Viruswaarschuwing voor het wormvirus Blaster en varianten daarvan

Op 11 augustus 2003 begon Microsoft met het onderzoek naar een wormvirus dat werd gerapporteerd door Microsoft Product Support Services (PSS). Het Microsoft PSS Security Team distribueerde een bericht om gebruikers te waarschuwen voor dit nieuwe wormvirus. Een wormvirus is een type computervirus dat in de meeste gevallen zonder tussenkomst van de gebruiker wordt verspreid en dat complete kopieën van zichzelf (mogelijk in aangepaste vorm) verstuurt via netwerken (zoals internet). Dit nieuwe wormvirus wordt doorgaans aangeduid als 'Blaster' en maakt gebruik van het beveiligingslek zoals beschreven in Microsoft-beveiligingsbulletin MS03-026 (823980), om zichzelf via netwerken te verspreiden. Hiervoor worden openstaande RPC-poorten (Remote Procedure Call) gebruikt op computers waarop een of meer producten zijn geïnstalleerd die aan het begin van dit artikel worden vermeld.

Dit artikel is bestemd voor netwerkbeheerders en IT-professionals die willen weten hoe ze besmetting door het Blaster-wormvirus en varianten daarvan kunnen voorkomen en hoe ze te werk moeten gaan als er sprake is van besmetting. Deze worm plus varianten zijn ook bekend als W32.Blaster.Worm, W32.Blaster.C.Worm, W32.Blaster.B.Worm, W32.Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro) en Win32.Posa.Worm (Computer Associates). Neem contact op met de leverancier van uw antivirussoftware voor meer informatie over herstel na besmetting met dit wormvirus. Voor meer informatie over leveranciers van antivirussoftware klikt u op het volgende artikelnummer in de Microsoft Knowledge Base: Als u een thuisgebruiker bent, gaat u naar de volgende Microsoft-website voor stapsgewijze instructies voor de beveiliging of het herstel van uw computer wanneer deze is besmet met het wormvirus Blaster: Voor meer informatie over een variant van het wormvirus Blaster dat probeert misbruik te maken van de beveiligingslekken die worden beschreven in Microsoft-beveiligingsbulletins MS03-026 (823980) en MS03-007 (815021), klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

Opmerkingen

• Uw computer is niet kwetsbaar voor het wormvirus Blaster als u beveiligingspatch 823980 (MS03-026) hebt geïnstalleerd vóór 11 augustus 2003 (de datum waarop het wormvirus werd ontdekt). Als u beveiligingspatch 823980 (MS03-026) hebt geïnstalleerd vóór 11 augustus 2003, hoeft u verder niets te doen.
• Microsoft heeft Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP en Windows Server 2003 getest om na te gaan of de beveiligingslekken die worden beschreven in Microsoft-beveiligingsbulletin MS03-026 (823980) relevant zijn voor deze producten. De beveiligingslekken zijn niet vastgesteld in Windows Millennium Edition. Eerdere versies worden niet langer ondersteund en het is onbekend of het beveiligingsprobleem hiervoor relevant is. Op de volgende Microsoft-website vindt u meer informatie over de ondersteuningscyclus voor Microsoft-producten:
  http://support.microsoft.com/default.aspx?scid=fh;nl;lifecycle (http://support.microsoft.com/default.aspx?scid=fh;en-us;lifecycle)
  De functies die last hebben van deze beveiligingslekken, maken geen deel uit van Windows 95, Windows 98 of Windows 98 Tweede editie, ongeacht of DCOM is geïnstalleerd. Als u werkt met een van deze Windows-versies, hoeft u niets te doen.
• Uw computer loopt geen risico op besmetting met de Blaster-worm als u Windows XP Service Pack 2 of updatepakket 1 voor Windows 2000 Service Pack 4 hebt geïnstalleerd. Beveiligingsupdate 824146 is in deze service packs opgenomen. U hoeft niets meer te doen als u deze service packs hebt geïnstalleerd. Voor meer informatie klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:
  322389  (http://support.microsoft.com/kb/322389/ ) Het meest recente service pack voor Windows XP ophalen
  891861  (http://support.microsoft.com/kb/891861/ ) Updatepakket 1 voor Windows 2000 Service Pack 4 en bekende problemen

