Viruswaarschuwing over de Blaster-worm en zijn varianten

  • Artikel

Dit artikel beschrijft viruswaarschuwingen over de Blaster-worm en zijn varianten en bevat informatie over het voorkomen en herstellen van een infectie van de Blaster-worm en zijn varianten.

Van toepassing op: Windows 10 - alle edities, Windows Server 2012 R2
Origineel KB-nummer: 826955

Samenvatting

Op 11 augustus 2003 begon Microsoft een worm te onderzoeken die werd gerapporteerd door Microsoft Product Support Services (PSS), en het Microsoft PSS-beveiligingsteam gaf een waarschuwing uit om klanten te informeren over de nieuwe worm. Een worm is een type computervirus dat zich over het algemeen verspreidt zonder tussenkomst van de gebruiker en dat volledige kopieën (mogelijk gewijzigd) van zichzelf verspreidt over netwerken (zoals internet). Deze nieuwe worm, bekend als 'Blaster', maakt misbruik van het beveiligingsprobleem dat is opgelost door Microsoft-beveiligingsbulletin MS03-026 (823980) om zichzelf te verspreiden over netwerken met behulp van open RPC-poorten (Remote Procedure Call) op computers waarop een van de producten wordt uitgevoerd die aan het begin van dit artikel worden vermeld.

Dit artikel bevat informatie voor netwerkbeheerders en IT-professionals over het voorkomen en herstellen van een infectie van de Blaster-worm en de varianten ervan. De worm en zijn varianten worden ook wel W32 genoemd. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST. A (Trendmicro) en Win32.Posa.Worm (Computer associates). Neem contact op met de leverancier van uw antivirussoftware voor meer informatie over het herstellen van deze worm.

Voor meer informatie over leveranciers van antivirussoftware klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

49500 Lijst met leveranciers van antivirussoftware

Als u een thuisgebruiker bent, gaat u naar de volgende Microsoft-website voor stappen om u te helpen uw computer te beveiligen en te herstellen als uw computer is geïnfecteerd met de Blaster-worm:

Wat is Microsoft Security Essentials?

Opmerking

  • Uw computer is niet kwetsbaar voor de Blaster-worm als u de 823980-beveiligingspatch (MS03-026) hebt geïnstalleerd vóór 11 augustus 2003 (de datum waarop deze worm is gedetecteerd). U hoeft verder niets te doen als u de beveiligingspatch 823980 (MS03-026) vóór 11 augustus 2003 hebt geïnstalleerd.

  • Microsoft heeft Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP en Windows Server 2003 getest om te beoordelen of ze worden beïnvloed door de beveiligingsproblemen die worden opgelost door Microsoft-beveiligingsbulletin MS03-026 (823980). Windows Millennium Edition bevat niet de functies die aan deze beveiligingsproblemen zijn gekoppeld. Eerdere versies worden niet meer ondersteund en deze kunnen al dan niet worden beïnvloed door deze beveiligingsproblemen. Ga naar de volgende Microsoft-website voor meer informatie over de levenscyclus van Microsoft Ondersteuning:

    Informatie over product- en serviceslevenscyclus zoeken.

    De functies die aan deze beveiligingsproblemen zijn gekoppeld, zijn ook niet opgenomen in Windows 95, Windows 98 of Windows 98 Second Edition, zelfs niet als DCOM is geïnstalleerd. U hoeft niets te doen als u een van deze versies van Windows gebruikt.

  • Uw computer is niet kwetsbaar voor de Blaster-worm als u Windows XP Service Pack 2 of Updatepakket 1 voor Windows 2000 Service Pack 4 hebt geïnstalleerd. Beveiligingsupdate 824146 is opgenomen in deze servicepacks. U hoeft verder niets te doen als u deze servicepacks hebt geïnstalleerd. Klik voor meer informatie op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

    322389 Het meest recente Windows XP-servicepack verkrijgen.

Symptomen van infectie

Als uw computer is geïnfecteerd met deze worm, ondervindt u mogelijk geen symptomen of een van de volgende symptomen:

  • Mogelijk ontvangt u de volgende foutberichten:

    De RPC-service (Remote Procedure Call) is onverwacht beëindigd.
    Het systeem wordt afgesloten. Sla al het werk dat wordt uitgevoerd op en meld u af.
    Eventuele niet-opgeslagen wijzigingen gaan verloren.
    Deze afsluiting is geïnitieerd door NT AUTHORITY\SYSTEM.

