823980 MS03-026:RPC 介面中的緩衝區滿溢可能會允許程式碼執行
815021 MS03-007:Windows 元件中未檢查的緩衝區可能導致 Web 伺服器受損

其他相關資訊

感染的徵狀

如果您的電腦感染到這個病蟲,可能會出現「Microsoft 知識庫」文件 826955 中所述與 Blaster 病蟲及其變種相同的徵狀。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
826955 關於 Blaster 病蟲及其變種的病毒警告
此外,Dllhost.exe 檔或 Svchost.exe 檔可能會存在於 %windir%\System32\Wins 資料夾中。

注意 Dllhost.exe 或 Svchost.exe 是有效的 Windows 檔案,但這兩個檔案是位於 %windir%\System32 資料夾,而非 %windir%\System32\Wins 資料夾。此外,這個病蟲複製到 %windir%\System32\Wins 資料夾的 Svchost.exe 檔是 Windows Tftpd.exe 檔的複本, 而這個病蟲複製到 %windir%\System32\Wins 資料夾的 Dllhost.exe 檔是病毒的複本。檔案的病毒版本大小通常會超過 10,000 位元組。有效 Windows Dllhost.exe 檔的大小為 5,632 位元組 (Windows Server 2003)、4,608 位元組 (Windows XP) 或 5,904 位元組 (Windows 2000)。

詳細技術資訊

與 Blaster 病蟲及其變種相類似,這個病蟲也會剝削利用 Microsoft 安全性公告 MS03-026 所解決的弱點。病蟲會指示目標電腦使用 TFTP 程式從受影響的系統,下載病蟲的複本。

除了剝削利用 Microsoft 安全性公告 MS03-026 解決的 RPC 弱點以外,這個病蟲還會利用先前 Microsoft 安全性公告 MS03-007 已經解決的弱點,將病毒本身散播出去。此剝削利用會透過連接埠 80 導向至 IIS 5.0。

為了達到成功的感染,這個病蟲會先找出作業系統,然後為該作業系統下載相關的安全性補充程式,以便不當地在受感染的電腦上安裝 823980 (MS03-026) 安全性補充程式。不當地安裝與 823980 (MS03-026) 安全性補充程式相關的檔案及登錄設定,可能會使受感染的電腦容易發生 Microsoft 安全性公告 MS03-026 所述的問題,並且在您嘗試安裝 Microsoft 版本的 823980 (MS03-026) 安全性補充程式時,可能也會造成問題。下列徵狀可能表示 823980 (MS03-026) 安全性補充程式是由 Nachi 病蟲所安裝:
  • 「新增或移除程式」工具中沒有代表 823980 (MS03-026) 安全性補充程式的項目。 例如,「新增或移除程式」清單中沒有顯示 Windows XP Hotfix - KB823980。即使您安裝了 Microsoft 版本的 823980 (MS03-026) 安全性補充程式,仍會出現這個問題。之所以發生這個問題,是因為病蟲以「無封存」模式來安裝 823980 (MS03-026) 安全性補充程式所造成的。系統管理員可以利用 /n 參數,以「無封存」模式來安裝 823980 (MS03-026) 安全性補充程式。
  • 系統事件日誌會顯示下列項目:

    來源:NtServicePack
    類別:無
    事件 ID:4359
    使用者:NT AUTHORITY\SYSTEM
    描述:Operating System Hotfix KB823980 was installed. (Operating System 已經安裝 Hotfix KB823980)。

    按一下 [事件檢視器] 中的 [來源] 欄位標題,然後記下依照「來源」排序的「到」。

預防

如果要防止這個病毒感染您的電腦,請執行下列步驟:
  1. 啟用 Windows XP、Windows Server 2003 Standard Edition 及 Windows Server 2003 Enterprise Edition 中的「網際網路連線防火牆」功能 (ICF),或者使用「基本防火牆」、Microsoft Internet Security and Acceleration (ISA) Server 2000 或協力廠商的防火牆來封鎖 TCP 連接埠 135、139、445 及 593、UDP 連接埠 69 (TFTP)、135、137 和 138,以及 TCP 連接埠 80。

    如果要啟用 Windows XP 或 Windows Server 2003 中的 ICF,請執行下列步驟:
    1. 按一下 [開始],再按一下 [控制台]
    2. 在 [控制台] 中,按兩下 [網路和網際網路連線],然後按一下 [網路連線]
    3. 用滑鼠右鍵按一下您想要啟用 ICF 的連線,再按一下 [內容]
    4. 按一下 [進階] 索引標籤,然後按一下以選取 [以限制或防止來自網際網路對這台電腦的存取來保護我的電腦] 核取方塊。
    注意 某些撥號連線可能不會出現在 [網路連線] 資料夾中。例如,AOL 及 MSN 撥號連線可能不會顯示出來。 有時候,您可以執行下列程序,為無法顯示在 [網路連線] 資料夾中的連線啟用 ICF。 如果下列步驟行不通,請聯絡您的網際網路服務提供者,以取得有關如何保護網際網路連線的資訊。
    1. 開啟 Internet Explorer。
    2. 按一下 [工具] 功能表上的 [網際網路選項]
    3. 按一下 [連線] 索引標籤,按一下您想要連線至網際網路的撥號連線,然後按一下 [設定值]
    4. 按一下 [撥號設定] 區域中的 [內容]。
    5. 按一下 [進階] 索引標籤,然後按一下以選取 [以限制或防止來自網際網路對這台電腦的存取來保護我的電腦] 核取方塊。
    如需有關如何啟用 Windows XP 或 Windows Server 2003 中「網際網路連線防火牆」的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    283673 HOW TO:啟用或停用 Windows XP 中的網際網路連線防火牆
    注意 ICF 只在 Windows XP、Windows Server 2003 Standard Edition 及 Windows Server 2003 Enterprise Edition 中提供使用。「基本防火牆」是「路由及遠端存取」的元件,您可以為執行「路由及遠端存取」及 Windows Server 2003 系列成員電腦上的任何公用介面加以啟用。
  2. 這個病蟲會利用兩個先前已經宣佈的弱點,做為感染途徑的一部份。基於這個原因,請務必確認您已經在所有電腦上安裝 823980 及 815021 安全性補充程式,以解決 Microsoft 安全性公告 MS03-026 及 MS03-007 中所找到的弱點。824146 安全性補充程式取代了 823980 安全性補充程式。Microsoft 建議您安裝 824146 安全性補充程式。此補充程式也包含了有關 Microsoft 安全性公告 MS03-026 (823980) 所解決問題的修正程式。 如需有關 824146 安全性補充程式的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    824146 MS03-039:RPCSS 緩衝區滿溢可能會使攻擊者執行惡意的程式
    如需有關 823980 安全性補充程式及任何先決條件 (例如適用於您的 Windows 版本的 Service Pack) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    823980 MS03-026:RPC 介面中的緩衝區滿溢可能會允許程式碼執行
    如需有關 815021 安全性補充程式及任何先決條件 (例如適用於您的 Windows 版本的 Service Pack) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    815021 MS03-007:Windows 元件中未檢查的緩衝區可能導致 Web 伺服器受損
  3. 使用防毒廠商所提供的最新病毒偵測簽章,來偵測新的病毒及其變種。

修復

最佳的安全性實務做法建議您,在先前已受到病毒危害的電腦上執行完整的「全新」安裝,以移除未來可能造成危害的任何未發現剝削利用。 如需詳細資訊,請造訪 CERT Coordination Center (CERT/CC) Advisory 網站:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
不過,許多防毒公司也會提供工具,來移除與此特殊病蟲有關的已知剝削利用。 如果要下載防毒廠商所提供的移除工具,請依照您的作業系統,執行下列其中一套程序。

修復 Windows XP、Windows Server 2003 Standard Edition 及 Windows Server 2003 Enterprise Edition

  1. 啟用 Windows XP、Windows Server 2003 Standard Edition 及 Windows Server 2003 Enterprise Edition 中的「網際網路連線防火牆」功能 (ICF),或者使用「基本防火牆」、Microsoft Internet Security and Acceleration (ISA) Server 2000 或協力廠商的防火牆。

    如果要啟用 ICF,請依照下列步驟執行:
    1. 按一下 [開始],再按一下 [控制台]
    2. 在 [控制台] 中,按兩下 [網路和網際網路連線],然後按一下 [網路連線]
    3. 用滑鼠右鍵按一下您想要啟用 ICF 的連線,再按一下 [內容]
    4. 按一下 [進階] 索引標籤,然後按一下以選取 [以限制或防止來自網際網路對這台電腦的存取來保護我的電腦] 核取方塊。
    注意
    • 當您嘗試執行這些步驟時,如果電腦不斷地關機或重新啟動,請先中斷網際網路的連線,再啟用防火牆。 如果您透過寬頻連線連接至網際網路,請找出外部 DSL 數據機或纜線數據機所連接的纜線,然後拔掉數據機或電話接頭的纜線。 如果您使用撥號連線,請找出電腦內部連接至電話接頭的數據機所連接的電話線,然後拔掉電話接頭或電腦的纜線。如果無法中斷網際網路的連線,請使用下列命令,將 RPCSS 設定為在服務失敗時,不要重新啟動電腦:
      sc failure rpcss reset= 0 actions= restart
      如果要在完成這些步驟之後,將 RPCSS 重設為預設的修復設定,請使用下列命令:
      sc failure rpcss reset= 0 actions= reboot/60000
    • 如果您擁有一部以上共用網際網路連線的電腦,請只在直接連線至網際網路的電腦上啟用防火牆。 請勿在共用網際網路連線的其他電腦上使用防火牆。如果您的電腦是執行 Windows XP,請使用「網路安裝精靈」來啟用 ICF。
    • 使用防火牆應該不會影響到您的電子郵件服務或網頁瀏覽功能,但是防火牆可能會停用某些網際網路軟體、服務或功能。 如果發生這種情形,您可以開啟防火牆上的連接埠,以便使用某些網際網路功能。如果要判斷您必須開啟哪些連接埠,請參閱目前未運作的網際網路服務所隨附的說明文件。 如果要判斷如何開啟這些連接埠,請參閱防火牆所隨附的說明文件。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
      308127 如何手動開啟 Windows XP 網際網路連線防火牆中的連接埠
    • 有時候,您可以執行下列程序,為無法顯示在 [網路連線] 資料夾中的連線啟用 ICF。 如果下列步驟行不通,請聯絡您的網際網路服務提供者,以取得有關如何保護網際網路連線的資訊。
      1. 開啟 Internet Explorer。
      2. 按一下 [工具] 功能表上的 [網際網路選項]
      3. 按一下 [連線] 索引標籤,按一下您想要連線至網際網路的撥號連線,然後按一下 [設定值]
      4. 按一下 [撥號設定] 區域中的 [內容]。
      5. 按一下 [進階] 索引標籤,然後按一下以選取 [以限制或防止來自網際網路對這台電腦的存取來保護我的電腦] 核取方塊。
    如需有關如何啟用 Windows XP 或 Windows Server 2003 中 ICF 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    283673 HOW TO:啟用或停用 Windows XP 中的網際網路連線防火牆
    注意 ICF 只在 Windows XP、Windows Server 2003 Standard Edition 及 Windows Server 2003 Enterprise Edition 中提供使用。「基本防火牆」是「路由及遠端存取」的元件,您可以為執行「路由及遠端存取」及 Windows Server 2003 系列成員電腦上的任何公用介面加以啟用。
  2. 找出並刪除下列登錄機碼 (如果存在):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    如果要執行這項操作,請依照下列步驟執行:
    1. 按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
    2. 找出下列登錄機碼:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823980
    3. 用滑鼠右鍵按一下
      KB823980
      機碼,然後按一下 [刪除]
  3. 在所有的電腦上下載並安裝 824146 及 815021 安全性補充程式,以解決 Microsoft 安全性公告 MS03-039、MS03-026 及 MS03-007 所發現的弱點。 如需有關 824146 安全性補充程式及任何先決條件 (例如適用於您的 Windows 版本的 Service Pack) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    824146 MS03-039:RPCSS 緩衝區滿溢可能會使攻擊者執行惡意的程式
    如需有關 823980 安全性補充程式及任何先決條件 (例如適用於您的 Windows 版本的 Service Pack) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    823980 MS03-026:RPC 介面中的緩衝區滿溢可能會允許程式碼執行
    如需有關 815021 安全性補充程式及任何先決條件 (例如適用於您的 Windows 版本的 Service Pack) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    815021 MS03-007:Windows 元件中未檢查的緩衝區可能導致 Web 伺服器受損
  4. 安裝或更新您的防毒簽章軟體,然後執行完整的系統掃描。
  5. 下載並執行防毒廠商所提供的病蟲移除工具。

修復 Windows 2000 及 Windows NT 4.0

Windows 2000 或 Windows NT 4.0 並未提供「網際網路連線防火牆」功能。如果無法使用 Microsoft Internet Security and Acceleration (ISA) Server 2000 或協力廠商的防火牆來封鎖 TCP 連接埠 135、139、445 及 593、UDP 連接埠 69 (TFTP)、135、137 及 138,以及 TCP 連接埠 80,請執行下列步驟,以封鎖區域網路 (LAN) 連線的受影響連接埠。撥號連線無法使用「TCP/IP 篩選」。如果您正在使用撥號連線連接至網際網路,就應該啟用防火牆。
  1. 設定 TCP/IP 安全性。如果要執行這項操作,請根據您的作業系統執行下列程序。

    Windows 2000
    1. 在 [控制台] 中,按兩下 [網路和撥號連線]
    2. 用滑鼠右鍵按一下您用來存取網際網路的介面,然後按一下 [內容]
    3. [核取這個連線所要使用的元件] 方塊中,按一下[Internet Protocol (TCP/IP)],再按一下 [內容]
    4. [Internet Protocol (TCP/IP) 內容] 對話方塊中,按一下 [進階]
    5. 按一下 [選項] 索引標籤。
    6. 按一下 [TCP/IP 篩選],然後按一下 [內容]
    7. 按一下以選取 [啟用 TCP/IP 篩選 (所有的網路卡)] 核取方塊。
    8. 這個方塊中會有三個欄位並具有下列標籤:
      • TCP 連接埠
      • UDP 連接埠
      • IP 通訊協定
      按一下每個欄位的 [只允許] 選項。

      如需有關應該開啟做為網域及信任連接埠的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
      179442 如何設定網域和信任的防火牆
    9. 按一下 [確定]

      注意
      • 當您嘗試執行這些步驟時,如果電腦不斷地關機或重新啟動,請先中斷網際網路的連線,再啟用防火牆。 如果您透過寬頻連線連接至網際網路,請找出外部 DSL 數據機或纜線數據機所連接的纜線,然後拔掉數據機或電話接頭的纜線。 如果您使用撥號連線,請找出電腦內部連接至電話接頭的數據機所連接的電話線,然後拔掉電話接頭或電腦的纜線。
      • 如果您擁有一部以上共用網際網路連線的電腦,請只在直接連線至網際網路的電腦上啟用防火牆。 請勿在共用網際網路連線的其他電腦上使用防火牆。
      • 使用防火牆應該不會影響到您的電子郵件服務或網頁瀏覽功能,但是防火牆可能會停用某些網際網路軟體、服務或功能。 如果發生這種情形,您可以開啟防火牆上的連接埠,以便使用某些網際網路功能。如果要判斷您必須開啟哪些連接埠,請參閱目前未運作的網際網路服務所隨附的說明文件。 如果要判斷如何開啟這些連接埠,請參閱防火牆所隨附的說明文件。
      • 這些步驟為「Microsoft 知識庫」文件 309798 內容的修改摘錄。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
        309798 如何在 Small Business Server 2003 中設定 TCP/IP 篩選
    Windows NT 4.0
    1. 在 [控制台] 中,按兩下 [網路]
    2. 按一下 [通訊協定] 索引標籤,再按一下 [TCP/IP 通訊協定],然後按 [內容]
    3. 按一下 [IP 位址] 索引標籤,再按一下 [進階]
    4. 按一下以選取 [啟用安全設定] 核取方塊,然後按一下 [設定]
    5. [TCP 連接埠] 欄位、[UDP 連接埠] 欄位及 [IP 通訊協定] 欄位中,按一下以選取 [只允許] 設定。
    6. 按一下 [確定],然後關閉「網路」工具。
  2. 在所有的電腦上下載並安裝 824146 及 815021 安全性補充程式,以解決 Microsoft 安全性公告 MS03-039、MS03-026 及 MS03-007 所發現的弱點。824146 安全性補充程式取代了 823980 安全性補充程式。Microsoft 建議您安裝 824146 安全性補充程式。此補充程式也包含了有關 Microsoft 安全性公告 MS03-026 (823980) 所解決問題的修正程式。 如需有關 824146 安全性補充程式的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    824146 MS03-039:RPCSS 緩衝區滿溢可能會使攻擊者執行惡意的程式
    如需有關 823980 安全性補充程式及任何先決條件 (例如適用於您的 Windows 版本的 Service Pack) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    823980 MS03-026:RPC 介面中的緩衝區滿溢可能會允許程式碼執行
    如需有關 815021 安全性補充程式及任何先決條件 (例如適用於您的 Windows 版本的 Service Pack) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    815021 MS03-007:Windows 元件中未檢查的緩衝區可能導致 Web 伺服器受損
  3. 安裝或更新您的防毒簽章軟體,然後執行完整的系統掃描。
  4. 下載並執行防毒廠商所提供的病蟲移除工具。
    Network Associates
    http://vil.nai.com/vil/content/v_100559.htm

    Trend Micro
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

    Symantec
    http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
    如需有關「病毒資訊聯盟」(VIA,Virus Information Alliance) 的詳細資訊,請造訪下列 Microsoft 網站:
    http://www.microsoft.com/technet/security/alerts/info/via.mspx

屬性

文章編號: 826234 - 上次校閱: 2007年1月31日 - 版次: 5.7
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server, Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
關鍵字:?
KB826234
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com