Virusvarsel om Blaster-ormen og variantene av den

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 826955 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

11. august 2003 begynte Microsoft å undersøke en orm som ble rapportert av Microsofts kundestøttetjenester (PSS), og sikkerhetsgruppen fra Microsoft PSS utstedte et varsel for å informere kundene om den nye ormen. En orm er en type datavirus som vanligvis sprer seg uten at brukerne gjør noe, og som distribuerer fullstendige kopier (kanskje endrede kopier) av seg selv på tvers av nettverk (for eksempel Internett). Denne nye ormen kalles "Blaster" og utnytter sikkerhetsproblemet som ble tatt opp i Microsofts sikkerhetsbulletin MS03-026 (823980), til å spre seg selv over nettverk ved hjelp av åpne RPC-porter (Remote Procedure Call) på datamaskiner som kjører noen av produktene som er oppført i starten av denne artikkelen.

Denne artikkelen inneholder informasjon for nettverksadministratorer og datateknikere om hvordan de skal forhindre og gjenopprette fra en infeksjon fra Blaster-ormen og variantene av den. Ormen og variantene av den kalles også W32.Blaster.Worm, W32.Blaster.C.Worm, W32.Blaster.B.Worm, W32.Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro) og Win32.Posa.Worm (Computer Associates). Hvis du vil ha mer informasjon om hvordan du gjenoppretter fra denne ormen, kontakter du leverandøren av antivirusprogrammet ditt. Hvis du vil ha mer informasjon om leverandører av antivirusprogrammer, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base
49500 Liste over leverandører av antivirusprogrammer
Hvis du er privat bruker, kan du gå til følgende Microsoft-webområde for å finne fremgangsmåter for å bidra til å beskytte datamaskinen og gjenopprette hvis datamaskinen er infisert av Blaster-ormen:
http://www.microsoft.com/security/incident/blast.mspx
Hvis du vil ha mer informasjon om en orm som er lik Blaster-ormen og som utnytter sikkerhetsproblemene som ble behandlet i Microsofts sikkerhetsbulletiner MS03-026 (823980) og MS03-007 (815021), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
826234 Virusvarsel om Nachi-ormen

Obs! 

  • Datamaskinen er ikke sårbar overfor Blaster-ormen hvis du installerte sikkerhetsoppdatering 823980 (MS03-026) før 11. august 2003 (datoen denne ormen ble oppdaget). Du trenger ikke gjøre noe mer hvis du installerte sikkerhetsoppdatering 823980 (MS03-026) før 11. august 2003.
  • Microsoft testet Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP og Windows Server 2003 for å vurdere om de påvirkes av sikkerhetsproblemene som er drøftet i Microsofts sikkerhetsbulletin MS03-026 (823980). Windows Millennium Edition inneholder ikke funksjonene som er knyttet til disse sikkerhetsproblemene. Tidligere versjoner støttes ikke lenger, og de kan påvirkes av disse sikkerhetsproblemene. Hvis du vil ha mer informasjon om Microsofts livssyklus for kundestøtte, kan du gå til følgende Microsoft-webområde:
    http://support.microsoft.com/default.aspx?scid=fh;en-us;lifecycle
    Funksjonene som er knyttet til disse sikkerhetsproblemene, er heller ikke inkludert i Windows 95, Windows 98 eller Windows 98 Second Edition, selv om DCOM er installert. Du trenger ikke gjøre noe hvis du bruker noen av disse versjonene av Windows.
  • Datamaskinen er ikke sårbar overfor Blaster-ormen hvis du installerte Windows XP Service Pack 2 eller Samleoppdatering 1 for Windows 2000 Service Pack 4. Sikkerhetsoppdatering 824146 er inkludert i disse oppdateringspakkene. Du trenger ikke gjøre noe annet hvis du har installert disse oppdateringspakkene. Hvis du vil ha mer informasjon, klikker du følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base:
    322389 Slik får du tak i den seneste oppdateringspakken for Windows XP
    891861 Samleoppdatering 1 for Windows 2000 SP4 og kjente problemer

Mer informasjon

Symptomer på infisering

Hvis datamaskinen er infisert med denne ormen, er det ikke sikkert du vil oppleve noen symptomer, men du kan oppleve følgende:
  • Du vil kanskje se følgende feilmeldinger:
    Tjenesten Remote Procedure Call (RPC) stoppet uventet.
    Systemet avsluttes. Lagre alt arbeid og logg av.
    Ulagrede endringer vil gå tapt.
    Denne avslutningen ble startet av NT AUTHORITY\SYSTEM.
  • Datamaskinen kan bli slått av, eller startes på nytt gjentatte ganger, med tilfeldige intervaller.
  • På en Windows XP-basert eller Windows Server 2003-basert datamaskin kan det hende det vises en dialogboks som gir deg muligheten til å rapportere problemet til Microsoft.
  • Hvis du bruker Windows 2000 eller Windows NT, kan det hende du får en Stopp-feilmelding.
  • Du finner kanskje en fil med navnet Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll eller Yuetyutr.dll i mappen Windows\System32.
  • Du finner kanskje uvanlige TFTP*-filer på datamaskinen.

Tekniske detaljer

Hvis du vil ha tekniske detaljer om endringene denne ormen gjør på datamaskinen din, kontakter du leverandøren av antivirusprogrammet.

Hvis du vil finne dette viruset, søker du etter en fil som heter Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll eller Yuetyutr.dll, i mappen Windows\System32, eller du laster ned den siste antivirus-programsignaturen fra leverandøren av antivirusprogrammet ditt og skanner datamaskinen.

Slik søker du etter disse filene:
  1. Klikk Start, klikk Kjør, og skriv inn cmd i Åpne-boksen. Klikk deretter OK.
  2. Ved ledeteksten skriver du inn dir %systemroot%\system32\filnavn.ext /a /s, og deretter trykker du ENTER, der filnavn.ext er Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll eller Yuetyutr.dll.

    Obs!  Gjenta trinn 2 for hvert av disse filnavnene: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll og Yuetyutr.dll. Hvis du finner en av disse filene, kan datamaskinen være infisert av ormen. Hvis du finner en av disse filene, sletter du den. Deretter følger du trinnene under Gjenoppretting i denne artikkelen. Du sletter filen ved å skrive inn del %systemroot%\system32\filnavn.ext /a etter ledeteksten og trykke ENTER.

Forebygging

Hvis du vil hindre at dette viruset infiserer datamaskinen, gjør du følgende:
  1. Aktiver funksjonen for brannmur for Internett-tilkobling i Windows XP, Windows Server 2003, Standard Edition og Windows Server 2003, Enterprise Edition, eller bruk grunnleggende brannmur, Microsoft Internet Security and Acceleration (ISA) Server 2000 eller en brannmur fra tredjepart til å blokkere TCP-port 135, 139, 445 og 593, UDP-port 69 (TFTP), 135, 137 og 138 samt TCP-port 4444 for skall for ekstern kommando.

    Slik aktiverer du brannmuren for Internett-tilkobling i Windows XP eller Windows Server 2003:
    1. Klikk Start, og klikk deretter Kontrollpanel.
    2. Dobbeltklikk Nettverks- og Internett-tilkoblinger i Kontrollpanel, og klikk deretter Nettverkstilkoblinger.
    3. Høyreklikk tilkoblingen der du vil aktivere Brannmur for Internett-tilkobling, og klikk deretter Egenskaper.
    4. Klikk Avansert-kategorien, og merk deretter av for Beskytt datamaskinen og nettverket ved å begrense eller hindre tilgang til denne maskinen fra Internett.
    Obs!  Det kan hende at enkelte eksterne tilkoblinger ikke vises i Nettverkstilkobling-mappene. Det kan for eksempel hende at eksterne AOL- og MSN-tilkoblinger ikke vises. I noen tilfeller kan du bruke trinnene nedenfor til å aktivere brannmuren for Internett-tilkobling for en tilkobling som ikke vises i Nettverkstilkobling-mappen. Hvis disse trinnene ikke fungerer, kontakter du Internett-leverandøren for å få informasjon om hvordan du aktiverer brannmur for Internett-tilkoblingen.
    1. Start Internet Explorer.
    2. Klikk Alternativer for InternettVerktøy-menyen.
    3. Klikk Tilkoblinger-kategorien, klikk den eksterne tilkoblingen du bruker til å koble til Internett, og klikk deretter Innstillinger.
    4. Klikk Egenskaper under Oppringingsinnstillinger.
    5. Klikk Avansert-kategorien, og merk deretter av for Beskytt datamaskinen og nettverket ved å begrense eller hindre tilgang til denne maskinen fra Internett.
    Hvis du vil ha mer informasjon om hvordan du aktiverer Brannmur for Internett-tilkobling i Windows XP eller Windows Server 2003, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    283673 Slik aktiverer og deaktiverer du Internett-brannmuren i Windows XP
    Obs!  Brannmur for Internett-tilkobling er bare tilgjengelig i Windows XP, Windows Server 2003, Standard Edition og Windows Server 2003, Enterprise Edition. Grunnleggende brannmur er en komponent for ruting og ekstern pålogging som du kan aktivere for alle felles grensesnitt på en datamaskin som kjører både ruting og ekstern pålogging, og som er medlem av Windows Server 2003-serien.
  2. Denne ormen bruker et tidligere annonsert sikkerhetsproblem som en del av infiseringsmetoden. På grunn av dette må du passe på at du har installert sikkerhetsoppdatering 823980 på alle datamaskiner for å løse problemet med sikkerhetsproblemet som er identifisert i Microsofts sikkerhetsbulletin MS03-026. Merk at sikkerhetsoppdatering 824146 erstatter sikkerhetsoppdatering 823980. Microsoft anbefaler at du installerer sikkerhetsoppdateringen 824146 som også inneholder feilrettinger for problemene som er drøftet i Microsofts sikkerhetsbulletin MS03-026 (823980). Hvis du vil ha mer informasjon om sikkerhetsoppdatering 824146, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    824146 MS03-039: Bufferoverløp i RPCSS kan gi en angriper tilgang til å kjøre ondsinnede programmer
    Hvis du vil ha mer informasjon om sikkerhetsoppdatering 823980 og eventuelle forutsetninger (for eksempel en oppdateringspakke for din versjon av Windows), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    823980 MS03-026: Bufferoverkjøring i RPC kan tillate at kode kjøres
    Hvis du vil laste ned sikkerhetsoppdatering 824146, klikker du riktig kobling for operativsystemet du bruker:
  3. Bruk den siste antivirussignaturen fra leverandøren av antivirusprogrammet du bruker, til å finne nye virus og varianter av disse.

Gjenoppretting

Gode fremgangsmåter for sikkerhet innebærer at du utfører en fullstendig "ren" installasjon på en tidligere usikret datamaskin for å fjerne eventuelle uoppdagede utnyttelser som kan føre til fremtidige skader. Hvis du vil ha mer informasjon, kan du gå til følgende webområde for råd om sertifikater:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
Mange antivirusselskaper har imidlertid skrevet verktøy som fjerner den kjente utnyttelsen som er tilknyttet denne bestemte ormen. Hvis du vil laste ned verktøyet for fjerning fra leverandøren av antivirusprogrammet, bruker du én av fremgangsmåtene nedenfor, avhengig av hvilket operativsystem du bruker.

Gjenoppretting for Windows XP, Windows Server 2003, Standard Edition og Windows Server 2003, Enterprise Edition

  1. Aktiver funksjonen Brannmur for Internett-tilkobling i Windows XP, Windows Server 2003, Standard Edition og Windows Server 2003, Enterprise Edition, eller bruk grunnleggende brannmur, Microsoft Internet Security and Acceleration (ISA) Server 2000, eller en brannmur fra tredjepart.

    Slik aktiverer du brannmuren for Internett-tilkobling:
    1. Klikk Start, og klikk deretter Kontrollpanel.
    2. Dobbeltklikk Nettverks- og Internett-tilkoblinger i Kontrollpanel, og klikk deretter Nettverkstilkoblinger.
    3. Høyreklikk tilkoblingen der du vil aktivere Brannmur for Internett-tilkobling, og klikk deretter Egenskaper.
    4. Klikk Avansert-kategorien, og merk deretter av for Beskytt datamaskinen og nettverket ved å begrense eller hindre tilgang til denne maskinen fra Internett.
    Obs! 
    • Hvis datamaskinen blir slått av eller starter på nytt flere ganger når du prøver å utføre disse trinnene, kobler du fra Internett før du aktiverer brannmuren. Hvis du kobler til Internett via en bredbåndstilkobling, finner du ledningen som går fra det eksterne DSL- eller kabelmodemet, og tar ledningen ut av modemet eller telefonkontakten. Hvis du bruker en ekstern tilkobling, finner du telefonledningen som går fra modemet inne i datamaskinen til telefonkontakten, og tar ut ledningen fra telefonkontakten eller datamaskinen. Hvis du ikke kan koble fra Internett, skriver du inn følgende linje ved ledeteksten for å konfigurere RPCSS til ikke å starte datamaskinen på nytt når tjenesten mislykkes:
      sc failure rpcss reset= 0 actions= restart
      Hvis du vil tilbakestille RPCSS til standardinnstilling for gjenoppretting etter at du har fullført disse trinnene, skriver du inn følgende linje ved ledeteksten:
      sc failure rpcss reset= 0 actions= reboot/60000
    • Hvis du har flere datamaskiner som deler en Internett-tilkobling, bruker du bare en brannmur på datamaskinen som er koblet direkte til Internett. Ikke bruk en brannmur på de andre datamaskinene som deler Internett-tilkoblingen. Hvis du kjører Windows XP, bruker du veiviseren for nettverksinstallasjon til å aktivere brannmuren for Internett-tilkobling.
    • Bruk av en brannmur skal ikke ha noen innvirkning på e-posttjenesten eller websøking, men en brannmur kan deaktivere en del Internett-programmer, -tjenester eller -funksjoner. Hvis dette skjer, må du kanskje åpne noen porter i brannmuren for at noen Internett-funksjoner skal fungere. Se dokumentasjonen som følger med Internett-tjenesten som ikke fungerer, for å finne ut hvilke porter du må åpne. Se dokumentasjonen som følger med brannmuren, for å finne ut hvordan du åpner disse portene. Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
      308127 Slik åpner du porter manuelt i brannmuren for Internett-tilkobling i Windows XP
    • I noen tilfeller kan du bruke trinnene nedenfor til å aktivere brannmuren for Internett-tilkobling for en tilkobling som ikke vises i Nettverkstilkobling-mappen. Hvis disse trinnene ikke fungerer, kontakter du Internett-leverandøren for å få informasjon om hvordan du aktiverer brannmur for Internett-tilkoblingen.
      1. Start Internet Explorer.
      2. Klikk Alternativer for InternettVerktøy-menyen.
      3. Klikk Tilkoblinger-kategorien, klikk den eksterne tilkoblingen du bruker til å koble til Internett, og klikk deretter Innstillinger.
      4. Klikk Egenskaper under Oppringingsinnstillinger.
      5. Klikk Avansert-kategorien, og merk deretter av for Beskytt datamaskinen og nettverket ved å begrense eller hindre tilgang til denne maskinen fra Internett.
    Hvis du vil ha mer informasjon om hvordan du aktiverer Brannmur for Internett-tilkobling i Windows XP eller Windows Server 2003, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    283673 Slik aktiverer og deaktiverer du Internett-brannmuren i Windows XP
    Obs!  Brannmur for Internett-tilkobling er bare tilgjengelig i Windows XP, Windows Server 2003, Standard Edition og Windows Server 2003, Enterprise Edition. Grunnleggende brannmur er en komponent for ruting og ekstern pålogging som du kan aktivere for alle felles grensesnitt på en datamaskin som kjører ruting og ekstern pålogging, og som er medlem av Windows Server 2003-serien.
  2. Last ned sikkerhetsoppdatering 824146, og installer den deretter på alle datamaskinene dine for å korrigere sikkerhetsproblemet som ble identifisert i Microsofts sikkerhetsbulletin MS03-026 og MS03-039. Hvis du vil laste ned sikkerhetsoppdatering 824146, klikker du passende kobling:

    Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition og Windows XP Media Center Edition
    http://download.microsoft.com/download/C/D/D/CDD7AC92-E4CC-4B1E-BC2F-7A61B46B23BF/WindowsXP-KB824146-x86-ENU.exe
    Windows XP 64-biters versjon 2002
    http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe
    Merk at sikkerhetsoppdatering 824146 erstatter sikkerhetsoppdatering 823980. Microsoft anbefaler at du installerer sikkerhetsoppdateringen 824146 som også inneholder feilrettinger for problemene som er drøftet i Microsofts sikkerhetsbulletin MS03-026 (823980). Hvis du vil ha mer informasjon om sikkerhetsoppdatering 824146, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    824146 MS03-039: Bufferoverløp i RPCSS kan gi en angriper tilgang til å kjøre ondsinnede programmer
    Hvis du vil ha mer informasjon om sikkerhetsoppdatering 823980, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    823980 MS03-026: Bufferoverkjøring i RPC-grensesnittet kan tillate at kode kjøres
  3. Installer eller oppdater antivirusprogramsignaturen, og kjør deretter en fullstendig systemskanning.
  4. Last ned og kjør verktøyet for fjerning av ormen fra leverandøren av antivirusprogrammet du bruker.

Gjenoppretting for Windows 2000 og Windows NT 4.0

Funksjonen Brannmur for Internett-tilkobling er ikke tilgjengelig i Windows 2000 eller Windows NT 4.0. Hvis Microsoft Internet Security and Acceleration (ISA) Server 2000 eller en brannmur fra tredjepart ikke er tilgjengelig for blokkering av TCP-port 135, 139, 445 og 593, UDP-port 69 (TFTP), 135, 137 og 138 og TCP-port 4444 for skall for ekstern kommando, følger du disse trinnene for å bidra til blokkering av de aktuelle portene for LAN-tilkoblinger. Merk at TCP/IP-filtrering ikke er tilgjengelig for eksterne tilkoblinger. Hvis du bruker en ekstern tilkobling for å koble til Internett, bør du aktivere en brannmur.
  1. Konfigurer TCP/IP-sikkerhet. Bruk den fremgangsmåten som er riktig for ditt operativsystem.

    Windows 2000
    1. Dobbeltklikk Nettverk og eksterne tilkoblinger i Kontrollpanel.
    2. Høyreklikk grensesnittet du bruker for å få tilgang til Internett, og klikk deretter Egenskaper.
    3. I boksen Merkede komponenter brukes av denne tilkoblingen klikker du Internett-protokoll (TCP/IP), og deretter klikker du Egenskaper.
    4. I dialogboksen Egenskaper for Internett-protokoll (TCP/IP) klikker du Avansert.
    5. Klikk Alternativer-kategorien.
    6. Klikk TCP/IP-filtrering og deretter Egenskaper.
    7. Merk av for Aktiver TCP/IP-filtrering (alle kort).
    8. Det er tre kolonner, med følgende navn:
      • TCP-porter
      • UDP-porter
      • IP-protokoller
      I hver enkelt kolonne klikker du alternativet Tillat bare.
    9. Klikk OK.

      Obs! 
      • Hvis datamaskinen blir slått av eller starter på nytt flere ganger når du prøver å utføre disse trinnene, kobler du fra Internett før du aktiverer brannmuren. Hvis du kobler til Internett via en bredbåndstilkobling, finner du ledningen som går fra det eksterne DSL- eller kabelmodemet, og tar ledningen ut av modemet eller telefonkontakten. Hvis du bruker en ekstern tilkobling, finner du telefonledningen som går fra modemet inne i datamaskinen til telefonkontakten, og tar ut ledningen fra telefonkontakten eller datamaskinen.
      • Hvis du har flere datamaskiner som deler en Internett-tilkobling, bruker du bare en brannmur på datamaskinen som er koblet direkte til Internett. Ikke bruk en brannmur på de andre datamaskinene som deler Internett-tilkoblingen.
      • Bruk av en brannmur skal ikke ha noen innvirkning på e-posttjenesten eller websøking, men en brannmur kan deaktivere en del Internett-programmer, -tjenester eller -funksjoner. Hvis dette skjer, må du kanskje åpne noen porter i brannmuren for at noen Internett-funksjoner skal fungere. Se dokumentasjonen som følger med Internett-tjenesten som ikke fungerer, for å finne ut hvilke porter du må åpne. Se dokumentasjonen som følger med brannmuren, for å finne ut hvordan du åpner disse portene.
      • Disse trinnene er basert på et endret utdrag av Microsoft Knowledge Base-artikkel 309798. Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base (Denne artikkelen kan være på engelsk.):
        309798 Slik konfigurerer du TCP/IP-filtrering i Windows 2000 (Denne artikkelen kan være på engelsk.)
    Windows NT 4.0
    1. Dobbeltklikk Nettverk i Kontrollpanel.
    2. Klikk Protokoll-kategorien, TCP/IP-protokoll og deretter Egenskaper.
    3. Klikk kategorien IP-adresse, og klikk deretter Avansert.
    4. Fjern merket for Aktiver sikkerhet, og klikk deretter Konfigurer.
    5. I kolonnene TCP-porter, UDP-porter og IP-protokoller merker du av for Tillat bare.
    6. Klikk OK, og lukk deretter nettverksverktøyet.
  2. Last ned sikkerhetsoppdatering 824146, og installer den deretter på alle datamaskinene dine for å korrigere sikkerhetsproblemet som ble identifisert i Microsofts sikkerhetsbulletin MS03-026 og MS03-039. Hvis du vil laste ned sikkerhetsoppdatering 824146, klikker du passende kobling:
    Windows NT Workstation 4.0
    http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE
    Windows NT Server 4.0
    http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE
    Windows NT Server 4.0, Terminal Server Edition
    http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE
    Windows 2000
    http://download.microsoft.com/download/0/A/6/0A634E35-F29A-4F26-B006-D315E898EDEF/Windows2000-KB824146-x86-ENU.exe
    Merk at sikkerhetsoppdatering 824146 erstatter sikkerhetsoppdatering 823980. Microsoft anbefaler at du installerer sikkerhetsoppdateringen 824146 som også inneholder feilrettinger for problemene som er drøftet i Microsofts sikkerhetsbulletin MS03-026 (823980). Hvis du vil ha mer informasjon om sikkerhetsoppdatering 824146, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    824146 MS03-039: Bufferoverløp i RPCSS kan gi en angriper tilgang til å kjøre ondsinnede programmer
    Hvis du vil ha mer informasjon om sikkerhetsoppdatering 823980 og eventuelle forutsetninger (for eksempel en oppdateringspakke for din versjon av Windows), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    823980 MS03-026: Bufferoverkjøring i RPC kan tillate at kode kjøres
  3. Installer eller oppdater antivirusprogramsignaturen, og kjør deretter en fullstendig systemskanning.
  4. Last ned og kjør verktøyet for fjerning av ormen fra leverandøren av antivirusprogrammet du bruker.
Hvis du vil ha flere tekniske detaljer om Blaster-ormen fra leverandører av antivirusprogrammer som deltar i Microsoft Virus Information Alliance (VIA), kan du gå til hvilket som helst av følgende webområder for tredjeparter: Obs!  Hvis du ikke må bruke TCP-filtrering, kan det hende du vil deaktivere TCP-filtrering etter at du har brukt feilrettingen som beskrives i denne artikkelen, og etter at du har kontrollert at du har fjernet ormen.

Hvis du vil ha flere tekniske detaljer om kjente varianter av Blaster-ormen, kan du gå til følgende Symantec-webområder: Hvis du vil ha mer informasjon om Microsoft Virus Information Alliance, kan du gå til dette Microsoft-webområdet:
http://www.microsoft.com/technet/security/alerts/info/via.mspx
Hvis du vil ha mer informasjon om hvordan du gjenoppretter fra denne ormen, kontakter du leverandøren av antivirusprogrammet du bruker.

Microsoft tilbyr kontaktopplysninger om tredjeparter, noe som hjelper deg med å finne teknisk kundestøtte. Disse kontaktopplysningene kan endres uten varsel. Microsoft garanterer ikke nøyaktigheten til disse kontaktopplysningene om tredjeparter.

Referanser

Hvis du vil ha helt oppdatert informasjon fra Microsoft om denne ormen, kan du gå til følgende Microsoft-webområde:
http://www.microsoft.com/security/incident/blast.mspx
Hvis du har noen spørsmål i forbindelse med dette varselet, kontakter du Microsoft-representanten din eller ringer 1-866-727-2338 (1-866-PCSafety) i USA. Utenfor USA kontakter du det lokale Microsoft-kontoret. Hvis du vil ha støtte i forbindelse med virusrelaterte problemer, kan du gå til følgende webområde for Microsoft Virus Support Newsgroup:
news://msnews.microsoft.com/microsoft.public.security.virus
Hvis du vil ha mer sikkerhetsrelatert informasjon om Microsoft-produkter, kan du gå til følgende Microsoft-webområde:
http://www.microsoft.com/athome/security/default.mspx
Hvis du vil ha mer sikkerhetsrelatert informasjon om Microsofts sikkerhetsbulletin MS03-026 og MS03-039, kan du gå til følgende Microsoft-webområde:
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx

Egenskaper

Artikkel-ID: 826955 - Forrige gjennomgang: 31. januar 2007 - Gjennomgang: 13.6
Informasjonen i denne artikkelen gjelder:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server, Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
Nøkkelord: 
kbacwsurvey kbdownload kbvirus kbsecantivirus kberrmsg KB826955

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com