Numer ID artykułu: 826955 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

11 sierpnia 2003 roku firma Microsoft rozpoczęła badanie robaka komputerowego zgłoszonego przez Pomoc techniczną firmy Microsoft (PSS), a zespół PSS firmy Microsoft ds. zabezpieczeń ogłosił alert w celu poinformowania klientów o wykryciu nowego robaka. Robak komputerowy zazwyczaj rozprzestrzenia się bez konieczności wykonywania jakiejkolwiek czynności przez użytkownika i rozpowszechnia pełne własne kopie (niekiedy zmodyfikowane) za pośrednictwem sieci (takich jak Internet). Nowy robak, znany pod nazwą „Blaster”, wykorzystuje lukę w zabezpieczeniach omówioną w biuletynie Microsoft Security Bulletin MS03-026 (823980) do rozprzestrzeniania się za pośrednictwem sieci przy użyciu portów zdalnego wywoływania procedur (RPC) na komputerach, na których są uruchomione produkty wymienione na początku tego artykułu.

Ten artykuł zawiera informacje przeznaczone dla administratorów sieci i informatyków, dotyczące sposobów zapobiegania zainfekowaniu wirusem Blaster i jego odmianami oraz odzyskiwania systemu w przypadku infekcji tego typu. Ten robak i jego odmiany znane są również jako W32.Blaster.Worm, W32.Blaster.C.Worm, W32.Blaster.B.Worm, W32.Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro) i Win32.Posa.Worm (Computer Associates). Aby uzyskać dodatkowe informacje dotyczące odzyskiwania systemu w przypadku zainfekowania tym wirusem, należy skontaktować się z dostawcą oprogramowania antywirusowego. Aby uzyskać dodatkowe informacje dotyczące dostawców oprogramowania antywirusowego, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
49500 List of Antivirus Software Vendors
Użytkownicy domowi powinni odwiedzić następującą witrynę firmy Microsoft w sieci Web, gdzie znajdą instrukcje ułatwiające zabezpieczenie komputera i odzyskanie systemu w przypadku zainfekowania wirusem Blaster:
http://www.microsoft.com/security/incident/blast.mspx
Aby uzyskać dodatkowe informacje dotyczące wirusa typu worm, który jest podobny do wirusa Blaster i wykorzystuje luki opisane w biuletynach Microsoft Security Bulletin MS03-026 (823980) i MS03-007 (815021), kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
826234 Alert wirusowy dotyczący robaka Nachi

Uwagi

  • Komputer jest odporny na robaka Blaster, jeżeli zainstalowano poprawkę zabezpieczeń 823980 (MS03-026) przed 11 sierpnia 2003 roku (data wykrycia robaka). Wykonywanie dodatkowych czynności nie jest konieczne, jeżeli poprawka zabezpieczeń 823980 (MS03-026) została zainstalowana przed 11 sierpnia 2003 roku.
  • Firma Microsoft przetestowała systemy Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP i Windows Server 2003 w celu sprawdzenia, czy są one narażone na luki opisane w biuletynie Microsoft Security Bulletin MS03-026 (823980). W systemie Windows Millennium Edition nie ma funkcji, które byłyby skojarzone z tymi lukami. Starsze wersje nie są już obsługiwane i mogą być narażone na te luki lub nie. Aby uzyskać dodatkowe informacje dotyczące cyklu obsługi przez firmę Microsoft jej produktów, odwiedź następującą witrynę firmy Microsoft w sieci Web:
    http://support.microsoft.com/default.aspx?scid=fh;pl;lifecycle
    Funkcji skojarzonych z tymi lukami nie ma również w systemach Windows 95, Windows 98 i Windows 98 Wydanie drugie, nawet jeśli jest zainstalowany model DCOM. W przypadku korzystania z tych wersji systemu Windows nie trzeba nic robić.
  • Komputer jest chroniony przed wirusem typu worm Blaster, jeżeli zainstalowano dodatek Service Pack 2 dla systemu Windows XP lub pakiet zbiorczy aktualizacji 1 dla systemu Windows 2000 z dodatkiem Service Pack 4. Aktualizacja zabezpieczeń 824146 została uwzględniona w tych dodatkach Service Pack. Wykonywanie dodatkowych czynności nie jest konieczne, jeżeli zainstalowano te dodatki Service Pack. Aby uzyskać więcej informacji, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
    322389 How to obtain the latest Windows XP service pack
    891861 Update Rollup 1 for Windows 2000 Service Pack 4 and known issues

Więcej informacji

Symptomy infekcji

W przypadku zainfekowania komputera tym robakiem nie występują żadne symptomy lub występują następujące symptomy:
  • Mogą zostać wyświetlone następujące komunikaty o błędach:
    Usługa Remote Procedure Call (RPC) została zakończona nieoczekiwanie.
    System jest zamykany. Zapisz wszystkie rozpoczęte prace i wyloguj się.
    Wszystkie niezapisane zmiany zostaną utracone.
    Zamknięcie zostało zainicjowane przez NT AUTHORITY\SYSTEM.
  • Komputer może zostać wyłączony lub może być wielokrotnie ponownie uruchamiany zgodnie z losowo określonymi interwałami.
  • Na komputerze z systemem Windows XP lub Windows Server 2003 może pojawić się okno dialogowe zawierające opcję umożliwiającą przesłanie raportu dotyczącego problemu do firmy Microsoft.
  • W przypadku korzystania z systemu Windows 2000 lub Windows NT może zostać wyświetlony komunikat o błędzie zatrzymania na niebieskim ekranie.
  • Plik o nazwie Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll lub Yuetyutr.dll może zostać umieszczony w folderze Windows\System32.
  • Nietypowe pliki TFTP* mogą zostać umieszczone na komputerze.

Szczegółowe informacje techniczne

Aby uzyskać szczegółowe informacje techniczne dotyczące zmian wprowadzanych na komputerze przez tego robaka, skontaktuj się z dostawcą oprogramowania antywirusowego.

Aby wykryć ten wirus, należy odszukać plik o nazwie Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll lub Yuetyutr.dll w folderze Windows\System32 lub pobrać najnowszą sygnaturę oprogramowania antywirusowego od dostawcy tego oprogramowania, a następnie przeskanować komputer.

Aby wyszukać powyższe pliki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie cmd w polu Otwórz, a następnie kliknij przycisk OK.
  2. W wierszu polecenia wpisz polecenie dir %systemroot%\system32\Nazwa_pliku.roz /a /s, a następnie naciśnij klawisz ENTER.Nazwa_pliku.roz jest nazwą Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll lub Yuetyutr.dll.

    Uwaga: Powtórz krok 2 dla każdej z następujących nazw plików: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll i Yuetyutr.dll. Jeżeli którykolwiek z tych plików zostanie odnaleziony, komputer może być zainfekowany wirusem. Jeżeli jeden z tych plików zostanie odnaleziony, należy usunąć plik, a następnie postępować zgodnie z krokami opisanymi w sekcji „Odzyskiwanie systemu” w tym artykule. Aby usunąć plik, wpisz polecenie del %systemroot%\system32\Nazwa_pliku.roz /a i naciśnij klawisz ENTER.

Zapobieganie infekcji

Aby zapobiec zainfekowaniu komputera przez ten wirus, należy postępować zgodnie z następującymi krokami:
  1. Włącz Zaporę połączenia internetowego (ICF) w systemach Windows XP, Windows Server 2003, Standard Edition i Windows Server 2003, Enterprise Edition albo użyj zapory podstawowej, programu Microsoft Internet Security and Acceleration (ISA) Server 2000 lub zapory oferowanej przez innego producenta do zablokowania portów 139, 445 i 593 protokołu TCP, portów 69 (TFTP), 135, 137 i 138 protokołu UDP oraz portu 4444 protokołu TCP związanego ze zdalną powłoką poleceń.

    Aby włączyć Zaporę połączenia internetowego w systemie Windows XP lub Windows Server 2003, wykonaj następujące kroki:
    1. Kliknij przycisk Start, a następnie kliknij polecenie Panel sterowania.
    2. W Panelu sterowania kliknij dwukrotnie ikonę Połączenia sieciowe i internetowe, a następnie kliknij węzeł Połączenia sieciowe.
    3. Kliknij prawym przyciskiem myszy połączenie, dla którego chcesz włączyć Zaporę połączenia internetowego, a następnie kliknij polecenie Właściwości.
    4. Kliknij kartę Zaawansowane, a następnie kliknij pole wyboru Chroń mój komputer i moją sieć, ograniczając lub wykluczając dostęp do tego komputera z Internetu, aby je zaznaczyć.
    Uwaga: Niektóre połączenia telefoniczne mogą nie pojawiać się w folderach Połączenie sieciowe. Na przykład połączenia telefoniczne AOL i MSN mogą się nie pojawiać. W niektórych wypadkach, postępując zgodnie z następującymi krokami, można włączyć Zaporę połączenia internetowego dla połączenia, które nie pojawia się w folderze Połączenie sieciowe. Jeżeli te kroki nie umożliwiają rozwiązania problemu, skontaktuj się z usługodawcą internetowym, aby uzyskać informacje dotyczące sposobów konfigurowania zapory dla połączenia internetowego.
    1. Uruchom program Internet Explorer.
    2. W menu Narzędzia kliknij polecenie Opcje internetowe.
    3. Kliknij kartę Połączenia, kliknij połączenie telefoniczne, którego używasz do łączenia się z Internetem, a następnie kliknij przycisk Ustawienia.
    4. W obszarze Ustawienia połączenia telefonicznego kliknij przycisk Właściwości.
    5. Kliknij kartę Zaawansowane, a następnie kliknij pole wyboru Chroń mój komputer i moją sieć, ograniczając lub wykluczając dostęp do tego komputera z Internetu, aby je zaznaczyć.
    Aby uzyskać więcej informacji dotyczących sposobu włączania Zapory połączenia internetowego w systemie Windows XP lub Windows Server 2003, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    283673 How to turn on or turn off the firewall in Windows XP
    Uwaga: Zapora połączenia internetowego jest dostępna tylko w systemach Windows XP, Windows Server 2003, Standard Edition i Windows Server 2003, Enterprise Edition. Zapora podstawowa jest składnikiem Routingu i dostępu zdalnego, który można włączyć dla dowolnego interfejsu publicznego na komputerze z uruchomionym Routingiem i dostępem zdalnym, należącym do rodziny systemów Windows Server 2003.
  2. Częścią metody infekcji stosowanej przez tego wirusa jest wykorzystanie opisanej wcześniej luki w zabezpieczeniach. Należy więc upewnić się, że zainstalowano poprawkę zabezpieczeń 823980 na wszystkich komputerach w celu eliminacji luki w zabezpieczeniach opisanej w biuletynie Microsoft Security Bulletin MS03-026. Należy zauważyć, że poprawka zabezpieczeń 824146 zastępuje poprawkę zabezpieczeń 823980. Firma Microsoft zaleca zainstalowanie poprawki zabezpieczeń 824146, w której uwzględniono również poprawki związane z problemami omówionymi w biuletynie Microsoft Security Bulletin MS03-026 (823980). Aby uzyskać więcej informacji dotyczących poprawki zabezpieczeń 824146, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    824146 MS03-039: Przepełnienie buforu w usłudze RPCSS może pozwolić atakującemu na uruchamianie szkodliwych programów
    Aby uzyskać więcej informacji dotyczących poprawki zabezpieczeń 823980 i wymagań wstępnych (takich jak dodatek Service Pack dla danej wersji systemu Windows), kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    823980 MS03-026: Przekroczenie buforu w interfejsie RPC może umożliwiać uruchomienie kodu źródłowego
    Aby pobrać poprawkę zabezpieczeń 824146, kliknij łącze odpowiednie dla systemu operacyjnego:
  3. Użyj najnowszego podpisu wirusa, uzyskanego od dostawcy oprogramowania antywirusowego, do wykrycia nowych wirusów i ich odmian.

Odzyskiwanie systemu

Zgodnie z najważniejszymi wskazówkami dotyczącymi zabezpieczeń należy wykonać pełną, czystą instalację na zainfekowanym komputerze w celu usunięcia skutków infekcji związanej z tym wirusem, które mogą prowadzić do naruszenia systemu zabezpieczeń w przyszłości. Aby uzyskać dodatkowe informacje, odwiedź następującą witrynę organizacji Cert Advisory w sieci Web:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
Wiele firm oferujących oprogramowanie antywirusowe zaprojektowało narzędzia służące do usuwania skutków infekcji związanej z tym wirusem. Aby pobrać z witryny dostawcy oprogramowania antywirusowego narzędzie służące do usuwania skutków infekcji związanej z tym wirusem, należy użyć następujących procedur odpowiednich dla danego systemu operacyjnego.

Odzyskiwanie systemów Windows XP, Windows Server 2003, Standard Edition i Windows Server 2003, Enterprise Edition

  1. Włącz Zaporę połączenia internetowego (ICF) w systemach Windows XP, Windows Server 2003, Standard Edition i Windows Server 2003, Enterprise Edition albo użyj zapory podstawowej, programu Microsoft Internet Security and Acceleration (ISA) Server 2000 lub zapory oferowanej przez innego producenta.

    Aby włączyć funkcję Zaporę połączenia internetowego, wykonaj następujące kroki:
    1. Kliknij przycisk Start, a następnie kliknij polecenie Panel sterowania.
    2. W Panelu sterowania kliknij dwukrotnie ikonę Połączenia sieciowe i internetowe, a następnie kliknij węzeł Połączenia sieciowe.
    3. Kliknij prawym przyciskiem myszy połączenie, dla którego chcesz włączyć Zaporę połączenia internetowego, a następnie kliknij polecenie Właściwości.
    4. Kliknij kartę Zaawansowane, a następnie kliknij pole wyboru Chroń mój komputer i moją sieć, ograniczając lub wykluczając dostęp do tego komputera z Internetu, aby je zaznaczyć.
    Uwagi
    • Jeżeli komputer jest wielokrotnie wyłączany lub ponownie uruchamiany podczas próby postępowania zgodnie z tymi krokami, rozłącz połączenie z Internetem przed włączeniem zapory. W przypadku szerokopasmowego połączenia z Internetem zlokalizuj kabel podłączony do linii DSL lub zewnętrznego modemu kablowego, a następnie odłącz ten kabel od modemu lub gniazda telefonicznego. W przypadku korzystania z połączenia telefonicznego zlokalizuj kabel telefoniczny podłączony do modemu znajdującego się wewnątrz komputera i do gniazda telefonicznego, a następnie odłącz ten kabel od gniazda telefonicznego lub komputera. Jeśli nie możesz rozłączyć się z Internetem, wpisz następujący wiersz w wierszu polecenia w celu takiego skonfigurowania usługi RPCSS, aby komputer nie był ponownie uruchamiany w przypadku wystąpienia błędu tej usługi:
      sc failure rpcss reset= 0 actions= restart
      Aby po wykonaniu tych kroków przywrócić w usłudze RPCSS domyślne ustawienie odzyskiwania, wpisz następujące polecenie w wierszu polecenia:
      sc failure rpcss reset= 0 actions= reboot/60000
    • Jeżeli kilka komputerów korzysta z połączenia internetowego, użyj zapory tylko na komputerze, który jest bezpośrednio podłączony do Internetu. Nie używaj zapory na innych komputerach współużytkujących połączenie internetowe. W przypadku korzystania z systemu Windows XP użyj Kreatora konfiguracji sieci do włączenia Zapory połączenia internetowego.
    • Korzystanie z zapory nie powinno wpływać na usługę poczty e-mail ani przeglądanie sieci Web, jednak zapora może wyłączyć niektóre składniki oprogramowania internetowego, usługi lub funkcje. W takim przypadku konieczne może być otwarcie niektórych portów na zaporze, aby umożliwić korzystanie z niektórych funkcji internetowych. Przeczytaj dokumentację dołączoną do wyłączonej usługi internetowej, aby ustalić, które porty należy otworzyć. Przeczytaj dokumentację dołączoną do zapory, aby ustalić, jak otworzyć te porty. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
      308127 How to manually open ports in Internet Connection Firewall in Windows XP
    • W niektórych wypadkach, postępując zgodnie z następującymi krokami, można włączyć Zaporę połączenia internetowego dla połączenia, które nie pojawia się w folderze Połączenia sieciowe. Jeżeli te kroki nie umożliwiają rozwiązania problemu, skontaktuj się z usługodawcą internetowym, aby uzyskać informacje dotyczące sposobów konfigurowania zapory dla połączenia internetowego.
      1. Uruchom program Internet Explorer.
      2. W menu Narzędzia kliknij polecenie Opcje internetowe.
      3. Kliknij kartę Połączenia, kliknij połączenie telefoniczne, którego używasz do łączenia się z Internetem, a następnie kliknij przycisk Ustawienia.
      4. W obszarze Ustawienia połączenia telefonicznego kliknij przycisk Właściwości.
      5. Kliknij kartę Zaawansowane, a następnie kliknij pole wyboru Chroń mój komputer i moją sieć, ograniczając lub wykluczając dostęp do tego komputera z Internetu, aby je zaznaczyć.
    Aby uzyskać więcej informacji dotyczących sposobu włączania Zapory połączenia internetowego w systemie Windows XP lub Windows Server 2003, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    283673 How to turn on or turn off the firewall in Windows XP
    Uwaga: Zapora połączenia internetowego jest dostępna tylko w systemach Windows XP, Windows Server 2003, Standard Edition i Windows Server 2003, Enterprise Edition. Zapora podstawowa jest składnikiem Routingu i dostępu zdalnego, który można włączyć dla dowolnego interfejsu publicznego na komputerze z uruchomionym Routingiem i dostępem zdalnym, należącym do rodziny systemów Windows Server 2003.
  2. Pobierz, a następnie zainstaluj poprawkę zabezpieczeń 824146 na wszystkich komputerach w celu usunięcia luki w zabezpieczeniach opisanej w biuletynach Microsoft Security Bulletin MS03-026 i MS03-039. Aby pobrać poprawkę zabezpieczeń 824146, kliknij łącze odpowiednie dla danego systemu operacyjnego:

    Systemy Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition i Windows XP Media Center Edition
    http://download.microsoft.com/download/C/D/D/CDD7AC92-E4CC-4B1E-BC2F-7A61B46B23BF/WindowsXP-KB824146-x86-ENU.exe
    System Windows XP, 64-bitowa wersja 2002
    http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe
    Należy zauważyć, że poprawka zabezpieczeń 824146 zastępuje poprawkę zabezpieczeń 823980. Firma Microsoft zaleca zainstalowanie poprawki zabezpieczeń 824146, w której uwzględniono również poprawki związane z problemami omówionymi w biuletynie Microsoft Security Bulletin MS03-026 (823980). Aby uzyskać więcej informacji dotyczących poprawki zabezpieczeń 824146, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    824146 MS03-039: Przepełnienie buforu w usłudze RPCSS może pozwolić atakującemu na uruchamianie szkodliwych programów
    Aby uzyskać więcej informacji dotyczących poprawki zabezpieczeń 823980, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    823980 MS03-026: Przekroczenie buforu w interfejsie RPC może umożliwiać uruchomienie kodu źródłowego
  3. Zainstaluj lub zaktualizuj sygnatury wirusów, wykorzystywane przez oprogramowanie antywirusowe, a następnie wykonaj pełne skanowanie systemu.
  4. Pobierz, a następnie uruchom narzędzie służące do usuwania skutków infekcji związanej z tym robakiem, uzyskane od dostawcy oprogramowania antywirusowego.

Odzyskiwanie systemów Windows 2000 i Windows NT 4.0

Zapora połączenia internetowego jest niedostępna w systemach Windows 2000 i Windows NT 4.0. Jeśli program Microsoft Internet Security and Acceleration (ISA) Server 2000 lub zapora oferowana przez innego producenta jest niedostępna i nie może być wykorzystana do zablokowania portów 135, 139, 445 i 593 protokołu TCP, portów 69 (TFTP), 135, 137 i 138 protokołu UDP oraz portu 4444 protokołu TCP związanego ze zdalną powłoką poleceń, wykonaj poniższe kroki ułatwiające zablokowanie odpowiednich portów dla połączeń LAN. Zwróć uwagę, że filtrowanie TCP/IP jest niedostępne dla połączeń telefonicznych. Jeśli do łączenia z Internetem jest używane połączenie telefoniczne, należy włączyć zaporę.
  1. Skonfiguruj zabezpieczenia protokołu TCP/IP. W tym celu zastosuj metodę odpowiednią dla używanego systemu operacyjnego.

    System Windows 2000
    1. W Panelu sterowania kliknij dwukrotnie ikonę Połączenia sieciowe i telefoniczne.
    2. Kliknij prawym przyciskiem myszy interfejs, którego chcesz użyć do uzyskania dostępu do Internetu, a następnie kliknij polecenie Właściwości.
    3. W polu Zaznaczone składniki są wykorzystywane przez to połączenie kliknij pozycję Protokół internetowy (TCP/IP), a następnie kliknij przycisk Właściwości.
    4. W oknie dialogowym Właściwości: Protokół internetowy (TCP/IP) kliknij przycisk Zaawansowane.
    5. Kliknij kartę Opcje.
    6. Kliknij pozycję Filtrowanie TCP/IP, a następnie kliknij przycisk Właściwości.
    7. Kliknij pole wyboru Włącz filtrowanie TCP/IP (wszystkie karty), aby je zaznaczyć.
    8. Okno dialogowe zawiera trzy kolumny z następującymi etykietami:
      • Porty TCP
      • Porty UDP
      • Protokoły IP
      W każdej kolumnie kliknij opcję Pozwalaj tylko.
    9. Kliknij przycisk OK.

      Uwagi
      • Jeżeli komputer jest wielokrotnie wyłączany lub ponownie uruchamiany podczas próby postępowania zgodnie z tymi krokami, rozłącz połączenie z Internetem przed włączeniem zapory. W przypadku szerokopasmowego połączenia z Internetem zlokalizuj kabel podłączony do linii DSL lub zewnętrznego modemu kablowego, a następnie odłącz ten kabel od modemu lub gniazda telefonicznego. W przypadku korzystania z połączenia telefonicznego zlokalizuj kabel telefoniczny podłączony do modemu znajdującego się wewnątrz komputera i do gniazda telefonicznego, a następnie odłącz ten kabel od gniazda telefonicznego lub komputera.
      • Jeżeli kilka komputerów korzysta z połączenia internetowego, użyj zapory tylko na komputerze, który jest bezpośrednio podłączony do Internetu. Nie używaj zapory na innych komputerach współużytkujących połączenie internetowe.
      • Korzystanie z zapory nie powinno wpływać na usługę poczty e-mail ani przeglądanie sieci Web, jednak zapora może wyłączyć niektóre składniki oprogramowania internetowego, usługi lub funkcje. W takim przypadku konieczne może być otwarcie niektórych portów na zaporze, aby umożliwić korzystanie z niektórych funkcji internetowych. Przeczytaj dokumentację dołączoną do wyłączonej usługi internetowej, aby ustalić, które porty należy otworzyć. Przeczytaj dokumentację dołączoną do zapory, aby ustalić, jak otworzyć te porty.
      • Te kroki są oparte na zmodyfikowanym fragmencie artykułu 309798 bazy wiedzy Microsoft Knowledge Base. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        309798 How to configure TCP/IP filtering in Windows 2000
    System Windows NT 4.0
    1. W Panelu sterowania kliknij dwukrotnie ikonę Sieć.
    2. Kliknij kartę Protokół, kliknij pozycję Protokół TCP/IP, a następnie kliknij przycisk Właściwości.
    3. Kliknij kartę Adres IP, a następnie kliknij przycisk Zaawansowane.
    4. Kliknij pole wyboru Włącz zabezpieczenia, aby je zaznaczyć, a następnie kliknij przycisk Konfiguruj.
    5. W kolumnach Porty TCP, Porty UDP i Protokoły IP kliknij ustawienie Pozwalaj tylko, aby je zaznaczyć.
    6. Kliknij przycisk OK, a następnie zamknij narzędzie Sieć.
  2. Pobierz, a następnie zainstaluj poprawkę zabezpieczeń 824146 na wszystkich komputerach w celu usunięcia luki w zabezpieczeniach opisanej w biuletynach Microsoft Security Bulletin MS03-026 i MS03-039. Aby pobrać poprawkę zabezpieczeń 824146, kliknij łącze odpowiednie dla danego systemu operacyjnego:
    System Windows NT Workstation 4.0
    http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE
    System Windows NT Server 4.0
    http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE
    System Windows NT Server 4.0, Terminal Server Edition
    http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE
    System Windows 2000
    http://download.microsoft.com/download/0/A/6/0A634E35-F29A-4F26-B006-D315E898EDEF/Windows2000-KB824146-x86-ENU.exe
    Należy zauważyć, że poprawka zabezpieczeń 824146 zastępuje poprawkę zabezpieczeń 823980. Firma Microsoft zaleca zainstalowanie poprawki zabezpieczeń 824146, w której uwzględniono również poprawki związane z problemami omówionymi w biuletynie Microsoft Security Bulletin MS03-026 (823980). Aby uzyskać więcej informacji dotyczących poprawki zabezpieczeń 824146, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    824146 MS03-039: Przepełnienie buforu w usłudze RPCSS może pozwolić atakującemu na uruchamianie szkodliwych programów
    Aby uzyskać więcej informacji dotyczących poprawki zabezpieczeń 823980 i wymagań wstępnych (takich jak dodatek Service Pack dla danej wersji systemu Windows), kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    823980 MS03-026: Przekroczenie buforu w interfejsie RPC może umożliwiać uruchomienie kodu źródłowego
  3. Zainstaluj lub zaktualizuj sygnatury wirusów, wykorzystywane przez oprogramowanie antywirusowe, a następnie wykonaj pełne skanowanie systemu.
  4. Pobierz, a następnie uruchom narzędzie służące do usuwania skutków infekcji związanej z tym robakiem, uzyskane od dostawcy oprogramowania antywirusowego.
Aby uzyskać dodatkowe szczegółowe informacje techniczne, dotyczące wirusa Blaster, od dostawców oprogramowania antywirusowego uczestniczących w programie Microsoft Virus Information Alliance (VIA), odwiedź dowolne z następujących witryn w sieci Web: Uwaga: Jeśli nie jest konieczne używanie filtrowania TCP, celowe może być wyłączenie filtrowania TCP po zastosowaniu poprawki opisanej w tym artykule i upewnieniu się, że wirus został pomyślnie usunięty.

Aby uzyskać dodatkowe szczegółowe informacje techniczne dotyczące znanych odmian wirusa Blaster, odwiedź następujące witryny firmy Symantec w sieci Web: Aby uzyskać dodatkowe informacje o programie Microsoft Virus Information Alliance, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/alerts/info/via.mspx
Aby uzyskać dodatkowe informacje dotyczące sposobów odzyskiwania systemów zainfekowanych tym wirusem, skontaktuj się z dostawcą oprogramowania antywirusowego.

Firma Microsoft podaje informacje o sposobach kontaktu z innymi firmami, aby ułatwić uzyskiwanie niezbędnej pomocy technicznej. Informacje tego typu mogą ulec zmianie bez powiadomienia. Firma Microsoft nie gwarantuje, że informacje dotyczące innych firm są precyzyjne.

Materiały referencyjne

Aby uzyskać najnowsze informacje publikowane przez firmę Microsoft, dotyczące tego wirusa, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/security/incident/blast.mspx
Pytania dotyczące tego alertu należy kierować do lokalnego przedstawiciela firmy Microsoft lub zgłaszać telefonicznie, korzystając z numeru 1-866-727-2338 (1-866-PCSafety) w Stanach Zjednoczonych. Poza obszarem Stanów Zjednoczonych należy skontaktować się z lokalnym biurem firmy Microsoft. Aby uzyskać Pomoc techniczną w zakresie problemów związanych z wirusami, odwiedź następującą witrynę antywirusowej grupy dyskusyjnej firmy Microsoft w sieci Web:
news://msnews.microsoft.com/microsoft.public.security.virus
Aby uzyskać dodatkowe informacje dotyczące zabezpieczeń produktów firmy Microsoft, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/poland/security/default.mspx
Aby uzyskać dodatkowe informacje dotyczące zabezpieczeń oraz biuletynów Microsoft Security Bulletin MS03-026 i MS03-039, odwiedź następujące witryny firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx

Właściwości

Numer ID artykułu: 826955 - Ostatnia weryfikacja: 31 stycznia 2007 - Weryfikacja: 13.4
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server, Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
Słowa kluczowe: 
kbacwsurvey kbdownload kbvirus kbsecantivirus kberrmsg KB826955

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com