Virusvarning om Blaster-masken och dess varianter

  • Artikel

Den här artikeln beskriver virusvarning om Blaster-masken och dess varianter och innehåller information om hur du förhindrar och återställer från en infektion från Blaster-masken och dess varianter.

Gäller för: Windows 10 – alla utgåvor, Windows Server 2012 R2
Ursprungligt KB-nummer: 826955

Sammanfattning

Den 11 augusti 2003 började Microsoft undersöka en mask som rapporterades av Microsoft Product Support Services (PSS) och Microsoft PSS-säkerhetsteamet utfärdade en avisering för att informera kunderna om den nya masken. En mask är en typ av datorvirus som vanligtvis sprids utan användaråtgärder och som distribuerar fullständiga kopior (eventuellt ändrade) av sig själv över nätverk (till exempel Internet). Den här nya masken kallas "Blaster" och utnyttjar den sårbarhet som åtgärdades av Microsoft Security Bulletin MS03-026 (823980) för att sprida sig över nätverk med hjälp av öppna RPC-portar (Remote Procedure Call) på datorer som kör någon av de produkter som visas i början av den här artikeln.

Den här artikeln innehåller information för nätverksadministratörer och IT-proffs om hur du förhindrar och hur du återställer från en infektion från Blaster-masken och dess varianter. Masken och dess varianter kallas även W32. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST. A (Trendmicro) och Win32.Posa.Worm (Computer Associates). Kontakta leverantören av antivirusprogrammet om du vill ha mer information om hur du återställer från den här masken.

Om du vill ha mer information om leverantörer av antivirusprogram klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

49500 Lista över leverantörer av antivirusprogram

Om du är en hemanvändare kan du gå till följande Microsoft-webbplats för steg som hjälper dig att skydda datorn och återställa om datorn har infekterats med Blaster-masken:

Vad är Microsoft Security Essentials?

Obs!

  • Datorn är inte sårbar för Blaster-masken om du installerade säkerhetskorrigeringen 823980 (MS03-026) före den 11 augusti 2003 (det datum då masken upptäcktes). Du behöver inte göra något annat om du har installerat säkerhetskorrigeringen 823980 (MS03-026) före den 11 augusti 2003.

  • Microsoft testade Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP och Windows Server 2003 för att bedöma om de påverkas av de säkerhetsrisker som åtgärdas av Microsoft Security Bulletin MS03-026 (823980). Windows Millennium Edition innehåller inte de funktioner som är associerade med dessa säkerhetsrisker. Tidigare versioner stöds inte längre och de kan påverkas eller kanske inte påverkas av dessa säkerhetsrisker. Mer information om livscykeln för Microsoft Support finns på följande Microsoft-webbplats:

    Sök efter produkt- och tjänstlivscykelinformation.

    De funktioner som är associerade med dessa säkerhetsrisker ingår inte heller i Windows 95, Windows 98 eller Windows 98 Second Edition, även om DCOM är installerat. Du behöver inte göra något om du använder någon av dessa versioner av Windows.

  • Datorn är inte sårbar för Blaster-masken om du har installerat Windows XP Service Pack 2 eller Samlad uppdatering 1 för Windows 2000 Service Pack 4. Säkerhetsuppdatering 824146 ingår i dessa service pack. Du behöver inte göra något annat om du har installerat dessa service pack. Om du vill ha mer information klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

    322389 Hämta det senaste Service Pack-paketet för Windows XP.

Symtom på infektion

Om datorn är infekterad med den här masken kanske du inte får några symtom, eller så kan du uppleva något av följande symtom:

  • Du kan få följande felmeddelanden:

    RPC-tjänsten (Remote Procedure Call) avslutades oväntat.
    Systemet stängs av. Spara allt pågående arbete och logga ut.
    Alla ändringar som inte har sparats går förlorade.
    Avstängningen initierades av NT AUTHORITY\SYSTEM.

  • Datorn kan stängas av eller startas om upprepade gånger med slumpmässiga intervall.

  • På en Windows XP-baserad eller på en Windows Server 2003-baserad dator kan en dialogruta visas som ger dig möjlighet att rapportera problemet till Microsoft.

  • Om du använder Windows 2000 eller Windows NT kan du få ett stoppfelmeddelande.

  • Du kan hitta en fil med namnet Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll eller Yuetyutr.dll i mappen Windows\System32.

  • Du kan hitta ovanliga TFTP*-filer på datorn.

Teknisk information

Om du vill ha teknisk information om de ändringar som masken gör på datorn kontaktar du leverantören av antivirusprogrammet.

Om du vill identifiera det här viruset söker du efter en fil med namnet Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll eller Yuetyutr.dll i mappen Windows\System32 eller laddar ned den senaste signaturen för antivirusprogram från antivirusleverantören och genomsöker sedan datorn.

Så här söker du efter dessa filer:

  1. Klicka på Start, klicka på Kör, skriv cmd i rutan Öppna och klicka sedan på OK.

  2. I kommandotolken skriver dir %systemroot%\system32\filename.ext /a /sdu och trycker sedan på RETUR, där filename.ext är Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll eller Yuetyutr.dll.

    Obs!

    Upprepa steg 2 för vart och ett av följande filnamn: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll och Yuetyutr.dll. Om du hittar någon av dessa filer kan datorn vara infekterad med masken. Om du hittar någon av dessa filer tar du bort filen och följer sedan stegen i avsnittet "Återställning" i den här artikeln. Om du vill ta bort filen skriver del %systemroot%\system32\filename.ext /a du i kommandotolken och trycker sedan på RETUR.

Förebyggande

Följ dessa steg för att förhindra att det här viruset infekterar datorn:

  1. Aktivera funktionen Brandvägg för Internetanslutning (ICF) i Windows XP, Windows Server 2003, Standard Edition och Windows Server 2003, Enterprise Edition; eller använd Basic Firewall, Microsoft Internet Security and Acceleration (ISA) Server 2000 eller en brandvägg från tredje part för att blockera TCP-portarna 135, 139, 445 och 593. UDP-portarna 69 (TFTP), 135, 137 och 138; och TCP-port 4444 för fjärrkommandogränssnittet.

    Så här aktiverar du ICF i Windows XP eller Windows Server 2003:

    1. Klicka på Start och klicka sedan på Kontrollpanelen.
    2. Dubbelklicka på Nätverk och Internet Connections i Kontrollpanelen och klicka sedan på Nätverk Connections.
    3. Högerklicka på den anslutning där du vill aktivera Brandvägg för Internetanslutning och klicka sedan på Egenskaper.
    4. Klicka på fliken Avancerat och klicka sedan för att markera kryssrutan Skydda min dator eller mitt nätverk genom att begränsa eller förhindra åtkomst till den här datorn från Internet .

    Obs!

    Vissa uppringningsanslutningar kanske inte visas i mapparna Nätverksanslutning. Till exempel kanske inte AOL- och MSN-uppringningsanslutningar visas. I vissa fall kan du använda följande steg för att aktivera ICF för en anslutning som inte visas i mappen Nätverksanslutning. Om de här stegen inte fungerar kontaktar du Internetleverantören för information om hur du brandväggar internetanslutningen.

    1. Starta Internet Explorer.
    2. På menyn Verktyg klickar du på Internetalternativ.
    3. Klicka på fliken Connections, klicka på den uppringningsanslutning som du använder för att ansluta till Internet och klicka sedan på Inställningar.
    4. I området Inställningar för uppringning klickar du på Egenskaper.
    5. Klicka på fliken Avancerat och klicka sedan för att markera kryssrutan Skydda min dator eller mitt nätverk genom att begränsa eller förhindra åtkomst till den här datorn från Internet .

    Om du vill ha mer information om hur du aktiverar Brandvägg för Internetanslutning i Windows XP eller Windows Server 2003 klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

    283673 Så här aktiverar eller inaktiverar du brandväggen i Windows XP

    Obs!

    ICF är endast tillgängligt i Windows XP, Windows Server 2003, Standard Edition och Windows Server 2003 Enterprise Edition. Basic Firewall är en komponent i routning och fjärråtkomst som du kan aktivera för alla offentliga gränssnitt på en dator som kör både routning och fjärråtkomst och som är medlem i Windows Server 2003-serien.

  2. Den här masken använder en tidigare tillkännagivit säkerhetsrisk som en del av sin infektionsmetod. Därför måste du se till att du har installerat säkerhetskorrigeringen 823980 på alla datorer för att åtgärda säkerhetsrisken som identifieras i Microsoft Security Bulletin MS03-026. Säkerhetskorrigeringen 824146 ersätter säkerhetskorrigeringen 823980. Microsoft rekommenderar att du installerar 824146 säkerhetskorrigering som även innehåller korrigeringar för de problem som åtgärdas i Microsoft Security Bulletin MS03-026 (823980).

  3. Använd den senaste signaturen för virusidentifiering från antivirusleverantören för att identifiera nya virus och deras varianter.

Återhämtning

Metodtips för säkerhet tyder på att du utför en fullständig "ren" installation på en tidigare komprometterad dator för att ta bort alla oupptäckta kryphål som kan leda till en framtida kompromettering. Mer information finns på följande certifikatrådgivningswebbplats:

Steg för att återställa från en UNIX- eller NT-systemkompromiss.

Många antivirusföretag har dock skrivit verktyg för att ta bort det kända kryphål som är associerat med just den här masken. Om du vill ladda ned borttagningsverktyget från antivirusleverantören använder du följande procedurer beroende på ditt operativsystem.

Återställning för Windows XP, Windows Server 2003, Standard Edition och Windows Server 2003, Enterprise Edition

  1. Aktivera funktionen Brandvägg för Internetanslutning (ICF) i Windows XP, Windows Server 2003, Standard Edition och Windows Server 2003, Enterprise Edition, eller använd Basic Firewall, Microsoft Internet Security and Acceleration (ISA) Server 2000 eller en brandvägg från tredje part.

    Så här aktiverar du ICF:

    1. Klicka på Start och klicka sedan på Kontrollpanelen.
    2. Dubbelklicka på Nätverk och Internet Connections i Kontrollpanelen och klicka sedan på Nätverk Connections.
    3. Högerklicka på den anslutning där du vill aktivera Brandvägg för Internetanslutning och klicka sedan på Egenskaper.
    4. Klicka på fliken Avancerat och klicka sedan för att markera kryssrutan Skydda min dator eller mitt nätverk genom att begränsa eller förhindra åtkomst till den här datorn från Internet .

    Obs!

    • Om datorn stängs av eller startas om upprepade gånger när du försöker följa de här stegen kopplar du från Internet innan du aktiverar brandväggen. Om du ansluter till Internet via en bredbandsanslutning letar du upp kabeln som körs från din externa DSL eller kabelmodem och kopplar sedan ur kabeln antingen från modemet eller från telefonjacket. Om du använder en uppringningsanslutning letar du upp den telefonkabel som körs från modemet i datorn till telefonjacket och kopplar sedan ur kabeln antingen från telefonjacket eller från datorn. Om du inte kan koppla från Internet skriver du följande rad i kommandotolken för att konfigurera RPCSS att inte starta om datorn när tjänsten misslyckas: sc failure rpcss reset= 0 actions= restart.

      Om du vill återställa RPCSS till standardåterställningsinställningen när du har slutfört de här stegen skriver du följande rad i kommandotolken: sc failure rpcss reset= 0 actions= reboot/60000.

    • Om du har fler än en dator som delar en Internetanslutning använder du endast en brandvägg på den dator som är direkt ansluten till Internet. Använd inte en brandvägg på de andra datorerna som delar Internetanslutningen. Om du kör Windows XP använder du guiden Konfigurera nätverk för att aktivera ICF.

    • Användning av en brandvägg bör inte påverka din e-posttjänst eller webbsurfning, men en brandvägg kan inaktivera viss Programvara, tjänster eller funktioner på Internet. Om det här beteendet inträffar kan du behöva öppna vissa portar i brandväggen för att vissa Internetfunktioner ska fungera. Se dokumentationen som ingår i Internettjänsten som inte fungerar för att avgöra vilka portar du måste öppna. Se dokumentationen som ingår i brandväggen för att avgöra hur dessa portar ska öppnas.

    • I vissa fall kan du använda följande steg för att aktivera ICF för en anslutning som inte visas i mappen Network Connections. Om de här stegen inte fungerar kontaktar du Internetleverantören för information om hur du brandväggar internetanslutningen.

      1. Starta Internet Explorer.
      2. På menyn Verktyg klickar du på Internetalternativ.
      3. Klicka på fliken Connections, klicka på den uppringningsanslutning som du använder för att ansluta till Internet och klicka sedan på Inställningar.
      4. I området Inställningar för uppringning klickar du på Egenskaper.
      5. Klicka på fliken Avancerat och klicka sedan för att markera kryssrutan Skydda min dator eller mitt nätverk genom att begränsa eller förhindra åtkomst till den här datorn från Internet .

    Om du vill ha mer information om hur du aktiverar Brandvägg för Internetanslutning i Windows XP eller Windows Server 2003 klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

    283673 Så här aktiverar eller inaktiverar du brandväggen i Windows XP

    Obs!

    ICF är endast tillgängligt i Windows XP, Windows Server 2003, Standard Edition och Windows Server 2003 Enterprise Edition. Basic Firewall är en komponent i Routning och fjärråtkomst som du kan aktivera för alla offentliga gränssnitt på en dator som kör routning och fjärråtkomst och är medlem i Windows Server 2003-serien.

  2. Ladda ned den 824146 säkerhetskorrigeringen och installera den sedan på alla datorer för att åtgärda säkerhetsrisken som identifieras i Microsoft Security Bulletins MS03-026 och MS03-039.

    Obs!

    Att 824146 säkerhetskorrigering ersätter säkerhetskorrigeringen 823980. Microsoft rekommenderar att du installerar 824146 säkerhetskorrigering som även innehåller korrigeringar för de problem som åtgärdas i Microsoft Security Bulletin MS03-026 (823980).

  3. Installera eller uppdatera ditt antivirusprogram och kör sedan en fullständig systemgenomsökning.

  4. Ladda ned och kör maskborttagningsverktyget från antivirusleverantören.

Återställning för Windows 2000 och Windows NT 4.0

Brandväggsfunktionen för Internetanslutning är inte tillgänglig i Windows 2000 eller Windows NT 4.0. Om Microsoft Internet Security and Acceleration (ISA) Server 2000 eller en brandvägg från tredje part inte är tillgänglig för att blockera TCP-portar 135, 139, 445 och 593, UDP-portarna 69 (TFTP), 135, 137 och 138 och TCP-port 4444 för fjärrkommandogränssnittet följer du dessa steg för att blockera de berörda portarna för LAN-anslutningar (Local Area Network). TCP/IP-filtrering är inte tillgängligt för uppringningsanslutningar. Om du använder en uppringningsanslutning för att ansluta till Internet bör du aktivera en brandvägg.

  1. Konfigurera TCP/IP-säkerhet. Det gör du genom att använda proceduren för operativsystemet.

    Windows 2000

    1. I Kontrollpanelen dubbelklickar du på Nätverk och uppringning Connections.

    2. Högerklicka på det gränssnitt som du använder för att komma åt Internet och klicka sedan på Egenskaper.

    3. I rutan Komponenter som markerats används av den här anslutningsrutan klickar du på Internet Protocol (TCP/IP) och klickar sedan på Egenskaper.

    4. I dialogrutan Egenskaper för Internet Protocol (TCP/IP) klickar du på Avancerat.

    5. Klicka på fliken Alternativ .

    6. Klicka på TCP/IP-filtrering och klicka sedan på Egenskaper.

    7. Klicka för att markera kryssrutan Aktivera TCP/IP-filtrering (alla kort).

    8. Det finns tre kolumner med följande etiketter:

      • TCP-portar
      • UDP-portar
      • IP-protokoll

      Klicka på alternativet Tillåt endast i varje kolumn.

    9. Klicka på OK.

    Obs!

    • Om datorn stängs av eller startas om upprepade gånger när du försöker följa de här stegen kopplar du från Internet innan du aktiverar brandväggen. Om du ansluter till Internet via en bredbandsanslutning letar du upp kabeln som körs från din externa DSL eller kabelmodem och kopplar sedan ur kabeln antingen från modemet eller från telefonjacket. Om du använder en uppringningsanslutning letar du upp den telefonkabel som körs från modemet i datorn till telefonjacket och kopplar sedan ur kabeln antingen från telefonjacket eller från datorn.
    • Om du har fler än en dator som delar en Internetanslutning använder du endast en brandvägg på den dator som är direkt ansluten till Internet. Använd inte en brandvägg på de andra datorerna som delar Internetanslutningen.
    • Användning av en brandvägg bör inte påverka din e-posttjänst eller webbsurfning, men en brandvägg kan inaktivera viss Programvara, tjänster eller funktioner på Internet. Om det här beteendet inträffar kan du behöva öppna vissa portar i brandväggen för att vissa Internetfunktioner ska fungera. Se dokumentationen som ingår i Internettjänsten som inte fungerar för att avgöra vilka portar du måste öppna. Se dokumentationen som ingår i brandväggen för att avgöra hur dessa portar ska öppnas.
    • De här stegen baseras på ett ändrat utdrag från Microsoft Knowledge Base-artikeln 309798.

    Windows NT 4.0

    1. Dubbelklicka på Nätverki Kontrollpanelen.
    2. Klicka på fliken Protokoll , klicka på TCP/IP-protokoll och klicka sedan på Egenskaper.
    3. Klicka på fliken IP-adress och klicka sedan på Avancerat.
    4. Klicka för att markera kryssrutan Aktivera säkerhet och klicka sedan på Konfigurera.
    5. I kolumnerna TCP-portar, UDP-portar och IP-protokoll klickar du för att välja inställningen Tillåt endast .
    6. Klicka på OK och stäng sedan verktyget Nätverk.

  2. Ladda ned den 824146 säkerhetskorrigeringen och installera den sedan på alla datorer för att åtgärda säkerhetsrisken som identifieras i Microsoft Security Bulletins MS03-026 och MS03-039.

    Säkerhetskorrigeringen 824146 ersätter säkerhetskorrigeringen 823980. Microsoft rekommenderar att du installerar 824146 säkerhetskorrigering som även innehåller korrigeringar för de problem som åtgärdas i Microsoft Security Bulletin MS03-026 (823980).

  3. Installera eller uppdatera ditt antivirusprogram och kör sedan en fullständig systemgenomsökning.

  4. Ladda ned och kör maskborttagningsverktyget från antivirusleverantören.

Mer teknisk information om Blaster-masken från antivirusprogramleverantörer som deltar i Microsoft Virus Information Alliance (VIA) finns på någon av följande webbplatser från tredje part:

Obs!

Om du inte behöver använda TCP-filtrering kanske du vill inaktivera TCP-filtrering när du har tillämpat korrigeringen som beskrivs i den här artikeln och du har kontrollerat att du har tagit bort masken.

Mer teknisk information om kända varianter av Blaster-masken finns på följande Symantec-webbplatser:

W32. Randex.E: Nstask32.exe, Winlogin.exe, Win32sockdrv.dll och Yyuetyutr.dll

Symantec Security Center.

Mer information om Microsoft Virus Information Alliance finns på följande Microsoft-webbplats:

Microsoft Security Response Center.

Kontakta antivirusleverantören om du vill ha mer information om hur du återställer från masken.

Kontaktinformationen för andra företag i denna artikel kan hjälpa dig att hitta den tekniska support du behöver. Denna kontaktinformation kan ändras utan föregående meddelande. Microsoft garanterar inte att kontaktinformationen är korrekt.

Referenser

Den senaste informationen från Microsoft om den här masken finns i Microsoft Säkerhetsinsikter för resurser och verktyg för att hålla datorn säker och felfri. Om du har problem med att installera själva uppdateringen går du till Support för Microsoft Update för resurser och verktyg för att hålla datorn uppdaterad med de senaste uppdateringarna.