Symptomen van besmetting

Als uw computer met dit wormvirus is geïnfecteerd, hoeft u hier niet noodzakelijkerwijs iets van te merken. U kunt echter ook met een of meer van de volgende symptomen worden geconfronteerd:

• De volgende foutberichten kunnen worden weergegeven:
  De RPC-service (Remote Procedure Call) is onverwacht gestopt.
  Het systeem wordt afgesloten. Sla alle geopende bestanden op en meld u af.
  Alle niet-opgeslagen wijzigingen gaan verloren.
  Het afsluiten van het systeem is gestart door NT AUTHORITY\SYSTEM.
• De computer wordt afgesloten of wordt herhaaldelijk en met willekeurige tussenpozen opnieuw opgestart.
• Op computers met Windows XP of Windows Server 2003 verschijnt een dialoogvenster waarin de mogelijkheid wordt geboden om het probleem aan Microsoft te rapporteren.
• Als u Windows 2000 of Windows NT gebruikt, wordt een 'stop'-foutbericht weergegeven.
• U vindt een bestand met de naam Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll of Yuetyutr.dll in de map Windows\System32.
• U vindt ongebruikelijke TFTP*-bestanden op de computer.

Technische gegevens

Neem contact op met de leverancier van uw antivirussoftware voor technische gegevens over de wijzigingen die door het wormvirus worden doorgevoerd op uw computer.

U kunt dit virus opsporen door in de map Windows\System32 te zoeken naar een bestand met de naam Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll of Yuetyutr.dll. Ook kunt u de laatste bestanden met virusgegevens downloaden bij uw leverancier van antivirussoftware en uw computer scannen.

Ga als volgt te werk om deze bestanden te zoeken:

1. Klik op Start, klik op Uitvoeren, typ cmd in het vak Openen en klik op OK.
2. Typ bij de opdrachtprompt dir %systemroot%\system32\bestandsnaam.ext /a /s en druk op ENTER, waarbij u bestandsnaam.ext vervangt door Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll of Yuetyutr.dll.
   
   Opmerking Herhaal stap 2 voor elk van de volgende bestandsnamen: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll en Yuetyutr.dll. Als u een van deze bestanden vindt, is uw computer besmet met het wormvirus. Verwijder het bestand en volg daarna de stappen in de sectie 'Herstel' van dit artikel. U verwijdert het bestand door del %systemroot%\system32\bestandsnaam.ext /a te typen bij de opdrachtprompt en op ENTER te drukken.

Preventie

Voer de volgende stappen uit om te voorkomen dat dit virus uw computer besmet:

1. Schakel de Firewall voor Internet-verbindingen van Windows XP, Windows Server 2003, Standard Edition of Windows Server 2003, Enterprise Edition in. U kunt ook Basic Firewall, Microsoft Internet Security and Acceleration (ISA) Server 2000 of een firewall van een andere leverancier gebruiken om TCP-poorten 135, 139, 445 en 593, UDP-poorten 69 (TFTP), 135, 137 en 138 en TCP-poort 4444 voor shell voor externe opdrachten te blokkeren.
   
