Сообщение о черве W32.Blaster.Worm и его разновидностях

Переводы статьи Переводы статьи
Код статьи: 826955 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

11 августа 2003 года корпорация Майкрософт начала исследование компьютерного червя, о котором сообщила служба поддержки продуктов Майкрософт, а группа безопасности этой службы выпустила соответствующее предупреждение для пользователей. Червь представляет собой компьютерный вирус, который без участия пользователя распространяется по сетям (например, Интернету), копируя себя (иногда с небольшими изменениями). Этот червь (основное название — Blaster) использует уязвимость, описанную в бюллетене Майкрософт по безопасности MS03-026 (823980), для распространения через открытые порты удаленного вызова процедур (RPC) на компьютерах, работающих под управлением перечисленных в начале этой статьи операционных систем.

В данной статье содержатся сведения для администраторов сетей и специалистов в области информационных технологий по защите от вируса и его модификаций, а также восстановлению зараженных систем. Этот червь и его разновидности известны под именами W32.Blaster.Worm, W32.Blaster.C.Worm, W32.Blaster.B.Worm, W32.Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro) и Win32.Posa.Worm (Computer Associates). Для получения дополнительных сведений по восстановлению зараженной системы обратитесь к разработчику антивирусного программного обеспечения. Дополнительные сведения о разработчиках антивирусных программ см. в следующей статье базы знаний Майкрософт:
49500 Список производителей антивирусного программного обеспечения
Пользователям домашних компьютеров для получения инструкций по защите и восстановлению компьютера следует обращаться на веб-узел корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/security/incident/blast.mspx
Дополнительные сведения о подобном Blaster компьютерном черве, который использует уязвимые места, описанные в бюллетенях Майкрософт по безопасности MS03-026 (823980) и MS03-007 (815021), см. в следующей статье базы знаний Майкрософт:
826234 Сообщение о черве Nachi

Примечания

  • Если исправление безопасности 823980 (MS03-026) было установлено до 11 августа 2003 года (дата обнаружения червя), компьютер не подвержен опасности заражения вирусом Blaster. В этом случае предпринимать дополнительных действий не нужно.
  • Корпорация Майкрософт протестировала Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000, Windows XP и Windows Server 2003, чтобы определить наличие уязвимостей, описанных в бюллетене по безопасности MS03-026 (823980). Операционная система Windows Millennium Edition не содержит уязвимых функций. Более ранние версии Windows уже не поддерживаются, и степень их уязвимости неизвестна. Дополнительные сведения о продолжительности поддержки продуктов см. на веб-узле корпорации Майкрософт по следующему адресу:
    http://support.microsoft.com/default.aspx?scid=fh;[LN];lifecycle
    Уязвимые функции также не входят в состав Windows 95, Windows 98 и Windows 98 второго издания, даже если установлена модель DCOM. Пользователям этих операционных систем не нужно предпринимать дополнительных действий.
  • Если на компьютере установлена система Windows XP с пакетом обновления 2 (SP2) либо набор обновлений 1 для Windows 2000 с пакетом обновления 4 (SP4), компьютер не подвержен опасности заражения вирусом Blaster. Обновление безопасности 824146 включено в эти пакеты обновлений. Если на компьютере установлены эти пакеты обновлений, предпринимать дополнительных действий не нужно. Дополнительные сведения см. в следующих статьях базы знаний Майкрософт.
    322389 Как получить последний пакет обновления для Windows XP
    891861 Набор обновлений 1 для Windows 2000 с пакетом обновления 4 (SP4) и известные проблемы

Дополнительная информация

Признаки заражения вирусом

О заражении компьютера свидетельствует наличие любого из перечисленных ниже симптомов, однако в некоторых случаях признаки заражения полностью отсутствуют.
  • Появляется следующее сообщение об ошибке.
    Служба удаленного вызова процедур (RPC) неожиданно прервана.
    Система завершает работу. Сохраните данные и выйдите из системы.
    Все несохраненные изменения будут потеряны.
    Отключение системы вызвано NT AUTHORITY\SYSTEM.
  • Компьютер отключается или перезагружается через произвольные промежутки времени.
  • На компьютерах под управлением Windows XP и Windows Server 2003 появляется диалоговое окно с предложением отправить корпорации Майкрософт отчет о возникшей проблеме.
  • На компьютерах под управлением Windows 2000 и Windows NT появляется сообщение о неустранимой ошибке.
  • В папке Windows\System32 имеется файл Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll.
  • На компьютере имеются необычные файлы TFTP*.

Технические сведения

За сведениями об изменениях, которые происходят с компьютером в случае заражения, обратитесь к разработчику антивирусного программного обеспечения.

Чтобы обнаружить вирус, попробуйте найти в папке Windows\System32 файл с именем Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll или загрузите с веб-узла своего производителя антивирусного программного обеспечения последние описания вирусов и выполните сканирование компьютера.

Чтобы найти файл, выполните следующие действия.
  1. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.
  2. В командной строке введите dir %systemroot%\system32\filename.ext /a /s, где filename.ext – Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll; нажмите клавишу ВВОД.

    Примечание. Повторите действие 2 для каждого из имен Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll и Yuetyutr.dll. Если в папке имеется один из этих файлов, вероятно, компьютер заражен вирусом. Удалите найденный файл, а затем выполните действия, описанные в разделе «Восстановление» этой статьи. Чтобы удалить файл, в командной строке введите del %systemroot%\system32\filename.ext /a и нажмите клавишу ВВОД.

Меры предосторожности

Чтобы не допустить заражения компьютера этим вирусом, выполните следующие действия.
  1. На компьютере под управлением Windows XP, Windows Server 2003 Standard Edition или Windows Server 2003 Enterprise Edition включите брандмауэр подключения к Интернету (ICF) либо воспользуйтесь простым брандмауэром, сервером ISA (Internet Security and Acceleration Server 2000) или брандмауэром стороннего разработчика, чтобы закрыть TCP-порты 135, 139, 445 и 593, UDP-порты 69 (TFTP), 135, 137 и 138, а также TCP-порт 4444, который используется удаленной командной оболочкой.

    Чтобы включить брандмауэр подключения к Интернету в Windows XP или Windows Server 2003, выполните следующие действия.
    1. Нажмите кнопку Пуск и выберите пункт Панель управления.
    2. На панели управления щелкните ссылку Сеть и подключения к Интернету, а затем — Сетевые подключения.
    3. Щелкните правой кнопкой мыши нужное подключение и выберите пункт Свойства.
    4. На вкладке Дополнительно установите флажок Защитить мое подключение к Интернету.
    Примечание. Определенные подключения удаленного доступа не отображаются в папке «Сетевые подключения» (например, подключения удаленного доступа AOL и MSN). В некоторых случаях включить брандмауэр для подключения, которое не отображается в папке «Сетевые подключения», можно следующим образом. Если выполнение этих действий не приводит к получению желаемого результата, обратитесь к поставщику услуг Интернета за информацией о защите подключения брандмауэром.
    1. Запустите Internet Explorer.
    2. В меню Сервис выберите команду Свойства обозревателя.
    3. На вкладке Подключения выберите подключение удаленного доступа, которое используется для выхода в Интернет, и нажмите кнопку Настройка.
    4. В области Настройка удаленного доступа нажмите кнопку Свойства.
    5. На вкладке Дополнительно установите флажок Защитить мое подключение к Интернету.
    Дополнительные сведения о включении брандмауэра подключения к Интернету в Windows XP и Windows Server 2003 см. в следующей статье базы знаний Майкрософт:
    283673 Включение и отключение брандмауэра подключения к Интернету в Windows XP
    Примечание. Брандмауэр подключения к Интернету имеется только в операционных системах Windows XP, Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition. Простой брандмауэр входит в состав службы маршрутизации и удаленного доступа. Его можно включить для любого общего интерфейса на компьютере под управлением операционной системы из семейства Windows Server 2003, на котором запущена эта служба.
  2. При заражении этот червь использует уязвимость, о которой сообщалось ранее. Убедитесь, что для устранения уязвимости, описанной в бюллетене корпорации Майкрософт по безопасности MS03-026, на всех компьютерах установлено исправление безопасности 823980. Исправление безопасности 824146 заменяет исправление 823980. Корпорация Майкрософт рекомендует устанавливать исправление 824146, которое дополнительно позволяет устранить проблемы, описанные в бюллетене по безопасности MS03-026 (823980). Дополнительные сведения об исправлении безопасности 824146 см. в следующей статье базы знаний Майкрософт:
    824146 MS03-036: Переполнение буфера в RPCSS может допустить запуск враждебных программ
    Дополнительные сведения об исправлении безопасности 823980 и требованиях к его установке (например, наличие пакета обновления для используемой версии Windows) см. в следующей статье базы знаний Майкрософт:
    823980 MS03-026: Переполнение буфера RPC может допустить запуск кода
    Для загрузки исправления безопасности 824146 воспользуйтесь одной из приведенных ниже ссылок.
  3. Используйте для поиска вирусов и их модификаций последние версии описаний вирусов от разработчика антивирусного программного обеспечения.

Восстановление

С точки зрения безопасности наилучшим решением является удаление, а затем повторная установка операционной системы на зараженном компьютере. Дополнительные сведения см. на веб-узле группы Cert по следующему адресу:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
В то же время многие разработчики антивирусных программ выпустили средства для устранения известных последствий заражения этим червем. Чтобы загрузить средство удаления вируса с веб-узла разработчика антивирусных программ, выполните указанные ниже действия в зависимости от используемой операционной системы.

Восстановление Windows XP, Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition

  1. Включите брандмауэр подключения к Интернету (ICF) в Windows XP, Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition или воспользуйтесь простым брандмауэром, сервером ISA (Internet Security and Acceleration Server 2000) или брандмауэром стороннего разработчика.

    Чтобы включить брандмауэр подключения к Интернету, выполните следующие действия.
    1. Нажмите кнопку Пуск и выберите пункт Панель управления.
    2. На панели управления щелкните ссылку Сеть и подключения к Интернету, а затем — Сетевые подключения.
    3. Щелкните правой кнопкой мыши нужное подключение и выберите пункт Свойства.
    4. На вкладке Дополнительно установите флажок Защитить мое подключение к Интернету.
    Примечания
    • Если компьютер постоянно выключается или перезапускается при попытке выполнить эти действия, отключитесь от Интернета. Если для подключения к Интернету используется широкополосное соединение, найдите кабель, подключенный к внешнему высокоскоростному модему или модему DSL, и отключите его от модема или телефонного разъема. В случае использования подключения удаленного доступа найдите кабель, соединяющий модем внутри компьютера с телефонным разъемом, и отключите этот кабель от телефонного разъема или от компьютера. Если отключиться от Интернета по каким-либо причинам не удается, введите следующую команду, чтобы служба RPCSS не перезапускалась при сбое:
      sc failure rpcss reset= 0 actions= restart
      Чтобы вернуть стандартные параметры службы RPCSS после выполнения описанных действий, введите следующую команду:
      sc failure rpcss reset= 0 actions= reboot/60000
    • Если общее подключение к Интернету используют несколько компьютеров, включите брандмауэр только на том компьютере, который подключен к Интернету напрямую. Не включайте брандмауэр на остальных компьютерах, использующих общее подключение к Интернету. В Windows XP для включения брандмауэра подключения к Интернету используйте мастер настройки сети.
    • Брандмауэр не влияет на работу программы электронной почты или веб-обозревателя, но отключает некоторые интернет-программы, службы и функции. Для восстановления утраченной функциональности необходимо открыть в брандмауэре соответствующие порты. Чтобы определить эти порты, читайте документацию к соответствующей интернет-службе. Инструкции по открытию портов в брандмауэре см. в документации к брандмауэру. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
      308127 Как вручную открыть порты в брандмауэре подключения к Интернету для Windows XP
    • В некоторых случаях включить брандмауэр для подключения, которое не отображается в папке «Сетевые подключения», можно следующим образом. Если выполнение этих действий не приводит к получению желаемого результата, обратитесь к поставщику услуг Интернета за информацией о защите подключения брандмауэром.
      1. Запустите Internet Explorer.
      2. В меню Сервис выберите команду Свойства обозревателя.
      3. На вкладке Подключения выберите подключение удаленного доступа, которое используется для выхода в Интернет, и нажмите кнопку Настройка.
      4. В области Настройка удаленного доступа нажмите кнопку Свойства.
      5. На вкладке Дополнительно установите флажок Защитить мое подключение к Интернету.
    Дополнительные сведения о включении брандмауэра подключения к Интернету в Windows XP и Windows Server 2003 см. в следующей статье базы знаний Майкрософт:
    283673 Включение и отключение брандмауэра подключения к Интернету в Windows XP
    Примечание. Брандмауэр подключения к Интернету имеется только в операционных системах Windows XP, Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition. Простой брандмауэр входит в состав службы маршрутизации и удаленного доступа. Его можно включить для любого общего интерфейса на компьютере под управлением операционной системы из семейства Windows Server 2003, на котором запущена эта служба.
  2. Чтобы устранить уязвимость, описанную в бюллетенях Майкрософт по безопасности MS03-026 и MS03-039, загрузите и установите на всех компьютерах исправление безопасности 824146. Для загрузки исправления воспользуйтесь соответствующей ссылкой.

    Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition и Windows XP Media Center Edition
    http://download.microsoft.com/download/C/D/D/CDD7AC92-E4CC-4B1E-BC2F-7A61B46B23BF/WindowsXP-KB824146-x86-ENU.exe
    Windows XP (64-разрядная версия) 2002
    http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe
    Исправление безопасности 824146 заменяет исправление 823980. Корпорация Майкрософт рекомендует устанавливать исправление 824146, которое в том числе позволяет устранить проблемы, описанные в бюллетене по безопасности MS03-026 (823980). Дополнительные сведения об исправлении безопасности 824146 см. в следующей статье базы знаний Майкрософт:
    824146 MS03-036: Переполнение буфера в RPCSS может допустить запуск враждебных программ
    Дополнительные сведения об исправлении безопасности 823980 см. в следующей статье базы знаний Майкрософт:
    823980 MS03-026: Переполнение буфера RPC может допустить запуск кода
  3. Установите или обновите антивирусное программное обеспечение, а затем выполните полное сканирование компьютера.
  4. Загрузите и запустите средство удаления червя, разработанное производителем антивирусного программного обеспечения.

Восстановление Windows 2000 и Windows NT 4.0

В операционных системах Windows 2000 и Windows NT 4.0 брандмауэр подключения к Интернету отсутствует. Если для блокировки TCP-портов 135, 139, 445 и 593, UDP-портов 69 (TFTP), 135, 137 и 138 и TCP-порта 4444, который используется удаленной командной оболочкой, не удается воспользоваться сервером ISA (Internet Security and Acceleration Server 2000) или брандмауэром независимого разработчика, выполните следующие действия, чтобы заблокировать указанные порты в локальной сети. Удаленные подключения не поддерживают фильтрацию протокола TCP/IP. При выходе в Интернет с помощью удаленного подключения следует использовать брандмауэр.
  1. Настройте параметры безопасности TCP/IP. Для этого выполните описанные ниже действия в зависимости от установленной операционной системы.

    Windows 2000
    1. На панели управления дважды щелкните значок Сеть и удаленный доступ к сети.
    2. Щелкните правой кнопкой мыши интерфейс, который используется для получения доступа к Интернету, и выберите пункт Свойства.
    3. В списке Отмеченные компоненты используются этим подключением выберите элемент Протокол Интернета (TCP/IP) и нажмите кнопку Свойства.
    4. В окне Свойства протокола Интернета (TCP/IP) нажмите кнопку Дополнительно.
    5. Откройте вкладку Параметры.
    6. Выберите параметр Фильтрация TCP/IP и нажмите кнопку Свойства.
    7. Установите флажок Задействовать фильтрацию TCP/IP (все адаптеры).
    8. В этом окне имеются три столбца:
      • TCP-порты
      • UDP-порты
      • IP-протоколы
      Для каждого из этих столбцов выберите вариант Только.
    9. Нажмите кнопку ОК.

      Примечания
      • Если компьютер постоянно выключается или перезапускается при попытке выполнить эти действия, отключитесь от Интернета. Если для подключения к Интернету используется широкополосное соединение, найдите кабель, подключенный к внешнему высокоскоростному модему или модему DSL, и отключите его от модема или телефонного разъема. В случае использования подключения удаленного доступа найдите кабель, соединяющий модем внутри компьютера с телефонным разъемом, и отключите этот кабель от телефонного разъема или от компьютера.
      • Если общее подключение к Интернету используют несколько компьютеров, включите брандмауэр только на том компьютере, который подключен к Интернету напрямую. Не включайте брандмауэр на остальных компьютерах, использующих общее подключение к Интернету.
      • Брандмауэр не влияет на работу программы электронной почты или веб-обозревателя, но отключает некоторые интернет-программы, службы и функции. Для восстановления утраченной функциональности необходимо открыть в брандмауэре соответствующие порты. Чтобы определить эти порты, читайте документацию к соответствующей интернет-службе. Инструкции по открытию портов в брандмауэре см. в документации к брандмауэру.
      • Описанные действия представляют собой видоизмененные примеры из статьи базы знаний Майкрософт 309798. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
        309798 Настройка фильтрации TCP/IP в Small Business Server 2003
    Windows NT 4.0
    1. На панели управления дважды щелкните значок Сеть.
    2. Откройте вкладку Протокол, выберите пункт Протокол TCP/IP и нажмите кнопку Свойства.
    3. Откройте вкладку IP-адрес и нажмите кнопку Дополнительно.
    4. Установите флажок Включить защиту и нажмите кнопку Настройка.
    5. В столбцах ТСР-порты, UDP-порты и IP-протоколы выберите вариант Только.
    6. Нажмите кнопку ОК и закройте окно настройки сети.
  2. Чтобы устранить уязвимость, описанную в бюллетенях Майкрософт по безопасности MS03-026 и MS03-039, загрузите и установите на всех компьютерах исправление безопасности 824146. Для загрузки исправления воспользуйтесь соответствующей ссылкой.
    Windows NT Workstation 4.0
    http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE
    Windows NT Server 4.0
    http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE
    Windows NT Server 4.0 Terminal Server Edition
    http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE
    Windows 2000
    http://download.microsoft.com/download/0/A/6/0A634E35-F29A-4F26-B006-D315E898EDEF/Windows2000-KB824146-x86-ENU.exe
    Исправление безопасности 824146 заменяет исправление 823980. Корпорация Майкрософт рекомендует устанавливать исправление 824146, которое в том числе позволяет устранить проблемы, описанные в бюллетене по безопасности MS03-026 (823980). Дополнительные сведения об исправлении безопасности 824146 см. в следующей статье базы знаний Майкрософт:
    824146 MS03-036: Переполнение буфера в RPCSS может допустить запуск враждебных программ
    Дополнительные сведения об исправлении безопасности 823980 и требованиях к его установке (например, наличие пакета обновления для используемой версии Windows) см. в следующей статье базы знаний Майкрософт:
    823980 MS03-026: Переполнение буфера RPC может допустить запуск кода
  3. Установите или обновите антивирусное программное обеспечение, а затем выполните полное сканирование компьютера.
  4. Загрузите и запустите средство удаления червя, разработанное производителем антивирусного программного обеспечения.
Для получения дополнительных технических сведений о черве Blaster обращайтесь к разработчикам антивирусного программного обеспечения, которые участвуют в программе Microsoft Virus Information Alliance (VIA). Примечание. Если вам не нужна фильтрация протокола TCP, отключите ее после установки описанного в этой статье исправления и удаления червя.

Дополнительные сведения об известных разновидностях червя Blaster см. на веб-узле компании Symantec по следующим адресам: Дополнительные сведения о программе Microsoft Virus Information Alliance см. на веб-узле корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/technet/security/alerts/info/via.mspx
Для получения дополнительных сведений о восстановлении зараженных систем обращайтесь к соответствующему производителю антивирусного программного обеспечения.

Контактные данные независимых производителей предоставлены в данной статье с целью помочь пользователям в получении необходимой технической поддержки. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних производителей.

Ссылки

Последние сведения о данном черве см. на веб-узле корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/security/incident/blast.mspx
В случае возникновения вопросов по поводу этого сообщения на территории США обращайтесь в местное представительство корпорации Майкрософт или звоните по телефону 1-866-727-2338 (1-866-PCSafety), а за пределами США обращайтесь в местное представительство корпорации Майкрософт. Для получения ответов на вопросы, связанные с вирусами, воспользуйтесь группой новостей Microsoft Virus Support:
news://msnews.microsoft.com/microsoft.public.security.virus
Дополнительные сведения о безопасности продуктов Майкрософт см. на веб-узле корпорации по следующему адресу:
http://www.microsoft.com/rus/security/default.mspx
Дополнительные сведения о бюллетенях по безопасности MS03-026 и MS03-039 см. на веб-узле Майкрософт по следующим адресам:
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx

Свойства

Код статьи: 826955 - Последний отзыв: 5 января 2011 г. - Revision: 3.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows XP Tablet PC Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Ключевые слова: 
kbacwsurvey kbdownload kbvirus kbsecantivirus kberrmsg KB826955

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com