  • De computer kan met willekeurige tussenpozen worden afgesloten of herhaaldelijk opnieuw worden opgestart.

  • Op een Windows XP-computer of op een computer met Windows Server 2003 kan een dialoogvenster worden weergegeven met de mogelijkheid om het probleem aan Microsoft te melden.

  • Als u Windows 2000 of Windows NT gebruikt, wordt mogelijk het foutbericht Stop weergegeven.

  • Mogelijk vindt u een bestand met de naam Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll of Yuetyutr.dll in de map Windows\System32.

  • Mogelijk vindt u ongebruikelijke TFTP* bestanden op uw computer.

Technische details

Neem contact op met de leverancier van uw antivirussoftware voor technische informatie over de wijzigingen die deze worm aanbrengt op uw computer.

Om dit virus te detecteren, zoekt u naar een bestand met de naam Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll of Yuetyutr.dll in de map Windows\System32, of downloadt u de meest recente handtekening voor antivirussoftware van uw antivirusleverancier en scant u vervolgens uw computer.

Ga als volgt te werk om naar deze bestanden te zoeken:

  1. Klik op Start, klik op Uitvoeren, typ cmd in het vak Openen en klik vervolgens op OK.

  2. Typ dir %systemroot%\system32\filename.ext /a /sbij de opdrachtprompt en druk op Enter, waarbij bestandsnaam.ext wordt Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll of Yuetyutr.dll.

    Opmerking

    Herhaal stap 2 voor elk van deze bestandsnamen: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll en Yuetyutr.dll. Als u een van deze bestanden vindt, is uw computer mogelijk geïnfecteerd met de worm. Als u een van deze bestanden vindt, verwijdert u het bestand en volgt u de stappen in de sectie Herstel van dit artikel. Als u het bestand wilt verwijderen, typt u del %systemroot%\system32\filename.ext /a bij de opdrachtprompt en drukt u op Enter.

Preventie

Volg deze stappen om te voorkomen dat dit virus uw computer infecteert:

  1. Schakel de firewallfunctie voor internetverbinding (ICF) in Windows XP, Windows Server 2003, Standard Edition en in Windows Server 2003, Enterprise Edition, of gebruik Basic Firewall, Microsoft Internet Security and Acceleration (ISA) Server 2000 of een firewall van derden om TCP-poorten 135, 139, 445 en 593 te blokkeren. UDP-poorten 69 (TFTP), 135, 137 en 138; en TCP-poort 4444 voor externe opdrachtshell.

    Voer de volgende stappen uit om de ICF in Te schakelen in Windows XP of Windows Server 2003:

    1. Klik op Start en klik op Configuratiescherm.
    2. Dubbelklik in Configuratiescherm op Netwerken en internet Connections en klik vervolgens op Netwerk Connections.
    3. Klik met de rechtermuisknop op de verbinding waar u firewall voor internetverbindingen wilt inschakelen en klik vervolgens op Eigenschappen.
    4. Klik op het tabblad Geavanceerd en schakel vervolgens het selectievakje Mijn computer of netwerk beveiligen door de toegang tot deze computer via internet te beperken of te blokkeren in.

    Opmerking

    Sommige inbelverbindingen worden mogelijk niet weergegeven in de mappen Netwerkverbinding. AOL- en MSN-inbelverbindingen worden bijvoorbeeld mogelijk niet weergegeven. In sommige gevallen kunt u de volgende stappen gebruiken om ICF in te schakelen voor een verbinding die niet wordt weergegeven in de map Netwerkverbinding. Als deze stappen niet werken, neemt u contact op met uw internetprovider (ISP) voor informatie over het firewallen van uw internetverbinding.

    1. Start Internet Explorer.
    2. Open het menu Extra en klik op Internet-opties.
    3. Klik op het tabblad Connections, klik op de inbelverbinding die u gebruikt om verbinding te maken met internet en klik vervolgens op Instellingen.
    4. Klik in het gebied Inbelinstellingen op Eigenschappen.
    5. Klik op het tabblad Geavanceerd en schakel vervolgens het selectievakje Mijn computer of netwerk beveiligen door de toegang tot deze computer via internet te beperken of te blokkeren in.

    Voor meer informatie over het inschakelen van Firewall voor internetverbinding in Windows XP of Windows Server 2003, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

    283673 De firewall in- of uitschakelen in Windows XP

    Opmerking

    ICF is alleen beschikbaar op Windows XP, Windows Server 2003, Standard Edition en Windows Server 2003, Enterprise Edition. Basic Firewall is een onderdeel van Routering en EXTERNE toegang dat u kunt inschakelen voor elke openbare interface op een computer waarop routering en RAS wordt uitgevoerd en een lid van de Windows Server 2003-familie.

  2. Deze worm maakt gebruik van een eerder aangekondigde kwetsbaarheid als onderdeel van de infectiemethode. Daarom moet u ervoor zorgen dat u de beveiligingspatch 823980 op al uw computers hebt geïnstalleerd om het beveiligingsprobleem op te lossen dat is geïdentificeerd in Microsoft-beveiligingsbulletin MS03-026. De 824146-beveiligingspatch vervangt de beveiligingspatch 823980. Microsoft raadt u aan de 824146-beveiligingspatch te installeren die ook oplossingen bevat voor de problemen die worden opgelost in Microsoft-beveiligingsbulletin MS03-026 (823980).

  3. Gebruik de nieuwste handtekening voor virusdetectie van uw antivirusleverancier om nieuwe virussen en hun varianten te detecteren.

Herstel

Aanbevolen procedures voor beveiliging suggereren dat u een volledige 'schone' installatie uitvoert op een eerder gecompromitteerde computer om eventuele onontdekte aanvallen te verwijderen die kunnen leiden tot een toekomstige inbreuk. Ga voor meer informatie naar de volgende Cert Advisory-website:

Stappen voor het herstellen van een UNIX- of NT-systeeminbreuk.

Veel antivirusbedrijven hebben echter hulpprogramma's geschreven om de bekende exploit te verwijderen die is gekoppeld aan deze specifieke worm. Als u het verwijderingsprogramma van uw antivirusleverancier wilt downloaden, gebruikt u de volgende procedures, afhankelijk van uw besturingssysteem.

Herstel voor Windows XP, Windows Server 2003, Standard Edition en Windows Server 2003, Enterprise Edition

  1. Schakel de firewallfunctie voor internetverbinding (ICF) in Windows XP, Windows Server 2003, Standard Edition en Windows Server 2003, Enterprise Edition, of gebruik Basic Firewall, Microsoft Internet Security and Acceleration (ISA) Server 2000 of een firewall van derden.

    Voer de volgende stappen uit om ICF in te schakelen:

    1. Klik op Start en klik op Configuratiescherm.
    2. Dubbelklik in Configuratiescherm op Netwerken en internet Connections en klik vervolgens op Netwerk Connections.
    3. Klik met de rechtermuisknop op de verbinding waar u firewall voor internetverbindingen wilt inschakelen en klik vervolgens op Eigenschappen.
    4. Klik op het tabblad Geavanceerd en schakel vervolgens het selectievakje Mijn computer of netwerk beveiligen door de toegang tot deze computer via internet te beperken of te blokkeren in.

    Opmerking

    • Als uw computer wordt afgesloten of herhaaldelijk opnieuw wordt opgestart wanneer u deze stappen probeert te volgen, verbreekt u de verbinding met internet voordat u de firewall inschakelt. Als u verbinding maakt met internet via een breedbandverbinding, zoekt u de kabel die wordt uitgevoerd vanaf uw externe DSL- of kabelmodem en koppelt u die kabel los van het modem of van de telefoonaansluiting. Als u een inbelverbinding gebruikt, zoekt u de telefoonkabel die loopt van de modem in de computer naar de telefoonaansluiting en koppelt u die kabel los van de telefoonaansluiting of van uw computer. Als u de verbinding met internet niet kunt verbreken, typt u de volgende regel bij de opdrachtprompt om te configureren dat RPCSS uw computer niet opnieuw opstart wanneer de service mislukt: sc failure rpcss reset= 0 actions= restart.

      Als u RPCSS opnieuw wilt instellen op de standaardherstelinstelling nadat u deze stappen hebt voltooid, typt u de volgende regel bij de opdrachtprompt: sc failure rpcss reset= 0 actions= reboot/60000.

    • Als u meerdere computers hebt die een internetverbinding delen, gebruikt u alleen een firewall op de computer die rechtstreeks is verbonden met internet. Gebruik geen firewall op de andere computers die de internetverbinding delen. Als u Windows XP gebruikt, gebruikt u de wizard Netwerkinstallatie om ICF in te schakelen.

    • Het gebruik van een firewall mag geen invloed hebben op uw e-mailservice of surfen op het web, maar een firewall kan bepaalde internetsoftware, -services of -functies uitschakelen. Als dit gedrag optreedt, moet u mogelijk enkele poorten op uw firewall openen om een bepaalde internetfunctie te laten werken. Raadpleeg de documentatie bij de internetservice die niet werkt om te bepalen welke poorten u moet openen. Raadpleeg de documentatie die deel uitmaakt van uw firewall om te bepalen hoe u deze poorten opent.

    • In sommige gevallen kunt u de volgende stappen gebruiken om ICF in te schakelen voor een verbinding die niet wordt weergegeven in de map Netwerk Connections. Als deze stappen niet werken, neemt u contact op met uw internetprovider (ISP) voor informatie over het firewallen van uw internetverbinding.

      1. Start Internet Explorer.
      2. Open het menu Extra en klik op Internet-opties.
      3. Klik op het tabblad Connections, klik op de inbelverbinding die u gebruikt om verbinding te maken met internet en klik vervolgens op Instellingen.
      4. Klik in het gebied Inbelinstellingen op Eigenschappen.
      5. Klik op het tabblad Geavanceerd en schakel vervolgens het selectievakje Mijn computer of netwerk beveiligen door de toegang tot deze computer via internet te beperken of te blokkeren in.

    Voor meer informatie over het inschakelen van Firewall voor internetverbinding in Windows XP of Windows Server 2003, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

    283673 De firewall in- of uitschakelen in Windows XP

    Opmerking

    ICF is alleen beschikbaar op Windows XP, Windows Server 2003, Standard Edition en Windows Server 2003, Enterprise Edition. Basic Firewall is een onderdeel van Routering en EXTERNE toegang dat u kunt inschakelen voor elke openbare interface op een computer waarop Routering en RAS wordt uitgevoerd en die lid is van de Windows Server 2003-familie.

  2. Download de 824146 beveiligingspatch en installeer deze vervolgens op al uw computers om het beveiligingsprobleem op te lossen dat is geïdentificeerd in Microsoft-beveiligingsbulletins MS03-026 en MS03-039.

    Opmerking

    Dat de 824146 beveiligingspatch de beveiligingspatch 823980 vervangt. Microsoft raadt u aan de 824146 beveiligingspatch te installeren die ook oplossingen bevat voor de problemen die zijn opgelost in Microsoft-beveiligingsbulletin MS03-026 (823980).

  3. Installeer of werk uw antivirushandtekeningsoftware bij en voer vervolgens een volledige systeemscan uit.

  4. Download en voer het hulpprogramma voor het verwijderen van wormen uit van uw antivirusleverancier.

Herstel voor Windows 2000 en Windows NT 4.0

De functie Firewall voor internetverbinding is niet beschikbaar in Windows 2000 of Windows NT 4.0. Als Microsoft Internet Security and Acceleration (ISA) Server 2000 of een firewall van derden niet beschikbaar is om TCP-poorten 135, 139, 445 en 593, UDP-poorten 69 (TFTP), 135, 137 en 138 en TCP-poort 4444 voor externe opdrachtshell te blokkeren, volgt u deze stappen om de betrokken poorten voor LAN-verbindingen (Local Area Network) te blokkeren. TCP/IP-filtering is niet beschikbaar voor inbelverbindingen. Als u een inbelverbinding gebruikt om verbinding te maken met internet, moet u een firewall inschakelen.

  1. TCP/IP-beveiliging configureren. Gebruik hiervoor de procedure voor uw besturingssysteem.

    Windows 2000

    1. Dubbelklik in Configuratiescherm op Netwerk en inbellen Connections.

    2. Klik met de rechtermuisknop op de interface die u gebruikt om toegang te krijgen tot internet en klik vervolgens op Eigenschappen.

    3. Klik in het selectievakje Onderdelen worden gebruikt door deze verbinding op Internet Protocol (TCP/IP) en klik vervolgens op Eigenschappen.

    4. Klik in het dialoogvenster Eigenschappen van Internet Protocol (TCP/IP) op Geavanceerd.

    5. Klik op het tabblad Opties .

    6. Klik op TCP/IP-filtering en klik vervolgens op Eigenschappen.

    7. Klik om het selectievakje TCP/IP-filtering inschakelen (alle adapters) in te schakelen.

    8. Er zijn drie kolommen met de volgende labels:

      • TCP-poorten
      • UDP-poorten
      • IP-protocollen

      Klik in elke kolom op de optie Alleen toestaan .

    9. Klik op OK.

    Opmerking

    • Als uw computer wordt afgesloten of herhaaldelijk opnieuw wordt opgestart wanneer u deze stappen probeert te volgen, verbreekt u de verbinding met internet voordat u de firewall inschakelt. Als u verbinding maakt met internet via een breedbandverbinding, zoekt u de kabel die wordt uitgevoerd vanaf uw externe DSL- of kabelmodem en koppelt u die kabel los van het modem of van de telefoonaansluiting. Als u een inbelverbinding gebruikt, zoekt u de telefoonkabel die loopt van de modem in de computer naar de telefoonaansluiting en koppelt u die kabel los van de telefoonaansluiting of van uw computer.
    • Als u meerdere computers hebt die een internetverbinding delen, gebruikt u alleen een firewall op de computer die rechtstreeks is verbonden met internet. Gebruik geen firewall op de andere computers die de internetverbinding delen.
    • Het gebruik van een firewall mag geen invloed hebben op uw e-mailservice of surfen op het web, maar een firewall kan bepaalde internetsoftware, -services of -functies uitschakelen. Als dit gedrag optreedt, moet u mogelijk enkele poorten op uw firewall openen om een bepaalde internetfunctie te laten werken. Raadpleeg de documentatie bij de internetservice die niet werkt om te bepalen welke poorten u moet openen. Raadpleeg de documentatie die deel uitmaakt van uw firewall om te bepalen hoe u deze poorten opent.
    • Deze stappen zijn gebaseerd op een gewijzigd fragment uit het Microsoft Knowledge Base-artikel 309798.

    Windows NT 4.0

    1. Dubbelklik in Configuratiescherm op Netwerk.
    2. Klik op het tabblad Protocol , klik op TCP/IP-protocol en klik vervolgens op Eigenschappen.
    3. Klik op het tabblad IP-adres en klik vervolgens op Geavanceerd.
    4. Klik om het selectievakje Beveiliging inschakelen in te schakelen en klik vervolgens op Configureren.
    5. Klik in de kolommen TCP-poorten, UDP-poorten en IP-protocollen om de instelling Alleen toestaan te selecteren.
    6. Klik op OK en sluit het hulpprogramma Netwerk.

  2. Download de 824146 beveiligingspatch en installeer deze vervolgens op al uw computers om het beveiligingsprobleem op te lossen dat is geïdentificeerd in Microsoft-beveiligingsbulletins MS03-026 en MS03-039.

    De 824146-beveiligingspatch vervangt de beveiligingspatch 823980. Microsoft raadt u aan de 824146 beveiligingspatch te installeren die ook oplossingen bevat voor de problemen die zijn opgelost in Microsoft-beveiligingsbulletin MS03-026 (823980).

  3. Installeer of werk uw antivirushandtekeningsoftware bij en voer vervolgens een volledige systeemscan uit.

  4. Download en voer het hulpprogramma voor het verwijderen van wormen uit van uw antivirusleverancier.

Ga naar een van de volgende websites van derden voor aanvullende technische informatie over de Blaster-worm van leveranciers van antivirussoftware die deelnemen aan de Microsoft Virus Information Alliance (VIA):

Opmerking

Als u geen TCP-filtering hoeft te gebruiken, kunt u TCP-filtering uitschakelen nadat u de oplossing hebt toegepast die in dit artikel wordt beschreven en u hebt gecontroleerd of u de worm hebt verwijderd.

Ga naar de volgende Symantec-websites voor meer technische informatie over bekende varianten van de Blaster-worm:

W32. Randex.E: Nstask32.exe, Winlogin.exe, Win32sockdrv.dll en Yyuetyutr.dll

Symantec Security Center.

Ga naar de volgende Microsoft-website voor meer informatie over de Microsoft Virus Information Alliance:

Microsoft Security Response Center.

Neem contact op met uw antivirusleverancier voor meer informatie over het herstellen van deze worm.

Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Microsoft kan niet instaan voor de juistheid van deze contactinformatie.

Verwijzingen

Voor de meest recente informatie van Microsoft over deze worm gaat u naar Microsoft-beveiligingsinformatie voor resources en hulpprogramma's om uw pc veilig en gezond te houden. Als u problemen ondervindt met het installeren van de update zelf, gaat u naar Ondersteuning voor Microsoft Update voor resources en hulpprogramma's om uw pc bijgewerkt te houden met de nieuwste updates.