   Voer de volgende stappen uit om de Firewall voor Internet-verbindingen in te schakelen onder Windows XP of Windows Server 2003:
   1. Klik op Start en op Configuratiescherm.
   2. Dubbelklik in het Configuratiescherm op Netwerkverbindingen.
   3. Klik met de rechtermuisknop op de verbinding waarvoor u de Firewall voor Internet-verbindingen wilt inschakelen en klik op Eigenschappen.
   4. Open het tabblad Geavanceerd en schakel het selectievakje Mijn computer en netwerk beveiligen door toegang vanaf het Internet te beperken of te blokkeren in.
   Opmerking Sommige inbelverbindingen worden mogelijk niet weergegeven in de mappen met netwerkverbindingen. Dit kan het geval zijn bij AOL- en MSN-inbelverbindingen. Soms kunt u met de volgende procedure de Firewall voor Internet-verbindingen inschakelen voor een verbinding die niet wordt weergegeven in de map met netwerkverbindingen. Als deze procedure niet werkt, neemt u contact op met uw internetprovider voor informatie over het instellen van een firewall voor uw internetverbinding.
   1. Start Internet Explorer.
   2. Open het menu Extra en klik op Internet-opties.
   3. Open het tabblad Verbindingen, klik op de inbelverbinding waarmee u verbinding maakt met internet en klik op Instellingen.
   4. Klik bij Inbelinstellingen op de knop Eigenschappen.
   5. Open het tabblad Geavanceerd en schakel het selectievakje Mijn computer en netwerk beveiligen door toegang vanaf het Internet te beperken of te blokkeren in.
   Als u meer informatie wilt over het inschakelen van de functie Firewall voor Internet-verbindingen in Windows XP of Windows Server 2003, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
   283673  (http://support.microsoft.com/kb/283673/ ) De firewall in- of uitschakelen in Windows XP
   Opmerking De Firewall voor Internet-verbindingen is alleen beschikbaar in Windows XP, in Windows Server 2003, Standard Edition, en in Windows Server 2003, Enterprise Edition. Basic Firewall is een onderdeel van Routing and Remote Access dat u kunt inschakelen voor elke openbare interface op een computer met zowel Routing and Remote Access als een product uit de Windows Server 2003-familie.
2. Dit wormvirus gebruikt een eerder bekend gemaakt beveiligingslek als deel van zijn infectiemethode. Het is dan ook belangrijk dat beveiligingspatch 823980 op alle computers wordt geïnstalleerd om de problemen die worden beschreven in het Microsoft-beveiligingsbulletin MS03-026 te voorkomen. Beveiligingspatch 824146 vervangt beveiligingspatch 823980. Microsoft raadt u aan beveiligingspatch 824146 te installeren. Deze patch bevat tevens correcties voor de problemen die worden beschreven in Microsoft-beveiligingsbulletin MS03-026 (823980). Klik voor meer informatie over beveiligingspatch 824146 op het volgende artikelnummer in de Microsoft Knowledge Base:
   824146  (http://support.microsoft.com/kb/824146/ ) MS03-039: Bufferoverschrijding in RPCSS zorgt ervoor dat een aanvaller schadelijke programma's kan uitvoeren
   Voor meer informatie over beveiligingspatch 823980 en eventuele andere vereisten (zoals een service pack voor uw versie van Windows) klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
   823980  (http://support.microsoft.com/kb/823980/ ) MS03-026: Bufferoverschrijding in RPC kan leiden tot uitvoering van code
   Klik op de koppeling voor uw besturingssysteem om beveiligingspatch 824146 te downloaden:
   • Windows NT Workstation 4.0
     http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/windowsnt4workstation-kb824146-x86-enu.exe)
   • Windows NT Server 4.0
     http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/windowsnt4server-kb824146-x86-enu.exe)
   • Windows NT Server 4.0, Terminal Server Edition
     http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/windowsnt4terminalserver-kb824146-x86-enu.exe)
   • Windows 2000
     http://download.microsoft.com/download/0/A/6/0A634E35-F29A-4F26-B006-D315E898EDEF/Windows2000-KB824146-x86-ENU.exe (http://download.microsoft.com/download/0/a/6/0a634e35-f29a-4f26-b006-d315e898edef/windows2000-kb824146-x86-enu.exe)
   • Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition en Windows XP Media Center Edition
     http://download.microsoft.com/download/C/D/D/CDD7AC92-E4CC-4B1E-BC2F-7A61B46B23BF/WindowsXP-KB824146-x86-ENU.exe (http://download.microsoft.com/download/c/d/d/cdd7ac92-e4cc-4b1e-bc2f-7a61b46b23bf/windowsxp-kb824146-x86-enu.exe)
   • Windows XP 64-bits versie 2002
     http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe (http://download.microsoft.com/download/a/c/e/ace7fe00-4bf7-4421-8ccf-2913395500aa/windowsxp-kb824146-ia64-enu.exe)
   • Windows Server 2003 (32-bits)
     http://download.microsoft.com/download/5/7/D/57D367EB-EE72-41D6-99EC-E96724655976/WindowsServer2003-KB824146-x86-ENU.exe (http://download.microsoft.com/download/5/7/d/57d367eb-ee72-41d6-99ec-e96724655976/windowsserver2003-kb824146-x86-enu.exe)
   • Windows Server 2003 (64-bits) en Windows XP 64-bits versie 2003
     http://download.microsoft.com/download/0/B/2/0B2C9630-2E93-4074-94CC-E418B93646DC/WindowsServer2003-KB824146-ia64-ENU.exe (http://download.microsoft.com/download/0/b/2/0b2c9630-2e93-4074-94cc-e418b93646dc/windowsserver2003-kb824146-ia64-enu.exe)
3. Gebruik de meest recente virusherkenningsbestanden van de leverancier van uw antivirussoftware om nieuwe virussen en virusvarianten op te sporen.

Herstel

Als u een besmette computer hebt, is het raadzaam een volledig 'schone' installatie uit te voeren om niet eerder ontdekte beveiligingslekken te verwijderen die in de toekomst tot problemen zouden kunnen leiden. Ga naar de volgende webpagina van Cert Advisory voor meer informatie: Een groot aantal leveranciers van antivirussoftware heeft echter hulpprogramma's geschreven waarmee u de herkende beveiligingslekken voor deze specifieke worm kunt verwijderen. Gebruik (afhankelijk van uw besturingssysteem) de volgende procedure om het verwijderingsprogramma te downloaden van de website van de leverancier van uw antivirussoftware:

Herstelprocedure voor Windows XP, Windows Server 2003, Standard Edition en Windows Server 2003, Enterprise Edition

1. Schakel de Firewall voor Internet-verbindingen van Windows XP, Windows Server 2003, Standard Edition of Windows Server 2003, Enterprise Edition in. U kunt ook Basic Firewall, Microsoft Internet Security and Acceleration (ISA) Server 2000 of een firewall van een andere leverancier gebruiken.
   
   Ga als volgt te werk om de Firewall voor Internet-verbindingen in te schakelen:
   1. Klik op Start en op Configuratiescherm.
   2. Dubbelklik in het Configuratiescherm op Netwerkverbindingen.
   3. Klik met de rechtermuisknop op de verbinding waarvoor u de Firewall voor Internet-verbindingen wilt inschakelen en klik op Eigenschappen.
   4. Open het tabblad Geavanceerd en schakel het selectievakje Mijn computer en netwerk beveiligen door toegang vanaf het Internet te beperken of te blokkeren in.
   Opmerkingen
   • Als uw computer tijdens het uitvoeren van deze stappen herhaaldelijk wordt afgesloten of opnieuw wordt opgestart, verbreek dan de verbinding met internet voordat u de firewall inschakelt. Als u een breedbandverbinding gebruikt voor toegang tot internet, haal dan de kabel van de externe ADSL-modem of kabelmodem uit de modem of de telefoonaansluiting. Als u een inbelverbinding gebruikt, haalt u de telefoonkabel van de modem in uw computer uit de telefoonaansluiting of uit uw computer. Als u de internetverbinding niet kunt verbreken, typt u de volgende opdracht bij de opdrachtprompt om te voorkomen dat RPCSS de computer opnieuw opstart als de service door een fout niet kan worden uitgevoerd:
     sc failure rpcss reset= 0 actions= restart
     Typ de volgende opdracht bij de opdrachtprompt om de standaardherstelinstelling voor RPCSS weer in te stellen nadat u deze stappen hebt uitgevoerd:
     sc failure rpcss reset= 0 actions= reboot/60000
   • Als verschillende computers een internetverbinding delen, gebruikt u alleen een firewall op de computer die rechtstreeks is verbonden met internet. Schakel geen firewall in op de andere computers die gebruikmaken van de internetverbinding. Als u met Windows XP werkt, gebruikt u de wizard Netwerk instellen om de Firewall voor Internet-verbindingen in te schakelen.
   • Het inschakelen van een firewall mag geen invloed hebben op e-mailfuncties of de werking van uw webbrowser. Het is echter wel mogelijk dat sommige internetsoftware, -services of -functies niet meer werken achter een firewall. Als dat het geval is, moet u wellicht enkele poorten in de firewall vrijgeven om het probleem te voorkomen. Raadpleeg de documentatie bij de service die niet werkt, om te kijken welke poorten u moet openen. De procedure voor het openen van deze poorten vindt u in de documentatie bij uw firewall. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
     308127  (http://support.microsoft.com/kb/308127/ ) Handmatig poorten openen in Firewall voor Internet-verbinding onder Windows XP
   • In sommige gevallen kunt u met de volgende procedure de Firewall voor Internet-verbindingen inschakelen voor een verbinding die niet wordt weergegeven in de map met netwerkverbindingen. Als deze procedure niet werkt, neemt u contact op met uw internetprovider voor informatie over het instellen van een firewall voor uw internetverbinding.
     1. Start Internet Explorer.
     2. Open het menu Extra en klik op Internet-opties.
     3. Open het tabblad Verbindingen, klik op de inbelverbinding waarmee u verbinding maakt met internet en klik op Instellingen.
     4. Klik bij Inbelinstellingen op de knop Eigenschappen.
     5. Open het tabblad Geavanceerd en schakel het selectievakje Mijn computer en netwerk beveiligen door toegang vanaf het Internet te beperken of te blokkeren in.
   Als u meer informatie wilt over het inschakelen van de functie Firewall voor Internet-verbindingen in Windows XP of Windows Server 2003, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
   283673  (http://support.microsoft.com/kb/283673/ ) De firewall in- of uitschakelen in Windows XP
   Opmerking De Firewall voor Internet-verbindingen is alleen beschikbaar in Windows XP, in Windows Server 2003, Standard Edition, en in Windows Server 2003, Enterprise Edition. Basic Firewall is een onderdeel van Routing and Remote Access dat u kunt inschakelen voor elke openbare interface op een computer met zowel Routing and Remote Access als een product uit de Windows Server 2003-familie.
2. Download beveiligingspatch 824146 en installeer deze vervolgens op al uw computers om het beveiligingslek te verhelpen dat is geïdentificeerd in Microsoft-beveiligingsbulletins MS03-026 en MS03-039. Klik op de juiste koppeling om beveiligingspatch 824146 te downloaden:
   
   Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition en Windows XP Media Center Edition
   http://download.microsoft.com/download/C/D/D/CDD7AC92-E4CC-4B1E-BC2F-7A61B46B23BF/WindowsXP-KB824146-x86-ENU.exe (http://download.microsoft.com/download/c/d/d/cdd7ac92-e4cc-4b1e-bc2f-7a61b46b23bf/windowsxp-kb824146-x86-enu.exe)
   Windows XP 64-bits versie 2002
   http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe (http://download.microsoft.com/download/a/c/e/ace7fe00-4bf7-4421-8ccf-2913395500aa/windowsxp-kb824146-ia64-enu.exe)
   Beveiligingspatch 824146 vervangt beveiligingspatch 823980. Microsoft raadt u aan beveiligingspatch 824146 te installeren. Deze patch bevat ook correcties voor de problemen die worden beschreven in Microsoft-beveiligingsbulletin MS03-026 (823980). Klik voor meer informatie over beveiligingspatch 824146 op het volgende artikelnummer in de Microsoft Knowledge Base:
   824146  (http://support.microsoft.com/kb/824146/ ) MS03-039: Bufferoverschrijding in RPCSS zorgt ervoor dat een aanvaller schadelijke programma's kan uitvoeren
   Klik voor meer informatie over beveiligingspatch 823980 op het volgende artikelnummer in de Microsoft Knowledge Base:
   823980  (http://support.microsoft.com/kb/823980/ ) MS03-026: Bufferoverschrijding in RPC kan leiden tot uitvoering van code
3. Installeer uw virusherkenningssoftware of werk deze bij en voer vervolgens een volledige systeemscan uit.
4. Download het wormverwijderingsprogramma van de leverancier van uw antivirussoftware en voer dit uit.

Herstelprocedure voor Windows 2000 en Windows NT 4.0

De Firewall voor Internet-verbindingen is niet beschikbaar in Windows 2000 of Windows NT 4.0. Als u niet beschikt over Microsoft Internet Security and Acceleration (ISA) Server 2000 of een firewall van een andere leverancier om TCP-poorten 135, 139, 445 en 593, UDP-poorten 69 (TFTP), 135, 137 en 138, en TCP-poort 4444 voor shell voor externe opdrachten te blokkeren, voert u deze stappen uit om de aangegeven poorten te blokkeren voor LAN-verbindingen. Er zijn geen TCP/IP-filters beschikbaar voor inbelverbindingen. Als u verbinding met internet maakt via een inbelverbinding, moet u een firewall inschakelen.

1. TCP/IP-beveiliging configureren. Gebruik hiervoor de voor uw besturingssysteem geldende procedure.
   
   Windows 2000
   1. Dubbelklik in het Configuratiescherm op Netwerkverbindingen.
   2. Klik met de rechtermuisknop op de interface die u voor internettoegang gebruikt en klik op Eigenschappen.
   3. Klik op Internet-protocol (TCP/IP) in het vak Geselecteerde onderdelen worden voor deze verbinding gebruikt en klik op Eigenschappen.
   4. Klik op Geavanceerd in het dialoogvenster Eigenschappen voor Internet Protocol (TCP/IP).
   5. Open het tabblad Opties.
   6. Klik op TCP/IP-filtering en klik op Eigenschappen.
   7. Klik om het selectievakje TCP/IP-filtering inschakelen (alle adapters) in te schakelen.
   8. Er zijn drie kolommen, die de volgende namen hebben:
      • TCP-poorten
      • UDP-poorten
      • IP-protocollen
      Klik in elke kolom op de optie Alleen toestaan.
   9. Klik op OK.
      
      Opmerkingen
      • Als uw computer tijdens het uitvoeren van deze stappen herhaaldelijk wordt afgesloten of opnieuw wordt opgestart, verbreek dan de verbinding met internet voordat u de firewall inschakelt. Als u een breedbandverbinding gebruikt voor toegang tot internet, haal dan de kabel van de externe ADSL-modem of kabelmodem uit de modem of de telefoonaansluiting. Als u een inbelverbinding gebruikt, haalt u de telefoonkabel van de modem in uw computer uit de telefoonaansluiting of uit uw computer.
      • Als verschillende computers een internetverbinding delen, gebruikt u alleen een firewall op de computer die rechtstreeks is verbonden met internet. Schakel geen firewall in op de andere computers die gebruikmaken van de internetverbinding.
      • Het inschakelen van een firewall mag geen invloed hebben op e-mailfuncties of de werking van uw webbrowser. Het is echter wel mogelijk dat sommige internetsoftware, -services of -functies niet meer werken achter een firewall. Als dat het geval is, moet u wellicht enkele poorten in de firewall vrijgeven om het probleem te voorkomen. Raadpleeg de documentatie bij de service die niet werkt, om te kijken welke poorten u moet openen. De procedure voor het openen van deze poorten vindt u in de documentatie bij uw firewall.
      • Deze stappen zijn gebaseerd op een aangepast uittreksel van artikel 309798 van de Microsoft Knowledge Base. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
        309798  (http://support.microsoft.com/kb/309798/ ) TCP/IP-filtering configureren in Windows 2000
   Windows NT 4.0
   1. Dubbelklik in het Configuratiescherm op Netwerk.
   2. Open het tabblad Protocol, klik op TCP/IP-protocol en klik op Eigenschappen.
   3. Open het tabblad IP-adres en klik op Geavanceerd.
   4. Schakel het selectievakje Beveiliging inschakelen in en klik op Configureren.
   5. Selecteer in de kolommen TCP-poorten, UDP-poorten en IP-protocollen de instelling Alleen toestaan.
   6. Klik op OK en sluit het onderdeel Netwerk.
2. Download beveiligingspatch 824146 en installeer deze vervolgens op al uw computers om het beveiligingslek te verhelpen dat is geïdentificeerd in Microsoft-beveiligingsbulletins MS03-026 en MS03-039. Klik op de juiste koppeling om beveiligingspatch 824146 te downloaden:
   Windows NT Workstation 4.0

   http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/windowsnt4workstation-kb824146-x86-enu.exe)
   Windows NT Server 4.0
   http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/windowsnt4server-kb824146-x86-enu.exe)
   Windows NT Server 4.0, Terminal Server Edition
   http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/windowsnt4terminalserver-kb824146-x86-enu.exe)
   Windows 2000
   http://download.microsoft.com/download/0/A/6/0A634E35-F29A-4F26-B006-D315E898EDEF/Windows2000-KB824146-x86-ENU.exe (http://download.microsoft.com/download/0/a/6/0a634e35-f29a-4f26-b006-d315e898edef/windows2000-kb824146-x86-enu.exe)
   Beveiligingspatch 824146 vervangt beveiligingspatch 823980. Microsoft raadt u aan beveiligingspatch 824146 te installeren. Deze patch bevat ook correcties voor de problemen die worden beschreven in Microsoft-beveiligingsbulletin MS03-026 (823980). Klik voor meer informatie over beveiligingspatch 824146 op het volgende artikelnummer in de Microsoft Knowledge Base:
   824146  (http://support.microsoft.com/kb/824146/ ) MS03-039: Bufferoverschrijding in RPCSS zorgt ervoor dat een aanvaller schadelijke programma's kan uitvoeren
   Voor meer informatie over beveiligingspatch 823980 en eventuele andere vereisten (zoals een service pack voor uw versie van Windows) klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
   823980  (http://support.microsoft.com/kb/823980/ ) MS03-026: Bufferoverschrijding in RPC kan leiden tot uitvoering van code
3. Installeer uw virusherkenningssoftware of werk deze bij en voer vervolgens een volledige systeemscan uit.
4. Download het wormverwijderingsprogramma van de leverancier van uw antivirussoftware en voer dit uit.

U vindt aanvullende technische details over het wormvirus Blaster op de volgende websites van andere leveranciers. Deze leveranciers van antivirussoftware maken deel uit van de Microsoft Virus Information Alliance (VIA):

• Network Associates
  http://us.mcafee.com/virusinfo/default.asp?id=description&virus_k=100547 (http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547)
• Trend Micro
  http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=worm_msblast.a (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A)
• Symantec
  http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html (http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html)
• Computer Associates
  http://www3.ca.com/virusinfo/virus.aspx?id=36265 (http://www3.ca.com/virusinfo/virus.aspx?ID=36265)

Opmerking Als u geen TCP-filter nodig hebt, kunt u dit uitschakelen nadat u de in dit artikel beschreven correctie hebt toegepast en u hebt gecontroleerd of het wormvirus daadwerkelijk is verwijderd.

Bezoek de volgende websites van Symantec voor meer technische informatie over de bekende varianten van het wormvirus Blaster:

• W32.Blaster.C.Worm: Teekids.exe
  http://www.sarc.com/avcenter/venc/data/w32.blaster.c.worm.html (http://www.sarc.com/avcenter/venc/data/w32.blaster.c.worm.html)
• W32.Blaster.B.Worm: Penis32.exe
  http://www.sarc.com/avcenter/venc/data/w32.blaster.b.worm.html (http://www.sarc.com/avcenter/venc/data/w32.blaster.b.worm.html)
• W32.Randex.E : Nstask32.exe, Winlogin.exe, Win32sockdrv.dll en Yyuetyutr.dll
  http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html (http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html)

Op de volgende Microsoft-website vindt u meer informatie over de Microsoft Virus Information Alliance: Neem contact op met de leverancier van uw antivirussoftware voor meer informatie over herstel na besmetting met dit wormvirus.

Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder aankondiging worden gewijzigd. Microsoft kan derhalve niet instaan voor de juistheid van deze contactinformatie.

Bezoek voor de laatste informatie van Microsoft over dit wormvirus de volgende Microsoft-website: Als u vragen hebt over deze waarschuwing, kunt u contact opnemen met een vertegenwoordiger van Microsoft of kunt u in de Verenigde Staten bellen met 1-866-727-2338 (1-866-PCSafety). Buiten de Verenigde Staten kunt u contact opnemen met de dichtstbijzijnde Microsoft-vestiging. Voor ondersteuning bij problemen met virussen kunt u de volgende website van de Microsoft Virus Support Newsgroup bezoeken: Voor meer informatie over beveiligingskwesties met betrekking tot Microsoft-producten gaat u naar de volgende Microsoft-website: Voor meer informatie over beveiligingskwesties met betrekking tot Microsoft-beveiligingsbulletins MS03-026 en MS03-039 gaat u naar de volgende Microsoft-websites: