文章编号: 826955 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

2003 年 8 月 11 日,Microsoft 开始调查 Microsoft 产品支持服务 (PSS) 报告的一种蠕虫,而且 Microsoft PSS 安全组发布了警报以通知客户这种新发现的蠕虫。蠕虫是一种计算机病毒,通常情况下它无需用户操作即可传播,可通过网络(如 Internet)完整地进行自我复制(可能经过修改)。这种新蠕虫通常称为“冲击波”,它利用 Microsoft 安全公告 MS03-026 (823980) 中指出的漏洞,通过运行本文开头所列任一产品的计算机上的开放远程过程调用 (RPC) 端口经由网络传播自身。

本文包含关于如何预防和如何从冲击波蠕虫及其变种感染中恢复的信息,供网络管理员和 IT 专业人士使用。该蠕虫及其变种亦称为 W32.Blaster.Worm、W32.Blaster.C.Worm、W32.Blaster.B.Worm、W32.Randex.E (Symantec)、W32/Lovsan.worm (McAfee)、WORM_MSBLAST.A (Trendmicro) 和 Win32.Posa.Worm (Computer Associates)。有关从该蠕虫感染中恢复的其他信息,请联系防病毒软件供应商。 有关防病毒软件供应商的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
49500 防病毒软件供应商列表
如果您是家庭用户,请访问以下 Microsoft 网站,按其步骤保护您的计算机;如果已感染冲击波蠕虫,则请从中恢复:
http://www.microsoft.com/security/incident/blast.mspx
有关类似于冲击波蠕虫以及利用 Microsoft 安全公告 MS03-026 (823980) 和 MS03-007 (815021) 中所指出漏洞的蠕虫的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
826234 关于 Nachi 蠕虫的病毒警报

注意:

  • 如果您的计算机在 2003 年 8 月 11 日(发现冲击波蠕虫的日期) 之前安装了 823980 安全修补程序 (MS03-026),就不会受到此蠕虫的侵害。如果您在 2003 年 8 月 11 日之前安装了 823980 安全修补程序 (MS03-026),就无需做其他任何事情。
  • Microsoft 对 Windows NT Workstation 4.0、Windows NT Server 4.0、Windows NT Server 4.0 终端服务器版、Windows 2000、Windows XP 和 Windows Server 2003 进行了测试,以评估它们是否受到 Microsoft 安全公告 MS03-026 (823980) 所指出的漏洞的影响。Windows Millennium Edition 不包含与这些漏洞相关联的功能。先前的版本不再受到支持,它们可能会也可能不会受到这些漏洞的影响。有关 Microsoft 支持生命周期的其他信息,请访问以下 Microsoft 网站:
    http://support.microsoft.com/default.aspx?scid=fh;zh-cn;lifecycle
    Windows 95、Windows 98 或 Windows 98 Second Edition 也不包含与这些漏洞相关联的功能(即使己安装 DCOM)。如果您使用的是上述 Windows 版本,则不必进行什么处理。
  • 如果安装了 Windows XP Service Pack 2 或 Windows 2000 Service Pack 4 的累积更新 1,则您的计算机就不会受到冲击波蠕虫的危害,安全更新 824146 已包含在这些 Service Pack 中。如果安装了这些 Service Pack,则无需进行其他任何操作。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    322389 如何获取最新的 Windows XP Service Pack
    891861 Windows 2000 SP4 的累积更新 1 和已知问题

更多信息

感染症状

如果计算机感染了此蠕虫,您可能感觉不到任何症状,也可能会感觉到以下症状:
  • 您可能会收到以下错误信息:
    The Remote Procedure Call (RPC) service terminated unexpectedly.
    The system is shutting down.Please save all work in progress and log off.
    Any unsaved changes will be lost.
    This shutdown was initiated by NT AUTHORITY\SYSTEM.
  • 计算机可能会关机,或者反复重新启动(无固定的时间间隔)。
  • 在基于 Windows XP 或 Windows Server 2003 的计算机上会出现一个对话框,显示用于向 Microsoft 报告问题的选项。
  • 如果您使用的是 Windows 2000 或 Windows NT,则可能会收到“Stop”(停止)错误信息。
  • 在 Windows\System32 文件夹下,您可能会发现名为 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll 的文件。
  • 可能会在计算机上找到异常文件 TFTP*。

技术细节

有关此蠕虫对您计算机所做更改的技术细节,请联系您的防病毒软件供应商。

若要检测该病毒,请在 Windows\System32 文件夹中搜索名为 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll 的文件;或从防病毒供应商处下载最新的防病毒软件签名,然后扫描计算机。

若要搜索这些文件,请执行下列操作:
  1. 单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。
  2. 在命令提示符处键入 dir %systemroot%\system32\filename.ext /a /s,然后按 Enter 键,其中 filename.ext 为 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll。

    注意:对这些文件名称的每一个,请重复步骤 2:Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 和 Yuetyutr.dll。如果发现上述任何文件,则您的计算机可能感染了该蠕虫。如果发现上述某个文件,请将其删除,然后按照本文“恢复”一节的步骤进行操作。若要删除文件,请在命令提示符处键入 del %systemroot%\system32\filename.ext /a,然后按 Enter 键。

防范措施

要防止计算机感染此蠕虫,请按以下步骤操作:
  1. 打开 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版中的 Windows 防火墙功能;或使用“基本防火墙”、Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火墙来关闭 TCP 端口 135、139、445 和 593,关闭 UDP 端口 69 (TFTP)、135、137 和 138,以及关闭用于远程命令外壳程序的 TCP 端口 4444。

    若要打开 Windows XP 或 Windows Server 2003 中的 Windows 防火墙,请按照下列步骤操作:
    1. 单击“开始”,然后单击“控制面板”。
    2. 在“控制面板”中,双击“网络和 Internet 连接”,然后单击“网络连接”。
    3. 右键单击要打开 Windows 防火墙的连接,然后单击“属性”。
    4. 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。
    注意:某些拨号连接可能不会在“网络连接”文件夹中显示出来。例如,AOL 和 MSN 拨号连接就可能不会显示出来。在某些情况下,您可使用下列步骤为“网络连接”文件夹中未显示的连接打开 Windows 防火墙。如果这些步骤不起作用,请与您的 Internet 服务提供商 (ISP) 联系,获取如何为 Internet 连接添加防火墙的信息。
    1. 启动 Internet Explorer。
    2. 在“工具”菜单上,单击“Internet 选项”。
    3. 单击“连接”选项卡,单击用于连接到 Internet 的拨号连接,然后单击“设置”。
    4. 在“拨号设置”区域中,单击“属性”。
    5. 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。
    有关如何在 Windows XP 或 Windows Server 2003 中打开 Windows 防火墙的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    283673 如何在 Windows XP 中打开或关闭防火墙
    注意:只有在 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版上提供了 Windows 防火墙。“基本防火墙”是“路由和远程访问”的一个组件,对于既运行“路由和远程访问”又运行 Windows Server 2003 系列操作系统之一的计算机上的任何公共接口,都可启用“路由和远程访问”。
  2. 此蠕虫使用一个以前公布的漏洞作为其中一种感染手段。因此,您必须确保在所有计算机上都安装了 823980 安全修补程序,以便修补在 Microsoft 安全公告 MS03-026 中指出的漏洞。请注意,824146 安全修补程序替代了 823980 安全修补程序。Microsoft 建议您安装 824146 安全修补程序,它还可以解决 Microsoft 安全公告 MS03-026 (823980) 中指出的问题。 有关 824146 安全修补程序的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    824146 MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
    有关 823980 安全修补程序和任何先决条件(如用于您的 Windows 版本的 Service Pack)的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    823980 MS03-026:RPC 中的缓冲区溢出可能允许执行代码
    要下载 824146 安全修补程序,请单击与您的操作系统对应的链接:
  3. 使用从您的防病毒软件供应商处获得的最新病毒检测签名来检测新病毒及其变种。

恢复

根据最佳安全防护方法的建议,您应在系统安全曾被破坏过的计算机上执行一次完全“干净”的安装,以便清除掉可能会在将来危及系统安全的任何隐藏利用形式。有关其他信息,请访问下面的 Cert Advisory 网站:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
但是,许多防病毒公司已经编写了一些工具,用来清除与这个特别的蠕虫相关的已知代码。要从防病毒软件供应商处下载清除工具,请根据您的操作系统执行下面的过程

Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版的恢复措施

  1. 打开 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版中的 Windows 防火墙功能;或使用“基本防火墙”、Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火墙。

    若要打开 Windows 防火墙,请按照下列步骤操作:
    1. 单击“开始”,然后单击“控制面板”。
    2. 在“控制面板”中,双击“网络和 Internet 连接”,然后单击“网络连接”。
    3. 右键单击要打开 Windows 防火墙的连接,然后单击“属性”。
    4. 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。
    注意:
    • 如果在尝试按照这些步骤操作时,您的计算机关机或反复重新启动,则在打开防火墙前断开与 Internet 的连接。如果您通过宽带连接到 Internet,请找出与外部 DSL 或电缆调制解调器相连接的电缆,然后将其从调制解调器或电话插孔上拔掉。如果您使用的是拨号连接,请找出从计算机内部的调制解调器连接到电话插孔的电话线,然后将其从电话插孔或计算机上拔掉。如果无法断开和 Internet 的连接,请在命令提示符处键入以下命令行,以将 RPCSS 配置为在服务失败时不重新启动计算机:
      sc failure rpcss reset= 0 actions= restart
      要在完成这些步骤后将 RPCSS 重设为默认的恢复设置,请在命令提示符处键入以下命令行:
      sc failure rpcss reset= 0 actions= reboot/60000
    • 如果多台计算机共享一个 Internet 连接,则只在直接连接到 Internet 的计算机上使用防火墙。不要在共享 Internet 连接的其他计算机上使用防火墙。如果您运行的是 Windows XP,请使用“网络安装向导”打开 Windows 防火墙。
    • 使用防火墙将不会影响您的电子邮件服务或 Web 浏览,但是防火墙可能会禁用一些 Internet 软件、服务或功能。如果发生这种情况,可能必须打开防火墙上的一些端口,某些 Internet 功能才能正常工作。请参见无法工作的 Internet 服务附带的文档,以确定必须打开哪些端口。请参见防火墙附带的文档,以确定如何打开这些端口。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
      308127 如何在 Windows XP 中手动打开 Windows 防火墙中的端口
    • 在某些情况下,您可使用下列步骤为“网络连接”文件夹中未显示的连接打开 Windows 防火墙。如果这些步骤不起作用,请与您的 Internet 服务提供商 (ISP) 联系,获取如何为 Internet 连接添加防火墙的信息。
      1. 启动 Internet Explorer。
      2. 在“工具”菜单上,单击“Internet 选项”。
      3. 单击“连接”选项卡,单击用于连接到 Internet 的拨号连接,然后单击“设置”。
      4. 在“拨号设置”区域中,单击“属性”。
      5. 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。
    有关如何在 Windows XP 或 Windows Server 2003 中打开 Windows 防火墙的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    283673 如何在 Windows XP 中打开或关闭防火墙
    注意:只有在 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版上提供了 Windows 防火墙。基本防火墙是“路由和远程访问”的一个组件,对于既运行“路由和远程访问”又运行 Windows Server 2003 系列产品的计算机上的任何公共接口,都可启用“路由和远程访问”。
  2. 请下载 824146 安全修补程序,然后将其安装在您的所有计算机上,以修复 Microsoft 安全公告 MS03-026 和 MS03-039 中指出的漏洞。若要下载 824146 安全修补程序,请单击相应的链接:

    Windows XP Home Edition、Windows XP Professional、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition
    http://download.microsoft.com/download/C/D/D/CDD7AC92-E4CC-4B1E-BC2F-7A61B46B23BF/WindowsXP-KB824146-x86-ENU.exe
    Windows XP 64 位 2002 版
    http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe
    请注意,824146 安全修补程序替代了 823980 安全修补程序。Microsoft 建议您安装 824146 安全修补程序,它还可以解决 Microsoft 安全公告 MS03-026 (823980) 中指出的问题 有关 824146 安全修补程序的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    824146 MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
    有关 823980 安全修补程序的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    823980 MS03-026:RPC 接口中的缓冲区溢出可能允许执行代码
  3. 安装或更新您的防病毒签名软件,然后彻底扫描系统。
  4. 请从您的防病毒供应商处下载并运行蠕虫清除工具。

Windows 2000 和 Windows NT 4.0 的恢复措施

“Windows 防火墙”功能在 Windows 2000 或 Windows NT 4.0 中不可用。如果 Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火墙不能用来阻止 TCP 端口 135、139、445、593 和 UDP 端口 69 (TFTP)、135、137、138 以及用于远程命令外壳程序的 TCP 端口 4444,请按照下列步骤操作来帮助阻止用于局域网 (LAN) 连接的受影响端口。请注意,TCP/IP 筛选不能用于拨号连接。如果您使用拨号连接来连接到 Internet,则应启用防火墙。
  1. 配置 TCP/IP 安全。为此,请使用针对您的操作系统的过程。

    Windows 2000
    1. 在“控制面板”中,双击“网络和拨号连接”。
    2. 右键单击用于访问 Internet 的接口,然后单击“属性”。
    3. 在“此连接使用下列选定的组件”框中,单击“Internet 协议 (TCP/IP)”,然后单击“属性”。
    4. 在“Internet 协议 (TCP/IP) 属性”对话框中,单击“高级”。
    5. 单击“选项”选项卡。
    6. 单击“TCP/IP 筛选”,然后单击“属性”。
    7. 单击以选中“启用 TCP/IP 筛选(所有适配器)”复选框。
    8. 共有三列,分别标记为:
      • TCP 端口
      • UDP 端口
      • IP 协议
      在每一列中,单击“仅允许”选项。
    9. 单击“确定”。

      注意:
      • 如果在尝试按照这些步骤操作时,您的计算机关机或反复重新启动,则在打开防火墙前断开与 Internet 的连接。如果您通过宽带连接到 Internet,请找出与外部 DSL 或电缆调制解调器相连接的电缆,然后将其从调制解调器或电话插孔上拔掉。如果您使用的是拨号连接,请找出从计算机内部的调制解调器连接到电话插孔的电话线,然后将其从电话插孔或计算机上拔掉。
      • 如果多台计算机共享一个 Internet 连接,则只在直接连接到 Internet 的计算机上使用防火墙。不要在共享 Internet 连接的其他计算机上使用防火墙。
      • 使用防火墙将不会影响您的电子邮件服务或 Web 浏览,但是防火墙可能会禁用一些 Internet 软件、服务或功能。如果发生这种情况,可能必须打开防火墙上的一些端口,某些 Internet 功能才能正常工作。请参见无法工作的 Internet 服务附带的文档,以确定必须打开哪些端口。请参见防火墙附带的文档,以确定如何打开这些端口。
      • 这些步骤是通过修改 Microsoft 知识库中编号为 309798 的文章的节选内容而得来的。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
        309798 如何在 Windows 2000 中配置 TCP/IP 筛选
    Windows NT 4.0
    1. 在“控制面板”中,双击“网络”。
    2. 单击“协议”选项卡,单击“TCP/IP 协议”,然后单击“属性”。
    3. 单击“IP 地址”选项卡,然后单击“高级”。
    4. 单击以选中“启用安全”复选框,然后单击“配置”。
    5. 在“TCP 端口”、“UDP 端口”和“IP 协议”列中,单击以选中“仅允许”设置。
    6. 单击“确定”,然后关闭网络工具。
  2. 请下载 824146 安全修补程序,然后将其安装在您的所有计算机上,以修复 Microsoft 安全公告 MS03-026 和 MS03-039 中指出的漏洞。若要下载 824146 安全修补程序,请单击相应的链接:
    Windows NT Workstation 4.0
    http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE
    Windows NT Server 4.0
    http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE
    Windows NT Server 4.0 终端服务器版
    http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE
    Windows 2000
    http://download.microsoft.com/download/0/A/6/0A634E35-F29A-4F26-B006-D315E898EDEF/Windows2000-KB824146-x86-ENU.exe
    请注意,824146 安全修补程序替代了 823980 安全修补程序。Microsoft 建议您安装 824146 安全修补程序,它还可以解决 Microsoft 安全公告 MS03-026 (823980) 中指出的问题 有关 824146 安全修补程序的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    824146 MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
    有关 823980 安全修补程序和任何先决条件(如用于您的 Windows 版本的 Service Pack)的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    823980 MS03-026:RPC 中的缓冲区溢出可能允许执行代码
  3. 安装或更新您的防病毒签名软件,然后彻底扫描系统。
  4. 请从您的防病毒供应商处下载并运行蠕虫清除工具。
有关参与 Microsoft 的 Virus Information Alliance(VIA,病毒信息联盟)的防病毒软件供应商对于冲击波蠕虫提供的其他技术细节,请访问以下任一第三方网站:注意:如果您不必使用 TCP 筛选,则在您应用本文中介绍的修补程序并验证您已成功地删除该蠕虫后,您可能希望禁用 TCP 筛选。

有关冲击波蠕虫的巳知变种的其他技术细节,请访问以下 Symantec 网站:有关 Microsoft Virus Information Alliance 的更多信息,请访问以下 Microsoft 网站:
http://www.microsoft.com/technet/security/alerts/info/via.mspx
有关在感染此蠕虫后如何恢复的其他信息,请联系您的防病毒软件供应商。

Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。

参考

有关此蠕虫的最新信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/security/incident/blast.mspx
如果对于本警报有任何疑问,请联系您的 Microsoft 代表;或者,在美国请致电 1-866-727-2338 (1-866-PCSafety)。在美国以外请联系当地的 Microsoft 办事处。要获得与病毒相关问题的支持,请访问下面的 Microsoft 病毒支持新闻组网站:
news://msnews.microsoft.com/microsoft.public.security.virus
有关与 Microsoft 产品安全相关的其他信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/security/default.asp
有关 Microsoft 安全公告 MS03-026 和 MS03-039 的其他与安全相关的信息,请访问下列 Microsoft 网站:
http://www.microsoft.com/china/security/bulletins/ms03-026.asp
http://www.microsoft.com/china/security/bulletins/ms03-039.asp

属性

文章编号: 826955 - 最后修改: 2011年1月5日 - 修订: 2.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Workstation 4.0 开发员版
关键字:?
kbacwsurvey kbdownload kbvirus kbsecantivirus kberrmsg KB826955
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com