Предупреждение о вирусе о черве Blaster и его вариантах

  • Статья

В этой статье описано вирусное оповещение о черве Blaster и его вариантах, а также содержатся сведения о том, как предотвратить и восстановиться от инфекции от червя Blaster и его вариантов.

Область применения: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 826955

Сводка

11 августа 2003 года корпорация Майкрософт начала расследование червя, о который сообщили службы поддержки продуктов Майкрософт (PSS), и группа безопасности Microsoft PSS выпустила оповещение, информирующее клиентов о новом черве. Червь — это тип компьютерного вируса, который обычно распространяется без действий пользователя и распространяет полные копии (возможно, измененные) между сетями (например, Через Интернет). Этот новый червь, известный как Blaster, использует уязвимость, которая была устранена в бюллетене по безопасности Майкрософт MS03-026 (823980), чтобы распространиться по сетям с помощью открытых портов удаленного вызова процедур (RPC) на компьютерах под управлением любого из продуктов, перечисленных в начале этой статьи.

Эта статья содержит сведения для сетевых администраторов и ИТ-специалистов о том, как предотвратить и как восстановиться после заражения от червя Blaster и его вариантов. Червь и его варианты также называются W32. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST. A (Trendmicro) и Win32.Posa.Worm (Computer Associates). Чтобы получить дополнительные сведения о восстановлении после этого червя, обратитесь к поставщику антивирусного программного обеспечения.

Чтобы получить дополнительные сведения о поставщиках антивирусного программного обеспечения, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

49500 Список поставщиков антивирусного программного обеспечения

Если вы являетесь домашним пользователем, посетите следующий веб-сайт Майкрософт, чтобы узнать, как защитить компьютер и восстановиться, если компьютер был заражен червем Blaster:

Что такое Microsoft Security Essentials?

Примечание.

  • Компьютер не уязвим для червя Blaster, если вы установили исправление безопасности 823980 (MS03-026) до 11 августа 2003 г. (дата обнаружения этого червя). Вам не нужно ничего делать, если вы установили исправление безопасности 823980 (MS03-026) до 11 августа 2003 г.

  • Корпорация Майкрософт протестировала Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP и Windows Server 2003, чтобы оценить, подвержены ли они уязвимостям, устраненным в бюллетене по безопасности Майкрософт MS03-026 (823980). Windows Millennium Edition не включает функции, связанные с этими уязвимостями. Предыдущие версии больше не поддерживаются, и на них могут повлиять эти уязвимости. Дополнительные сведения о жизненном цикле служба поддержки Майкрософт см. на следующем веб-сайте Майкрософт:

    Поиск сведений о жизненном цикле продуктов и служб.

    Функции, связанные с этими уязвимостями, также не включены в Windows 95, Windows 98 или Windows 98 Second Edition, даже если установлен DCOM. Вам не нужно ничего делать, если вы используете любую из этих версий Windows.

  • Компьютер не уязвим для червя Blaster, если вы установили Windows XP с пакетом обновления 2 (SP2) или накопительный пакет обновления 1 для Windows 2000 с пакетом обновления 4 (SP4). Обновление системы безопасности 824146 входит в эти пакеты обновления. Вам не нужно ничего делать, если вы установили эти пакеты обновления. Для получения дополнительных сведений щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

    322389 Как получить последнюю версию пакета обновления для Windows XP.

Симптомы инфекции

Если ваш компьютер заражен этим червем, у вас может не возникнуть никаких симптомов, или вы можете столкнуться с любой из следующих симптомов:

  • Вы можете получать следующие сообщения об ошибках:

    Служба удаленного вызова процедур (RPC) неожиданно завершена.
    Система завершает работу. Сохраните все трудоемкие работы и выйдите из системы.
    Все несохраненные изменения будут потеряны.
    Это завершение работы было инициировано NT AUTHORITY\SYSTEM.

  • Компьютер может выключаться или многократно перезапускаться через случайные интервалы.

  • На компьютере под управлением Windows XP или Windows Server 2003 может появиться диалоговое окно с возможностью сообщить о проблеме в корпорацию Майкрософт.

  • Если вы используете Windows 2000 или Windows NT, вы можете получить сообщение Об ошибке stop.

  • В папке Windows\System32 можно найти файл с именем Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll.

  • На компьютере могут находиться необычные файлы TFTP*.

Технические подробности

Для получения технических сведений об изменениях, которые этот червь вносит на ваш компьютер, обратитесь к поставщику антивирусного программного обеспечения.

Чтобы обнаружить этот вирус, найдите файл с именем Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll в папке Windows\System32 или скачайте последнюю подпись антивирусного программного обеспечения от поставщика антивирусной программы, а затем проверьте компьютер.

Чтобы найти эти файлы, выполните следующие действия:

  1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd в поле Открыть и нажмите кнопку ОК.

  2. В командной строке введите dir %systemroot%\system32\filename.ext /a /sи нажмите клавишу ВВОД, где filename.ext — это Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll.

    Примечание.

    Повторите шаг 2 для каждого из следующих имен файлов: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll и Yuetyutr.dll. Если вы найдете любой из этих файлов, компьютер может быть заражен червем. Если вы нашли один из этих файлов, удалите файл, а затем выполните действия, описанные в разделе "Восстановление" этой статьи. Чтобы удалить файл, введите del %systemroot%\system32\filename.ext /a в командной строке и нажмите клавишу ВВОД.

Предотвращение

Чтобы предотвратить заражение компьютера этим вирусом, выполните следующие действия.

  1. Включите функцию брандмауэра подключения к Интернету (ICF) в Windows XP, Windows Server 2003, Standard Edition и Windows Server 2003, выпуск Enterprise; или используйте базовый брандмауэр, Microsoft Internet Security and Acceleration (ISA) Server 2000 или сторонний брандмауэр, чтобы заблокировать TCP-порты 135, 139, 445 и 593; UDP-порты 69 (TFTP), 135, 137 и 138; и TCP-порт 4444 для удаленной командной оболочки.

    Чтобы включить ICF в Windows XP или Windows Server 2003, выполните следующие действия.

    1. Нажмите кнопку Пуск и выберите Панель управления.
    2. В панель управления дважды щелкните Сеть и интернет-Connections, а затем выберите Пункт Сеть Connections.
    3. Щелкните правой кнопкой мыши подключение, в котором требуется включить брандмауэр подключения к Интернету, и выберите пункт Свойства.
    4. Перейдите на вкладку Дополнительно, а затем установите флажок Защита компьютера или сети путем ограничения или запрета доступа к этому компьютеру из Интернета проверка.

    Примечание.

    Некоторые коммутируемые подключения могут не отображаться в папках сетевого подключения. Например, подключения AOL и MSN dial-up могут не отображаться. В некоторых случаях можно выполнить следующие действия, чтобы включить ICF для подключения, которое не отображается в папке Сетевое подключение. Если эти действия не поработают, обратитесь к поставщику услуг Интернета для получения сведений о брандмауэре подключения к Интернету.

    1. Запустите интернет-Обозреватель.
    2. В меню Сервис выберите пункт Свойства обозревателя.
    3. Перейдите на вкладку Connections, выберите коммутируемую связь, используемую для подключения к Интернету, а затем нажмите кнопку Параметры.
    4. В области Параметры удаленного доступа щелкните Свойства.
    5. Перейдите на вкладку Дополнительно, а затем установите флажок Защита компьютера или сети путем ограничения или запрета доступа к этому компьютеру из Интернета проверка.

    Дополнительные сведения о том, как включить брандмауэр подключения к Интернету в Windows XP или Windows Server 2003, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

    283673 Включение или отключение брандмауэра в Windows XP

    Примечание.

    ICF доступен только в Windows XP, Windows Server 2003, Standard Edition и Windows Server 2003, выпуск Enterprise. Базовый брандмауэр — это компонент маршрутизации и удаленного доступа, который можно включить для любого общедоступного интерфейса на компьютере с маршрутизацией и удаленным доступом и членом семейства Windows Server 2003.

  2. Этот червь использует ранее объявленную уязвимость в рамках метода заражения. Поэтому необходимо убедиться, что на всех компьютерах установлено исправление для системы безопасности 823980, чтобы устранить уязвимость, обнаруженную в бюллетене по безопасности Майкрософт MS03-026. Исправление безопасности 824146 заменяет исправление безопасности 823980. Корпорация Майкрософт рекомендует установить исправление для системы безопасности 824146, которое также содержит исправления для проблем, которые устранены в бюллетене по безопасности Майкрософт MS03-026 (823980).

  3. Используйте последнюю сигнатуру обнаружения вирусов от поставщика антивирусной программы для обнаружения новых вирусов и их вариантов.

Восстановление

Рекомендации по обеспечению безопасности позволяют выполнить полную "чистую" установку на ранее скомпрометированном компьютере, чтобы удалить все неоткрытые эксплойты, которые могут привести к компрометации в будущем. Дополнительные сведения см. на следующем веб-сайте рекомендаций по сертификации:

Действия по восстановлению после компрометации системы UNIX или NT.

Однако многие антивирусные компании написали средства для удаления известного эксплойта, связанного с этим конкретным червем. Чтобы скачать средство удаления от поставщика антивирусной программы, выполните следующие процедуры в зависимости от операционной системы.

Восстановление для Windows XP, Windows Server 2003, Standard Edition и Windows Server 2003, выпуск Enterprise

  1. Включите функцию брандмауэра подключения к Интернету (ICF) в Windows XP, Windows Server 2003, Standard Edition и Windows Server 2003 выпуск Enterprise или используйте базовый брандмауэр, Microsoft Internet Security and Acceleration (ISA) Server 2000 или сторонний брандмауэр.

    Чтобы включить ICF, выполните следующие действия.

    1. Нажмите кнопку Пуск и выберите Панель управления.
    2. В панель управления дважды щелкните Сеть и интернет-Connections, а затем выберите Пункт Сеть Connections.
    3. Щелкните правой кнопкой мыши подключение, в котором требуется включить брандмауэр подключения к Интернету, и выберите пункт Свойства.
    4. Перейдите на вкладку Дополнительно, а затем установите флажок Защита компьютера или сети путем ограничения или запрета доступа к этому компьютеру из Интернета проверка.

    Примечание.

    • Если при попытке выполнить эти действия компьютер выключается или перезагружается несколько раз, отключитесь от Интернета перед включением брандмауэра. При подключении к Интернету через широкополосное подключение найдите кабель, который выполняется от внешнего DSL или кабельного модема, а затем отключите этот кабель от модема или от телефонного разъема. Если вы используете коммутируемое подключение, найдите телефонный кабель, который работает от модема внутри компьютера до телефонного разъема, а затем отключите этот кабель от телефонного разъема или от компьютера. Если вы не можете отключиться от Интернета, введите следующую строку в командной строке, чтобы настроить RPCSS не перезапускать компьютер при сбое службы: sc failure rpcss reset= 0 actions= restart.

      Чтобы сбросить RPCSS до параметра восстановления по умолчанию после выполнения этих действий, введите в командной строке следующую строку: sc failure rpcss reset= 0 actions= reboot/60000.

    • Если у вас есть несколько компьютеров, использующих подключение к Интернету, используйте брандмауэр только на компьютере, подключенном напрямую к Интернету. Не используйте брандмауэр на других компьютерах, которые совместно используют подключение к Интернету. Если вы используете Windows XP, включите ICF с помощью мастера настройки сети.

    • Использование брандмауэра не должно влиять на службу электронной почты или просмотр веб-страниц, но брандмауэр может отключить некоторые веб-программы, службы или функции. В этом случае может потребоваться открыть некоторые порты в брандмауэре, чтобы некоторые функции Интернета работали. Сведения о том, какие порты необходимо открыть, см. в документации по интернет-службе, которая не работает. Сведения о том, как открыть эти порты, см. в документации, которая входит в состав брандмауэра.

    • В некоторых случаях можно выполнить следующие действия, чтобы включить ICF для подключения, которое не отображается в папке Network Connections. Если эти действия не поработают, обратитесь к поставщику услуг Интернета для получения сведений о брандмауэре подключения к Интернету.

      1. Запустите интернет-Обозреватель.
      2. В меню Сервис выберите пункт Свойства обозревателя.
      3. Перейдите на вкладку Connections, выберите коммутируемую связь, используемую для подключения к Интернету, а затем нажмите кнопку Параметры.
      4. В области Параметры удаленного доступа щелкните Свойства.
      5. Перейдите на вкладку Дополнительно, а затем установите флажок Защита компьютера или сети путем ограничения или запрета доступа к этому компьютеру из Интернета проверка.

    Дополнительные сведения о том, как включить брандмауэр подключения к Интернету в Windows XP или Windows Server 2003, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

    283673 Включение или отключение брандмауэра в Windows XP

    Примечание.

    ICF доступен только в Windows XP, Windows Server 2003, Standard Edition и Windows Server 2003, выпуск Enterprise. Базовый брандмауэр — это компонент маршрутизации и удаленного доступа, который можно включить для любого общедоступного интерфейса на компьютере с маршрутизацией и удаленным доступом и членом семейства Windows Server 2003.

  2. Скачайте исправление для системы безопасности 824146, а затем установите его на всех компьютерах, чтобы устранить уязвимость, указанную в бюллетенях майкрософт по безопасности MS03-026 и MS03-039.

    Примечание.

    Это исправление безопасности 824146 заменяет исправление безопасности 823980. Корпорация Майкрософт рекомендует установить исправление для системы безопасности 824146, которое также включает исправления проблем, рассмотренных в бюллетене по безопасности Майкрософт MS03-026 (823980).

  3. Установите или обновите антивирусную сигнатуру, а затем выполните полную проверку системы.

  4. Скачайте и запустите средство удаления червей у поставщика антивирусной программы.

Восстановление для Windows 2000 и Windows NT 4.0

Функция брандмауэра подключения к Интернету недоступна в Windows 2000 или Windows NT 4.0. Если microsoft Internet Security and Acceleration (ISA) Server 2000 или сторонний брандмауэр недоступен для блокировки TCP-портов 135, 139, 445 и 593, портов UDP 69 (TFTP), 135, 137 и 138 и TCP-порта 4444 для удаленной командной оболочки, выполните следующие действия, чтобы заблокировать затронутые порты для подключений локальной сети (LAN). Фильтрация TCP/IP недоступна для подключений удаленного доступа. Если для подключения к Интернету используется коммутируемое подключение, следует включить брандмауэр.

  1. Настройка безопасности TCP/IP. Для этого используйте процедуру для операционной системы.

    Windows 2000

    1. В панель управления дважды щелкните сеть и Connections коммутируемого доступа.

    2. Щелкните правой кнопкой мыши интерфейс, используемый для доступа к Интернету, и выберите пункт Свойства.

    3. В поле Компоненты, которые используются для этого подключения , щелкните Протокол ИНТЕРНЕТА (TCP/IP) и щелкните Свойства.

    4. В диалоговом окне Свойства протокола ИНТЕРНЕТА (TCP/IP) нажмите кнопку Дополнительно.

    5. Перейдите на вкладку Параметры .

    6. Щелкните Фильтрация TCP/IP, а затем щелкните Свойства.

    7. Щелкните, чтобы выбрать флажок Включить фильтрацию TCP/IP (все адаптеры) проверка.

    8. Существует три столбца со следующими метками:

      • Tcp-порты
      • Порты UDP
      • Протоколы IP

      В каждом столбце щелкните параметр Разрешить только .

    9. Нажмите кнопку OK.

    Примечание.

    • Если при попытке выполнить эти действия компьютер выключается или перезагружается несколько раз, отключитесь от Интернета перед включением брандмауэра. При подключении к Интернету через широкополосное подключение найдите кабель, который выполняется от внешнего DSL или кабельного модема, а затем отключите этот кабель от модема или от телефонного разъема. Если вы используете коммутируемое подключение, найдите телефонный кабель, который работает от модема внутри компьютера до телефонного разъема, а затем отключите этот кабель от телефонного разъема или от компьютера.
    • Если у вас есть несколько компьютеров, использующих подключение к Интернету, используйте брандмауэр только на компьютере, подключенном напрямую к Интернету. Не используйте брандмауэр на других компьютерах, которые совместно используют подключение к Интернету.
    • Использование брандмауэра не должно влиять на службу электронной почты или просмотр веб-страниц, но брандмауэр может отключить некоторые веб-программы, службы или функции. В этом случае может потребоваться открыть некоторые порты в брандмауэре, чтобы некоторые функции Интернета работали. Сведения о том, какие порты необходимо открыть, см. в документации по интернет-службе, которая не работает. Сведения о том, как открыть эти порты, см. в документации, которая входит в состав брандмауэра.
    • Эти действия основаны на измененном фрагменте из статьи базы знаний Майкрософт 309798.

    Windows NT 4.0

    1. В панель управления дважды щелкните Сеть.
    2. Перейдите на вкладку Протокол , щелкните Протокол TCP/IP, а затем щелкните Свойства.
    3. Перейдите на вкладку IP-адрес и нажмите кнопку Дополнительно.
    4. Установите флажок Включить проверка безопасности, а затем нажмите кнопку Настроить.
    5. В столбцах TCP-порты, порты UDP и IP-протоколы выберите параметр Разрешить только .
    6. Нажмите кнопку ОК и закройте средство "Сеть".

  2. Скачайте исправление для системы безопасности 824146, а затем установите его на всех компьютерах, чтобы устранить уязвимость, указанную в бюллетенях майкрософт по безопасности MS03-026 и MS03-039.

    Исправление безопасности 824146 заменяет исправление безопасности 823980. Корпорация Майкрософт рекомендует установить исправление для системы безопасности 824146, которое также включает исправления проблем, рассмотренных в бюллетене по безопасности Майкрософт MS03-026 (823980).

  3. Установите или обновите антивирусную сигнатуру, а затем выполните полную проверку системы.

  4. Скачайте и запустите средство удаления червей у поставщика антивирусной программы.

Дополнительные технические сведения о черве Blaster от поставщиков антивирусного программного обеспечения, участвующих в Microsoft Virus Information Alliance (VIA), см. на любом из следующих сторонних веб-сайтов:

Примечание.

Если вам не нужно использовать фильтрацию TCP, может потребоваться отключить фильтрацию TCP после применения исправления, описанного в этой статье, и вы убедились, что червь успешно удален.

Дополнительные технические сведения об известных вариантах червя Blaster см. на следующих веб-сайтах Symantec:

W32. Randex.E: Nstask32.exe, Winlogin.exe, Win32sockdrv.dll и Yyuetyutr.dll

Центр безопасности Symantec.

Дополнительные сведения о Microsoft Virus Information Alliance см. на следующем веб-сайте Майкрософт:

Центр реагирования на вопросы безопасности (Майкрософт).

Дополнительные сведения о том, как восстановиться после этого червя, обратитесь к поставщику антивирусной программы.

Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.

Ссылки

Самые актуальные сведения от корпорации Майкрософт об этом черве см. на странице портал для обнаружения угроз (Microsoft) для получения ресурсов и средств для обеспечения безопасности и работоспособности компьютера. Если у вас возникли проблемы с установкой самого обновления, ознакомьтесь с разделом Поддержка Центра обновления Майкрософт для ресурсов и средств, чтобы обеспечить обновление компьютера с помощью последних обновлений.