11. Srpna 2003 zahájila společnost zkoumání červa
která byla oznámena prostřednictvím služby (podpory společnosti Microsoft) a
Microsoft PSS Security Team vydal výstrahu, aby informoval zákazníky o nové
červ. Červ je typ počítačového viru, který se obvykle šíří bez uživatele
akce a který distribuuje své úplné kopie (případně pozměněné) sama o sobě
v sítích (například Internet). Obecně známé jako "Blaster," Tento nový
červ zneužívá chybu zabezpečení, která byla určována zabezpečení společnosti Microsoft
Bulletin MS03-026 (823980) k vlastnímu šíření prostřednictvím sítí pomocí otevřených vzdálené
Postup porty Call (RPC) v počítačích, které jsou spuštěny produkty
které jsou uvedeny na začátku tohoto článku.
V tomto článku
obsahuje informace pro správce sítě a odborníky v oblasti IT
aby se zabránilo a způsobu zotavení po napadení z viru worm Blaster a jeho
varianty. Červ a jeho varianty jsou také známé jako W32.Blaster.worm,
W32.Blaster.C.worm, W32.Blaster.B.worm, W32.Randex.E (Symantec)
W32/Lovsan.worm (společnost McAfee), WORM_MSBLAST.A (společnost Trendmicro) a Win32.Posa.Worm
Společnost (computer Associates). Další informace o obnovení z této
červ, obraťte se na dodavatele antivirového softwaru. Další informace o
následujícím článku znalostní báze dodavatelů antivirového softwaru, klepněte na tlačítko
článek znalostní báze Microsoft Knowledge Base:
Pokud jste domácím uživatelem, naleznete na následujících
Kroky k ochraně počítače a obnovení webu společnosti Microsoft
Pokud je váš počítač napaden červem Blaster:
Další informace
o viru worm, který je podobný viru Blaster a zneužívá
chyby popsané v bulletinech zabezpečení MS03-026
(823980) a MS03-007 (815021), klepněte na tlačítko následujícím článku znalostní báze
článek znalostní báze Microsoft Knowledge Base:
Počítač ohrožen není virem Blaster, pokud je
Před 11. srpna 2003 (datum nainstalována oprava zabezpečení 823980 (MS03-026)
že toto zjištění viru worm). Nemáte nic else if můžete
Před 11. srpna nainstalována oprava zabezpečení 823980 (MS03-026)
2003.
Společnost Microsoft testovala systém Windows NT Workstation 4.0, Windows NT
Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000
Systém Windows XP a Windows Server 2003 k posouzení, zda jsou ovlivněny
chybami zabezpečení popsanými v bulletinu o zabezpečení MS03-026
(823980). Windows Millennium Edition neobsahuje funkce, které jsou
související s těmito chybami zabezpečení. Předchozí verze již nejsou.
podporovány a mohou i nemusí být těmito chybami ohroženy. Pro
Další informace o aplikaci Microsoft poskytována, navštivte
Následující Web společnosti Microsoft:
Funkce související s těmito chybami jsou
také není součástí systému Windows 95, Windows 98 nebo Windows 98 Druhé vydání
i v případě, že je nainstalován model DCOM. Nemáte nic dělat v případě, že používáte některou
z těchto verzí systému Windows.
Počítač ohrožen není virem Blaster, pokud je
nainstalované aktualizace Windows XP Service Pack 2 nebo kumulativní aktualizace 1 pro systém Windows 2000 Service
Aktualizací Service Pack 4. Tyto aktualizace service Pack je součástí aktualizace zabezpečení 824146. Nemáte
musí podnikat žádné další, pokud jste nainstalovali tyto aktualizace service Pack. Další informace získáte v následujícím článku
čísla, zobrazte články znalostní báze Microsoft Knowledge Base:
Pokud je počítač napaden tímto virem, nesmíte
zaznamenat žádné příznaky napadení nebo se mohou vyskytnout následující příznaky:
Může se zobrazit následující chybové zprávy:
Služba vzdálené volání procedur (RPC) byla ukončena
neočekávaně. Probíhá vypnutí systému. Uložte všechny práce
průběh přihlášení a odhlášení. Neuložené změny budou ztraceny. To
Vypnutí vyvolal NT AUTHORITY\SYSTEM.
Počítač může vypnout nebo restartovat opakovaně na
náhodně zvolených intervalech.
Systémem Windows XP nebo Windows Server 2003 s procesorem
počítač, dialogové okno se zobrazí s vám dává možnost sestavy
problém společnosti Microsoft.
Pokud používáte systém Windows 2000 nebo Windows NT, může
zobrazí chybová zpráva Stop.
Můžete nalézt soubor s názvem Msblast.exe,
Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll, nebo
Yuetyutr.dll ve složce Windows\System32.
Zjistíte neobvyklé soubory TFTP * v počítači.
Technické podrobnosti
Podrobné technické informace týkající se změn prováděných tímto červem
počítače, obraťte se na dodavatele antivirového softwaru.
Ke zjištění
přítomnost tohoto viru, vyhledejte soubor s názvem Msblast.exe, Nstask32.exe,
Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll nebo Yuetyutr.dll v
do složky Windows\System32 nebo stáhnout nejnovější antivirový software
podpis od výrobce antivirového softwaru a potom prohledejte počítač.
Vyhledat tyto soubory:
Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit,
Typ cmd v Otevřít pole a pak
Klepněte na tlačítko OK.
Na příkazovém řádku zadejte následující příkaz: dir
%systemroot%\system32\název_souboru.přípona /a
/s, a pak stiskněte klávesu ENTER, kdenázev_souboru.přípona Msblast.exe, Nstask32.exe, je
Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll, nebo
Yuetyutr.dll.
Poznámka: Opakujte krok 2 pro každý z těchto názvů souborů: Msblast.exe,
Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll, a
Yuetyutr.dll. Jestliže jste najít některý z těchto souborů, může být počítač napaden
s virem. Pokud některý z těchto souborů naleznete, odstraňte soubor a postupujte podle
kroky v části "Využitím" tohoto článku. Chcete-li soubor odstranit, zadejte následující příkaz:del %systemroot%\system32\název_souboru.přípona/a na příkazovém řádku a stiskněte klávesu ENTER.
Prevence
Chcete-li zabránit napadení počítače tímto virem, postupujte
kroky:
Zapněte funkci Brána Firewall pro připojení k Internetu (ICF) v
Systém Windows XP, Windows Server 2003, Standard Edition a Windows Server 2003,
Enterprise Edition; nebo použijte základní bránu Firewall, Microsoft Internet Security a
Acceleration (ISA) Server 2000 nebo brány firewall jiného výrobce k blokování portů TCP
135, 139, 445 a 593; Porty UDP 69 (TFTP), 135, 137 a 138; a TCP port
4444 pro vzdálené příkazové prostředí.
Zapnutí brány Firewall v systému Windows XP nebo
Windows Server 2003, postupujte takto:
Klepněte na tlačítko Spustita klepněte na tlačítko Ovládací panely.
V Ovládacích panelech poklepejte na panel Sítě a
Připojení k Internetua klepněte na tlačítko Sítě
Připojení.
Klepněte pravým tlačítkem myši na připojení, kam chcete zapnout
Brána Firewall pro připojení k Internetu a pak klepněte na tlačítko Vlastnosti.
Klepněte Upřesnit Karta a pak
Klepnutím vyberte Chránit počítač a síť omezením nebo
zabráněním přístupu k tomuto počítači z Internetu Zaškrtávací políčko.
Poznámka: Některá telefonická připojení pravděpodobně nezobrazí v připojení k síti
složky. Nemusí se například telefonická připojení AOL a MSN. V některých
případů můžete použít následující postup zapnutí brány Firewall pro připojení,
ve složce Síťová připojení nezobrazí. Pokud tyto kroky nebude možné provést,
informace o tom, jak kontaktujte poskytovatele služeb Internetu (ISP)
Brána firewall pro připojení k Internetu.
Spusťte aplikaci Internet Explorer.
V Nástroje nabídky, klepněte na tlačítko Možnosti Internetu.
Klepněte Připojení karta, klepněte
telefonické připojení, který slouží k připojení k Internetu a klepněte na tlačítko Nastavení.
V Nastavení vytáčení oblast, klepněte na tlačítko
Vlastnosti.
Klepněte Upřesnit a potom na kartu
Vyberte Chránit počítač a síť omezením nebo zabráněním
přístup k tomuto počítači z Internetu Zaškrtávací políčko.
Další informace
informace o způsobu zapnutí brány Firewall pro připojení k Internetu v systému Windows XP nebo
v systému Windows Server 2003 klepněte na následující číslo článku v následujícím článku
databáze Microsoft Knowledge Base:
Jak zapnout nebo vypnout bránu firewall v systému Windows XP
Poznámka: ICF je dostupný pouze na systém Windows XP, Windows Server 2003
Standard Edition a Windows Server 2003 Enterprise Edition. Základní brána Firewall
je součástí služby Směrování a vzdálený přístup, kterou můžete povolit pro libovolné veřejné
rozhraní v počítači se službou Směrování a vzdálený přístup a
člen řady Windows Server 2003.
Tento červ používá výše popsanou chybu jako součást
metody napadení. Z tohoto důvodu je třeba zda máte
nainstalována oprava zabezpečení 823980, do všech počítačů na adresu
řeší chybu identifikovanou v bulletinu Microsoft Security Bulletin MS03-026. Poznámka:
že opravu zabezpečení 824146 nahrazuje opravu zabezpečení 823980. Microsoft
doporučuje nainstalovat opravu zabezpečení 824146, která obsahuje i opravy
problémy, které jsou popsány v bulletinu Microsoft Security Bulletin MS03-026
(823980). Další informace o zabezpečení 824146
Oprava získáte v následujícím článku znalostní báze Microsoft
Znalostní báze Knowledge Base:
MS03-039: Přetečení vyrovnávací paměti ve službě RPCSS umožňuje útočníkovi spustit nebezpečné programy
Další informace o 823980
oprava zabezpečení a všech předpokladech (například o aktualizaci service pack pro vaši verzi
systému Windows), klepněte na následující číslo článku v následujícím článku
Znalostní báze Microsoft Knowledge Base:
Použijte nejnovější podpis antivirového z vaší
ke zjištění nových virů a jejich variant dodavatele antivirového softwaru.
Obnovení
Doporučené postupy pro zabezpečení navrhnout provést úplnou
"čistou" instalace v počítači dříve narušený odebrání všech
neznámými zneužití, které mohou vést k budoucí ohrožení. Pro další
informace naleznete na následujícím webu Cert Advisory:
Mnoho výrobců antivirových však napsané nástroje pro odebrání
známé ohrožené soubory spojené s tímto konkrétním virem. Ke stažení
Nástroj pro odebrání od dodavatele antivirového softwaru, použijte následující postupy v závislosti
v operačním systému
Obnovení systému Windows XP, Windows Server 2003, Standard Edition a Windows Server 2003 Enterprise Edition
Zapněte funkci Brána Firewall pro připojení k Internetu (ICF) v
Systém Windows XP, Windows Server 2003, Standard Edition a Windows Server 2003
Enterprise Edition; nebo použijte základní bránu Firewall, Microsoft Internet Security a
Acceleration (ISA) Server 2000 nebo brány firewall jiného výrobce.
Zapnout
v ICF postupujte takto:
Klepněte na tlačítko Spustita klepněte na tlačítko Ovládací panely.
V Ovládacích panelech poklepejte na panel Sítě a
Připojení k Internetua klepněte na tlačítko Sítě
Připojení.
Klepněte pravým tlačítkem myši na připojení, kam chcete zapnout
Brána Firewall pro připojení k Internetu a pak klepněte na tlačítko Vlastnosti.
Klepněte Upřesnit Karta a pak
Klepnutím vyberte Chránit počítač a síť omezením nebo
zabráněním přístupu k tomuto počítači z Internetu Zaškrtávací políčko.
Poznámky
Pokud se počítač vypne nebo restartuje opakovaně při
Při pokusu o takto, odpojení od Internetu před zapnutím
brány firewall. Pokud připojení k Internetu pomocí širokopásmového připojení,
najděte kabel vedoucí z externího modemu DSL nebo kabelovému modemu a poté
Odpojte kabel od modemu nebo konektoru telefonu. Používáte-li
telefonické připojení, najděte telefonní kabel vedoucí z modemu
uvnitř počítače ke konektoru telefonu a potom kabel odpojte buď
z telefonního konektoru nebo z počítače. Pokud nelze odpojit
Internet, zadejte následující řádek na příkazovém řádku konfigurovat RPCSS
nelze restartovat počítač v případě selhání služby:
sc failure rpcss reset = 0 actions = restart
RPCSS obnovit výchozí nastavení zotavení po dokončení
takto, zadejte na příkazovém řádku následující řádek:
sc failure rpcss reset = 0 actions = reboot/60000
Pokud máte více než jeden počítač sdílení Internetu
připojení, použití a bránu firewall pouze v počítači, který je připojen přímo k
Internet. Bránu firewall nepoužívejte u dalších počítačů, které sdílejí
Připojení k Internetu. Pokud používáte systém Windows XP, použijte nastavení sítě
Průvodce zapnutí brány Firewall.
Použití brány firewall by nemělo mít vliv e-mailové služby
nebo procházení webu, ale bránu firewall můžete zakázat některé Internet software, služby,
nebo funkce. Je-li k tomuto chování dojde, bude pravděpodobně třeba otevřít některé porty na vašem
Brána firewall pro práci některých internetových funkcí. Naleznete v dokumentaci, která je
Služba, která nepracuje na portech, které je součástí
je nutné otevřít. Další informace naleznete v dokumentaci dodávané s brány firewall
Určete způsob otevření těchto portů. Další informace
Klepnutím na následující číslo článku Microsoft
Znalostní báze Knowledge Base:
Postup při ručním otevření portů brány firewall pro připojení k Internetu v systému Windows XP
V některých případech můžete použít následující kroky k zapnutí
na Brána pro připojení, který se nenachází ve složce Síťová připojení.
Pokud tyto kroky nefungují, obraťte se na poskytovatele služeb Internetu (ISP) pro
informace o tom, jak brána firewall pro připojení k Internetu.
Spusťte aplikaci Internet Explorer.
V Nástroje nabídky, klepněte na tlačítko Možnosti Internetu.
Klepněte Připojení karta, klepněte na tlačítko
telefonické připojení, který slouží k připojení k Internetu a klepněte na tlačítko Nastavení.
V Nastavení vytáčení oblasti,
Klepněte na tlačítko Vlastnosti.
Klepněte Upřesnit Karta a pak
Klepnutím vyberte Chránit počítač a síť omezením nebo
zabráněním přístupu k tomuto počítači z Internetu Zaškrtávací políčko.
Další informace
informace o způsobu zapnutí brány Firewall pro připojení k Internetu v systému Windows XP nebo
v systému Windows Server 2003 klepněte na následující číslo článku v následujícím článku
databáze Microsoft Knowledge Base:
Jak zapnout nebo vypnout bránu firewall v systému Windows XP
Poznámka: ICF je dostupný pouze na systém Windows XP, Windows Server 2003
Standard Edition a Windows Server 2003 Enterprise Edition. Základní brána Firewall
je součástí služby Směrování a vzdálený přístup, kterou můžete povolit pro libovolné veřejné
rozhraní v počítači se službou Směrování a vzdálený přístup a je
člen řady Windows Server 2003.
Stáhnout opravu zabezpečení 824146 a nainstalovat jej do
všechny počítače, které se řeší chybu identifikovanou v Microsoft
Bulletiny zabezpečení MS03-026 a MS03-039. Chcete-li stáhnout zabezpečení 824146
oprava, klepněte na příslušný odkaz:
Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition a Windows XP Media Center Edition
Všimněte si, že opravu zabezpečení 824146 nahrazuje opravu zabezpečení 823980
oprava. Společnost Microsoft doporučuje nainstalovat 824146 oprava zabezpečení
také obsahuje opravy problémů popsaných v bulletinu zabezpečení společnosti Microsoft
MS03-026 (823980). Další informace o zabezpečení 824146
Oprava získáte v následujícím článku znalostní báze Microsoft
Znalostní báze Knowledge Base:
MS03-026: Přetečení vyrovnávací paměti v RPC
rozhraní může umožnit spuštění kódu
Nainstalujte nebo aktualizujte antivirový software a
pak spusťte úplnou kontrolu systému.
Stáhněte a spusťte nástroj pro odstranění virů worm od výrobce antivirového programu
Dodavatel.
Obnovení systému Windows 2000 a Windows NT 4.0
Funkce Brána Firewall pro připojení k Internetu není k dispozici
Systém Windows 2000 nebo Windows NT 4.0. Pokud aplikace Microsoft Internet Security and Acceleration
(ISA) Server 2000 nebo brány firewall jiného výrobce není k dispozici zablokujte porty TCP
135, 139, 445 a 593, porty UDP 69 (TFTP), 135, 137 a 138 a TCP port
4444 pro vzdálené příkazové prostředí, postupujte pomáhají blokovat ohrožené
porty pro připojení k místní síti (LAN). Všimněte si, že je filtrování TCP/IP
není k dispozici pro telefonická připojení. Používáte-li telefonické připojení k
připojení k Internetu, měli byste povolit bránu firewall.
Konfigurace zabezpečení protokolu TCP/IP. To provedete pomocí postupu
pro váš operační systém.
Systém Windows 2000
V Ovládacích panelech poklepejte na panel Sítě a
Telefonická připojení.
Klepněte pravým tlačítkem myši na rozhraní, které umožňují přístup
Internet a pak klepněte na tlačítko Vlastnosti.
V To používá následující zaškrtnuté součásti
připojení Klepněte na tlačítko Protokol sítě Internet (TCP/IP), a
Klepněte na tlačítko Vlastnosti.
V Protokol sítě Internet (TCP/IP)
Vlastnosti Dialogové okno, klepněte na tlačítko Upřesnit.
Klepněte Možnosti na kartě.
Klepněte na tlačítko Filtrování protokolu TCP/IPa klepněte na tlačítko Vlastnosti.
Pokud se počítač vypne, nebo se opakovaně restartuje
Pokusíte-li se provést následující kroky, odpojení od Internetu před
Zapněte bránu firewall. Pokud se připojujete k Internetu přes širokopásmové
připojení, najděte kabel vedoucí z vašeho externího modemu DSL nebo kabelového modemu,
a odpojte jej od modemu nebo konektoru telefonu. Pokud
telefonické připojení, najděte telefonní kabel vedoucí z
modemu uvnitř počítače ke konektoru telefonu a potom kabel odpojte
buď z telefonního konektoru nebo z počítače.
Pokud máte více než jeden počítač sdílení
Připojení k Internetu, použití a bránu firewall pouze v počítači, který je přímo
připojení k Internetu. Nepoužívejte bránu firewall v jiných počítačích,
Sdílení připojení k Internetu.
Použití brány firewall by nemělo mít vliv e-mailů
služby ani procházení webu, ale bránu firewall můžete zakázat některé software Internet
služeb nebo funkcí. Je-li k tomuto chování dojde, bude pravděpodobně třeba otevřít některé porty
v bráně firewall pro práci některých internetových funkcí. Naleznete v dokumentaci,
je součástí internetové službě určit, který není funkční
porty, které je nutné otevřít. Další informace naleznete v dokumentaci dodané s bránou firewall
k určení způsobu otevření těchto portů.
Tyto kroky jsou založeny na upraveném výňatku z
Článku 309798 znalostní báze Microsoft Knowledge Base. Další informace
Klepnutím na následující číslo článku Microsoft
Znalostní báze Knowledge Base:
Jak konfigurovat filtrování protokolu TCP/IP v systému Windows 2000
Systém Windows NT 4.0
V Ovládacích panelech poklepejte na panel Sítě.
Klepněte Protokol karta, klepněte na tlačítkoProtokol TCP/IPa klepněte na tlačítko Vlastnosti.
Klepněte Adresa IP Karta a pak
Klepněte na tlačítko Upřesnit.
Klepnutím vyberte Povolit zabezpečeníZaškrtněte políčko a klepněte na tlačítko Konfigurace.
V Porty TCP, UDP
Porty, a Protokoly IP sloupce, vyberte klepnutím Povolit jen nastavení.
Klepněte na tlačítko OKa pak zavřete sítě
nástroj.
Stáhnout opravu zabezpečení 824146 a nainstalovat jej do
všechny počítače, které se řeší chybu identifikovanou v Microsoft
Bulletiny zabezpečení MS03-026 a MS03-039. Chcete-li stáhnout zabezpečení 824146
oprava, klepněte na příslušný odkaz:
Všimněte si, že opravu zabezpečení 824146 nahrazuje opravu zabezpečení 823980
oprava. Společnost Microsoft doporučuje nainstalovat 824146 oprava zabezpečení
také obsahuje opravy problémů popsaných v bulletinu zabezpečení společnosti Microsoft
MS03-026 (823980). Další informace o zabezpečení 824146
Oprava získáte v následujícím článku znalostní báze Microsoft
Znalostní báze Knowledge Base:
MS03-039: Přetečení vyrovnávací paměti ve službě RPCSS umožňuje útočníkovi spustit nebezpečné programy
Další informace o 823980
oprava zabezpečení a všech předpokladech (například o aktualizaci service pack pro vaši verzi
systému Windows), klepněte na následující číslo článku v následujícím článku
Znalostní báze Microsoft Knowledge Base:
MS03-026: Přetečení vyrovnávací paměti v protokolu RPC umožňuje spuštění kódu
Nainstalujte nebo aktualizujte antivirový software a
pak spusťte úplnou kontrolu systému.
Stáhněte a spusťte nástroj pro odstranění virů worm od výrobce antivirového programu
Dodavatel.
Další podrobné technické informace týkající se viru Blaster od
dodavatelů antivirového softwaru, kteří s aliancí Microsoft Virus
Information Alliance (VIA), navštivte některý z následujících webů jiných výrobců:
Další informace o obnovení po napadení tímto virem
Obraťte se na dodavatele antivirového softwaru.
Společnost Microsoft poskytuje třetí strany
kontaktní informace, které usnadní vyhledání technické podpory. Tento kontakt
informace se mohou změnit bez předchozího upozornění. Společnost Microsoft nezaručuje
přesnost kontaktních informací jiných výrobců.
Máte-li jakékoli dotazy týkající se této výstrahy, obraťte se na vašeho
Microsoft zástupce nebo volání 1 čísle-1-866-727-2338 (čísle 1-866-PCSAFETY) ve Spojených
Státy. Mimo USA kontaktujte místní zastoupení společnosti Microsoft. K
pomoc související s problémy, navštivte následující Microsoft Virus
Podpora diskusní skupiny webu:
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Zpět nahoru
