Alerta de vírus sobre o 'worm' Blaster e respectivas variantes

A 11 de Agosto de 2003, a Microsoft começou a investigar um vírus do tipo worm, comunicado pelo suporte técnico da Microsoft, e a equipa de segurança do suporte técnico da Microsoft emitiu um alerta para informar os clientes relativamente ao novo worm. Um worm é um tipo de vírus informático que normalmente se propaga sem intervenção do utilizador e que distribui cópias completas (possivelmente modificadas) do próprio vírus pelas redes (por exemplo, a Internet). Habitualmente conhecido como "Blaster", este novo vírus do tipo worm explora a vulnerabilidade abordada pelo boletim de segurança MS03-026 (823980) da Microsoft para se propagar pelas redes utilizando portas de chamada de procedimento remoto (RPC, Remote Procedure Call) abertas em computadores com qualquer um dos produtos enumerados no início deste artigo.

Este artigo contém informações para administradores de rede e informáticos profissionais sobre como evitar e recuperar de uma infecção do worm Blaster e das respectivas variantes. Este worm e as suas variantes também são conhecidos como W32.Blaster.Worm, W32.Blaster.C.Worm, W32.Blaster.B.Worm, W32.Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro) e Win32.Posa.Worm (Computer Associates). Para obter informações adicionais sobre como recuperar de um ataque deste worm, contacte o seu fornecedor de software antivírus. Para obter informações adicionais sobre fornecedores de software antivírus, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base): Se é um utilizador doméstico, visite o seguinte Web site da Microsoft para obter os passos para o ajudar a proteger o computador e para recuperar se o computador tiver sido infectado pelo worm Blaster: Para obter informações adicionais sobre um worm semelhante ao Blaster que explora as vulnerabilidades abordadas pelos boletins de segurança MS03-026 (823980) e MS03-007 (815021) da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

Notas

• O seu computador não é vulnerável ao worm Blaster se tiver instalado o patch de segurança 823980 (MS03-026) antes de 11 de Agosto de 2003 (data em que este worm foi identificado). Não é necessário executar mais nenhuma acção se tiver instalado o patch de segurança 823980 (MS03-026) antes de 11 de Agosto de 2003.
• A Microsoft testou o Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP e Windows Server 2003 para avaliar se são afectados pelas vulnerabilidades identificadas no boletim de segurança MS03-026 (823980) da Microsoft. O Microsoft Windows Millennium Edition não inclui as funcionalidades associadas a estas vulnerabilidades. As versões mais antigas do Windows já não são suportadas e poderão ser afectadas por estas vulnerabilidades. Para obter informações adicionais sobre o ciclo de vida do suporte Microsoft, visite o seguinte Web site da Microsoft:
  http://support.microsoft.com/default.aspx?scid=fh;pt;lifecycle (http://support.microsoft.com/default.aspx?scid=fh;pt;lifecycle)
  As funcionalidades associadas a estas vulnerabilidades também não estão incluídas no Windows 95, Windows 98 nem no Windows 98 Segunda Edição, mesmo que esteja instalado o DCOM. Não é necessário executar mais nenhuma acção se estiver a utilizar qualquer uma destas versões do Windows.
• O seu computador não é vulnerável ao worm Blaster se tiver instalado o Windows XP Service Pack 2 ou o conjunto de actualizações 1 para o Windows 2000 Service Pack 4. A actualização de segurança 824146 está incluída nestes Service Packs. Não é necessário executar outras acções se tiver instalado estes Service Packs. Para obter mais informações, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
  322389  (http://support.microsoft.com/kb/322389/ ) Como obter o Service Pack mais recente do Windows XP
  891861  (http://support.microsoft.com/kb/891861/ ) Conjunto de actualizações 1 para o Windows 2000 SP4 e problemas conhecidos

Sintomas de infecção

Se o computador estiver infectado com este worm, poderá não detectar qualquer sintoma ou poderá detectar os seguintes:

• Poderá receber as seguintes mensagens de erro:
  O serviço 'Chamada de procedimento remoto' (RPC) terminou inesperadamente.
  O sistema está a encerrar. Guarde todo o trabalho em progresso e termine a sessão.
  Todas as alterações não guardadas serão perdidas.
  Este encerramento foi iniciado por NT AUTHORITY\SYSTEM.
• O computador poderá ser encerrado ou poderá ser reiniciado repetidamente, a intervalos aleatórios.
• Num computador baseado no Windows XP ou no Windows Server 2003, poderá ser apresentada uma caixa de diálogo que lhe permite optar por enviar um relatório do problema para a Microsoft.
• Se estiver a utilizar o Windows 2000 ou o Windows NT, poderá receber uma mensagem de erro Stop.
• A pasta \Windows\System32 poderá conter um ficheiro Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll.
• Poderá encontrar ficheiros TFTP* não habituais no computador.

Detalhes técnicos

Para obter detalhes técnicos sobre as alterações que este worm faz ao computador, contacte o seu fornecedor de software antivírus.

Para detectar este vírus, procure um ficheiro denominado Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll na pasta Windows\System32 ou transfira o software de assinatura antivírus mais recente a partir do fornecedor de antivírus e, em seguida, efectue uma pesquisa.

Para procurar estes ficheiros:

1. Clique em Iniciar (Start), clique em Executar (Run), escreva cmd na caixa Abrir (Open) e clique em OK.
2. Na linha de comandos, escreva dir %systemroot%\system32\nome_do_ficheiro.ext /a /s e prima ENTER, em que nome_do_ficheiro.ext é Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll.
   
   Nota: repita o passo 2 para cada um destes nomes de ficheiro: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll e Yuetyutr.dll. Se localizar um destes ficheiros, o computador poderá estar infectado com o worm. Se localizar um destes ficheiros, elimine o ficheiro e, depois, siga os passos da secção "Recuperação" deste artigo. Para eliminar o ficheiro, escreva del %systemroot%\system32\nome_do_ficheiro.ext /a na linha de comandos e, em seguida, prima ENTER.

Prevenção

Para prevenir a infecção do computador com este vírus, siga estes passos:

1. Active a funcionalidade Firewall de ligação à Internet (ICF, Internet Connection Firewall) no Windows XP, Windows Server 2003, Standard Edition, e no Windows Server 2003, Enterprise Edition; ou utilize o Firewall básico (Basic Firewall), Microsoft Internet Security and Acceleration (ISA) Server 2000 ou um firewall de outros fabricantes para bloquear as portas TCP 135, 139, 445 e 593; as portas UDP 69 (TFTP), 135, 137 e 138; e a porta TCP 4444 para a shell de comandos remota.
   
   Para activar o ICF no Windows XP ou no Windows Server 2003, siga estes passos:
   1. Clique em Iniciar (Start) e clique em Painel de controlo (Control Panel).
   2. No Painel de controlo (Control Panel), faça duplo clique em Ligações de rede e de Internet (Networking and Internet Connections) e, em seguida, clique em Ligações de rede (Network Connections).
   3. Clique com o botão direito do rato na ligação em que pretende activar o Firewall de ligação à Internet (Internet Connection Firewall) e, em seguida, clique em Propriedades (Properties).
   4. Clique no separador Avançadas (Advanced) e clique para seleccionar a caixa de verificação Proteger o meu computador e a rede limitando ou impedindo o acesso a este computador a partir da Internet (Protect my computer or network by limiting or preventing access to this computer from the Internet).
   Nota: algumas ligações de acesso telefónico podem não aparecer na pasta Ligações de rede (Network Connection). Por exemplo, as ligações de acesso telefónico AOL e MSN podem não aparecer. Em alguns casos, pode utilizar os seguintes passos para activar o ICF para uma ligação que não apareça na pasta Ligações de rede (Network Connection). Se estes passos não funcionarem, contacte o fornecedor de serviços Internet (ISP, Internet Service Provider) para obter informações sobre como proteger a ligação à Internet com um firewall.
   1. Inicie o Internet Explorer.
   2. No menu Ferramentas (Tools), clique em Opções da Internet (Internet Options).
   3. Clique no separador Ligações (Connections), clique na ligação de acesso telefónico utilizada para ligar à Internet e clique em Definições (Settings).
   4. Na área Definições de acesso telefónico (Dial-up settings), clique em Propriedades (Properties).
   5. Clique no separador Avançadas (Advanced) e clique para seleccionar a caixa de verificação Proteger o meu computador e a rede limitando ou impedindo o acesso a este computador a partir da Internet (Protect my computer or network by limiting or preventing access to this computer from the Internet).
   Para obter mais informações sobre como activar o Firewall de ligação à Internet (Internet Connection Firewall) no Windows XP ou no Windows Server 2003, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
   283673  (http://support.microsoft.com/kb/283673/ ) COMO: Activar ou desactivar a funcionalidade 'Firewall de ligação à Internet' do Windows XP
   Nota: o ICF só está disponível no Windows XP, Windows Server 2003, Standard Edition, e Windows Server 2003, Enterprise Edition. O Firewall básico (Basic Firewall) é um componente do Encaminhamento e acesso remoto (Routing and Remote Access) que pode activar para qualquer interface pública num computador com o encaminhamento e acesso remoto e com um membro da família Windows Server 2003.
2. Este worm utiliza uma vulnerabilidade anteriormente divulgada como parte do respectivo método de infecção. Devido a este facto, certifique-se de que instalou os patches de segurança 823980 em todos os computadores para corrigir a vulnerabilidade identificada nos boletins de segurança da Microsoft MS03-026. O patch de segurança 824146 substitui o patch de segurança 823980. A Microsoft recomenda a instalação do patch de segurança 824146 que também inclui as correcções para os problemas indicados no boletim de segurança MS03-026 (823980) da Microsoft Para obter mais informações sobre o patch de segurança 824146, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
   824146  (http://support.microsoft.com/kb/824146/ ) MS03-039: Uma sobrecarga da memória intermédia no RPCSS pode permitir que um atacante execute programas maliciosos
   Para obter mais informações sobre o patch de segurança 823980 e eventuais pré-requisitos (como um Service Pack para a sua versão do Windows), clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
   823980  (http://support.microsoft.com/kb/823980/ ) MS03-026: Uma sobrecarga da memória intermédia na RPC pode permitir a execução de código
   Para transferir o patch de segurança 824146, clique na hiperligação adequada ao sistema operativo em causa:
   • Windows NT Workstation 4.0
     http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE)
   • Windows NT Server 4.0
     http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE)
   • Windows NT Server 4.0, Terminal Server Edition
     http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE)
   • Windows 2000
     http://download.microsoft.com/download/a/c/8/ac8df479-4a8a-4051-8deb-bebb2c569e89/Windows2000-KB824146-x86-PTG.exe (http://download.microsoft.com/download/a/c/8/ac8df479-4a8a-4051-8deb-bebb2c569e89/Windows2000-KB824146-x86-PTG.exe)
   • Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition e Windows XP Media Center Edition
     http://download.microsoft.com/download/f/9/1/f91421fd-75b9-4eeb-8e3d-269a63acd2dd/WindowsXP-KB824146-x86-PTG.exe (http://download.microsoft.com/download/f/9/1/f91421fd-75b9-4eeb-8e3d-269a63acd2dd/WindowsXP-KB824146-x86-PTG.exe)
   • Windows XP 64-Bit Versão 2002
     http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe (http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe)
   • Windows Server 2003 (32 bits)
     http://download.microsoft.com/download/0/2/2/022ced9e-ce41-4ced-8850-c1e12d2f9c48/WindowsServer2003-KB824146-x86-PTG.exe (http://download.microsoft.com/download/0/2/2/022ced9e-ce41-4ced-8850-c1e12d2f9c48/WindowsServer2003-KB824146-x86-PTG.exe)
   • Windows Server 2003 (64 bits) e Windows XP 64-Bit Versão 2003
     http://download.microsoft.com/download/0/B/2/0B2C9630-2E93-4074-94CC-E418B93646DC/WindowsServer2003-KB824146-ia64-ENU.exe (http://download.microsoft.com/download/0/B/2/0B2C9630-2E93-4074-94CC-E418B93646DC/WindowsServer2003-KB824146-ia64-ENU.exe)
3. Utilize a assinatura de detecção de vírus mais recente do seu fornecedor de antivírus para detectar novos vírus e respectivas variantes.

Recuperação

Os procedimentos recomendados de segurança sugerem que efectue uma instalação "de raiz" completa num computador anteriormente comprometido, para remover qualquer meio de exploração não descoberto que possa vir a colocar o computador em risco. Para obter informações adicionais, visite o seguinte Web site da Cert Advisory: No entanto, muitas empresas de antivírus conceberam ferramentas para remover o meio de exploração conhecido associado a este worm específico. Para transferir a ferramenta de remoção do seu fornecedor de antivírus, utilize os seguintes procedimentos, de acordo com o sistema operativo.

Recuperação para Windows XP, Windows Server 2003, Standard Edition, e Windows Server 2003, Enterprise Edition

1. Active o ICF no Windows XP, Windows Server 2003, Standard Edition, e Windows Server 2003, Enterprise Edition; ou utilize o Firewall básico (Basic Firewall), Microsoft Internet Security and Acceleration (ISA) Server 2000 ou um firewall de outros fabricantes.
   
   Para activar o ICF, siga este passos:
   1. Clique em Iniciar (Start) e clique em Painel de controlo (Control Panel).
   2. No Painel de controlo (Control Panel), faça duplo clique em Ligações de rede e de Internet (Networking and Internet Connections) e, em seguida, clique em Ligações de rede (Network Connections).
   3. Clique com o botão direito do rato na ligação em que pretende activar o Firewall de ligação à Internet (Internet Connection Firewall) e, em seguida, clique em Propriedades (Properties).
   4. Clique no separador Avançadas (Advanced) e clique para seleccionar a caixa de verificação Proteger o meu computador e a rede limitando ou impedindo o acesso a este computador a partir da Internet (Protect my computer or network by limiting or preventing access to this computer from the Internet).
   Notas
   • Se o computador for encerrado ou reiniciado repetidamente quando tentar seguir estes passos, desligue a ligação à Internet antes de activar o firewall. Se ligar à Internet através de uma ligação de banda larga, localize o cabo que vai do modem DSL externo ou do modem de cabo externo à tomada telefónica e desligue-o do modem ou da tomada telefónica. Se utilizar uma ligação de acesso telefónico, localize o cabo do telefone que vai do modem interno à tomada telefónica e, em seguida, desligue esse cabo da tomada telefónica ou do computador. Se não for possível desligar a ligação à Internet, utilize o seguinte comando para configurar o RPCSS para não reiniciar o computador aquando da falha do serviço :
     sc failure rpcss reset= 0 actions= restart
     Para repor a definição de recuperação predefinida do RPCSS após a conclusão destes passos, escreva o seguinte na linha de comandos:
     sc failure rpcss reset= 0 actions= reboot/60000
   • Se tiver mais de um computador a partilhar uma ligação à Internet, utilize um firewall apenas no computador que está ligado directamente à Internet. Não utilize um firewall nos outros computadores que partilham a ligação à Internet. Se estiver a utilizar o Windows XP, utilize o Assistente de configuração de rede (Network Setup Wizard) para activar o ICF.
   • A utilização de um firewall não deverá afectar o seu serviço de correio electrónico nem a navegação na Web, mas um firewall pode desactivar algum software, serviços ou funcionalidades de Internet. Se ocorrer este comportamento, poderá ter de abrir algumas portas no firewall para que algumas funcionalidades da Internet funcionem. Consulte a documentação do serviço Internet que não funciona para determinar as portas que é necessário abrir. Consulte a documentação do firewall para determinar como abrir estas portas. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
     308127  (http://support.microsoft.com/kb/308127/ ) Como abrir manualmente portas no 'Firewall de ligação à Internet' no Windows XP
   • Em alguns casos, pode utilizar os seguintes passos para activar o ICF para uma ligação que não apareça na pasta Ligações de rede (Network Connections). Se estes passos não funcionarem, contacte o fornecedor de serviços Internet (ISP, Internet Service Provider) para obter informações sobre como proteger a ligação à Internet com um firewall.
     1. Inicie o Internet Explorer.
     2. No menu Ferramentas (Tools), clique em Opções da Internet (Internet Options).
     3. Clique no separador Ligações (Connections), clique na ligação de acesso telefónico utilizada para ligar à Internet e clique em Definições (Settings).
     4. Na área Definições de acesso telefónico (Dial-up settings), clique em Propriedades (Properties).
     5. Clique no separador Avançadas (Advanced) e clique para seleccionar a caixa de verificação Proteger o meu computador e a rede limitando ou impedindo o acesso a este computador a partir da Internet (Protect my computer or network by limiting or preventing access to this computer from the Internet).
   Para obter mais informações sobre como activar o Firewall de ligação à Internet (Internet Connection Firewall) no Windows XP ou no Windows Server 2003, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
   283673  (http://support.microsoft.com/kb/283673/ ) COMO: Activar ou desactivar a funcionalidade 'Firewall de ligação à Internet' do Windows XP
   Nota: o ICF só está disponível no Windows XP, Windows Server 2003, Standard Edition, e Windows Server 2003, Enterprise Edition. O Firewall básico (Basic Firewall) é um componente do Encaminhamento e acesso remoto (Routing and Remote Access) que pode activar para qualquer interface pública num computador com encaminhamento e acesso remoto e com um membro da família Windows Server 2003.
2. Transfira o patch de segurança 824146 e, em seguida, instale-o em todos os computadores, para corrigir a vulnerabilidade identificada no boletim de segurança MS03-026 da Microsoft. Para transferir o patch de segurança 824146, clique na hiperligação adequada:
   
   Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition e Windows XP Media Center Edition
   http://download.microsoft.com/download/f/9/1/f91421fd-75b9-4eeb-8e3d-269a63acd2dd/WindowsXP-KB824146-x86-PTG.exe (http://download.microsoft.com/download/f/9/1/f91421fd-75b9-4eeb-8e3d-269a63acd2dd/WindowsXP-KB824146-x86-PTG.exe)
   Windows XP 64-Bit Versão 2002
   http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe (http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe)
   O patch de segurança 824146 substitui o patch de segurança 823980. A Microsoft recomenda a instalação do patch de segurança 824146, que também inclui correcções para os problemas indicados no boletim de segurança MS03-026 (823980) da Microsoft. Para obter mais informações sobre o patch de segurança 824146, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
   824146  (http://support.microsoft.com/kb/824146/ ) MS03-039: Uma sobrecarga da memória intermédia no RPCSS pode permitir que um atacante execute programas maliciosos
   Para obter mais informações sobre o patch de segurança 823980, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
   823980  (http://support.microsoft.com/kb/823980/ ) MS03-026: Uma sobrecarga da memória intermédia na RPC pode permitir a execução de código
3. Instale ou actualize o software de assinatura antivírus e, em seguida, execute uma verificação completa do sistema.
4. Transfira e execute a ferramenta de remoção do worm, do seu fornecedor de antivírus.

Recuperação para Windows 2000 e Windows NT 4.0

A funcionalidade Firewall de ligação à Internet (Internet Connection Firewall) não está disponível no Windows 2000 nem no Windows NT 4.0. Se não tiver disponível o Microsoft Internet Security and Acceleration (ISA) Server 2000 ou um firewall de outros fabricantes para bloquear as portas TCP 135, 139, 445 e 593; as portas UDP 69 (TFTP), 135, 137 e 138; e a porta TCP 4444, siga estes passos para ajudar a bloquear as portas afectadas para as ligações de rede local. A filtragem TCP/IP não está disponível para ligações de acesso telefónico. Se está a utilizar uma ligação de acesso telefónico para ligar à Internet, deverá activar um firewall.

1. Configure a segurança TCP/IP. Para tal, utilize o procedimento para o sistema operativo em questão.
   
   Windows 2000
   1. No Painel de controlo (Control Panel), faça duplo clique em Ligações de acesso telefónico e de rede (Network and Dial-up Connections).
   2. Clique com o botão direito do rato na interface que pretende utilizar para acesso à Internet e clique em Propriedades (Properties).
   3. Na caixa Os componentes assinalados são utilizados por esta ligação (Components checked are used by this connection), clique em TCP/IP (Protocolo Internet) [Internet Protocol (TCP/IP)] e, em seguida, clique em Propriedades (Properties).
   4. Na caixa de diálogo Propriedades de TCP/IP (Protocolo Internet) [Internet Protocol (TCP/IP) Properties], clique em Avançadas (Advanced).
   5. Clique no separador Opções (Options).
   6. Clique em Filtragem TCP/IP (TCP/IP filtering) e, em seguida, clique em Propriedades (Properties).
   7. Clique para seleccionar a caixa de verificação Activar filtragem TCP/IP (todas as placas) [Enable TCP/IP Filtering (All adapters)].
   8. Existem três colunas com os seguintes rótulos:
      • Portas TCP (TCP Ports)
      • Portas UDP (UDP Ports)
      • Protocolos IP (IP Protocols)
      Em cada coluna, clique na opção Permitir só (Permit Only).
   9. Clique em OK.
      
      Notas
      • Se o computador for encerrado ou reiniciado repetidamente quando tentar seguir estes passos, desligue a ligação à Internet antes de activar o firewall. Se ligar à Internet através de uma ligação de banda larga, localize o cabo que vai do modem DSL externo ou do modem de cabo externo à tomada telefónica e desligue-o do modem ou da tomada telefónica. Se utilizar uma ligação de acesso telefónico, localize o cabo do telefone que vai do modem interno à tomada telefónica e, em seguida, desligue esse cabo da tomada telefónica ou do computador.
      • Se tiver mais de um computador a partilhar uma ligação à Internet, utilize um firewall apenas no computador que está ligado directamente à Internet. Não utilize um firewall nos outros computadores que partilham a ligação à Internet.
      • A utilização de um firewall não deverá afectar o seu serviço de correio electrónico nem a navegação na Web, mas um firewall pode desactivar algum software, serviços ou funcionalidades de Internet. Se ocorrer este comportamento, poderá ter de abrir algumas portas no firewall para que algumas funcionalidades da Internet funcionem. Consulte a documentação do serviço Internet que não funciona para determinar as portas que é necessário abrir. Consulte a documentação do firewall para determinar como abrir estas portas.
      • Estes passos são baseados num excerto modificado do artigo 309798 da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base). Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
        309798  (http://support.microsoft.com/kb/309798/ ) COMO: Configurar a filtragem TCP/IP no Windows 2000
   Windows NT 4.0
   1. No Control Panel, faça duplo clique em Network.
   2. Clique no separador Protocol, clique em TCP/IP Protocol e, em seguida, clique em Properties.
   3. Clique no separador IP Address e, em seguida, clique em Advanced.
   4. Clique para seleccionar a caixa de verificação Enable Security e, em seguida, clique em Configure.
   5. Nas colunas TCP Ports, UDP Ports e IP Protocols, clique para seleccionar a definição Permit only.
   6. Clique em OK e, em seguida, feche a ferramenta Network.
2. Transfira o patch de segurança 824146 e, em seguida, instale-o em todos os computadores, para corrigir a vulnerabilidade identificada no boletim de segurança MS03-026 da Microsoft. Para transferir o patch de segurança 824146, clique na hiperligação adequada:
   Windows NT Workstation 4.0

   http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE)
   Windows NT Server 4.0
   http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE)
   Windows NT Server 4.0, Terminal Server Edition
   http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE)
   Windows 2000
   http://download.microsoft.com/download/a/c/8/ac8df479-4a8a-4051-8deb-bebb2c569e89/Windows2000-KB824146-x86-PTG.exe (http://download.microsoft.com/download/a/c/8/ac8df479-4a8a-4051-8deb-bebb2c569e89/Windows2000-KB824146-x86-PTG.exe)
   O patch de segurança 824146 substitui o patch de segurança 823980. A Microsoft recomenda a instalação do patch de segurança 824146, que também inclui correcções para os problemas indicados no boletim de segurança MS03-026 (823980) da Microsoft. Para obter mais informações sobre o patch de segurança 824146, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
   824146  (http://support.microsoft.com/kb/824146/ ) MS03-039: Uma sobrecarga da memória intermédia no RPCSS pode permitir que um atacante execute programas maliciosos
   Para obter mais informações sobre o patch de segurança 823980 e eventuais pré-requisitos (como um Service Pack para a sua versão do Windows), clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
   823980  (http://support.microsoft.com/kb/823980/ ) MS03-026: Uma sobrecarga da memória intermédia na RPC pode permitir a execução de código
3. Instale ou actualize o software de assinatura antivírus e, em seguida, execute uma verificação completa do sistema.
4. Transfira e execute a ferramenta de remoção do worm, do seu fornecedor de antivírus.

Para obter detalhes técnicos adicionais sobre o worm Blaster junto dos fornecedores de software antivírus que participam na Microsoft Virus Information Alliance (VIA), visite os seguintes Web sites de outros fabricantes:

• Network Associates
  http://us.mcafee.com/virusinfo/default.asp?id=description&virus_k=100547 (http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547)
• Trend Micro
  http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=worm_msblast.a (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A)
• Symantec
  http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html (http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html)
• Computer Associates
  http://www3.ca.com/virusinfo/virus.aspx?id=36265 (http://www3.ca.com/virusinfo/virus.aspx?ID=36265)

Nota: se não for necessário utilizar a filtragem TCP, poderá pretender desactivá-la depois de aplicar a correcção descrita neste artigo e de verificar a remoção do vírus com êxito.

Para obter detalhes técnicos adicionais sobre variantes conhecidas do worm Blaster, visite os seguintes Web sites da Symantec:

• W32.Blaster.C.Worm: Teekids.exe
  http://www.sarc.com/avcenter/venc/data/w32.blaster.c.worm.html (http://www.sarc.com/avcenter/venc/data/w32.blaster.c.worm.html)
• W32.Blaster.B.Worm: Penis32.exe
  http://www.sarc.com/avcenter/venc/data/w32.blaster.b.worm.html (http://www.sarc.com/avcenter/venc/data/w32.blaster.b.worm.html)
• W32.Randex.E : Nstask32.exe, Winlogin.exe, Win32sockdrv.dll, and Yyuetyutr.dll
  http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html (http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html)

Para obter mais informações sobre a Microsoft Virus Information Alliance, visite o seguinte Web site da Microsoft: Para obter informações adicionais sobre como recuperar de um ataque deste worm, contacte o seu fornecedor de antivírus.

A Microsoft fornece informações sobre contactos de outros fabricantes para o ajudar na obtenção de suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante o rigor das informações sobre o contacto destes fabricantes.

Para obter as informações mais actuais da Microsoft sobre este worm, visite o seguinte Web site da Microsoft: Se tiver dúvidas sobre este alerta, contacte um representante da Microsoft ou ligue 1-866-727-2338 (1-866-PCSafety), nos Estados Unidos. Fora dos Estados Unidos, contacte a subsidiária local da Microsoft. Para obter suporte para problemas relacionados com vírus, visite o seguinte Web site do newsgroup de suporte para vírus da Microsoft: Para obter informações adicionais relacionadas com a segurança de produtos Microsoft, visite o seguinte Web site da Microsoft: Para obter informações adicionais relacionadas com segurança sobre os boletins de segurança MS03-026 e MS03-039 da Microsoft, visite os seguintes Web sites da Microsoft: