Avviso di virus sul worm Blaster e le sue varianti

  • Articolo

Questo articolo descrive l'avviso di virus sul worm Blaster e le sue varianti e contiene informazioni su come prevenire e recuperare da un'infezione dal worm Blaster e le sue varianti.

Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 826955

Riepilogo

L'11 agosto 2003, Microsoft ha iniziato a indagare su un worm segnalato da Microsoft Product Support Services (PSS) e il team di sicurezza di Microsoft PSS ha emesso un avviso per informare i clienti sul nuovo worm. Un worm è un tipo di virus informatico che in genere si diffonde senza l'azione dell'utente e che distribuisce copie complete (possibilmente modificate) di se stesso tra reti (come Internet). Noto come "Blaster", questo nuovo worm sfrutta la vulnerabilità risolta dal Bollettino microsoft sulla sicurezza MS03-026 (823980) per diffondersi sulle reti usando porte RPC (Remote Procedure Call) aperte nei computer che eseguono uno dei prodotti elencati all'inizio di questo articolo.

Questo articolo contiene informazioni per gli amministratori di rete e i professionisti IT su come prevenire e come recuperare da un'infezione dal worm Blaster e dalle relative varianti. Il worm e le sue varianti sono noti anche come W32. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST. A (Trendmicro) e Win32.Posa.Worm (Computer Associates). Per altre informazioni sul ripristino da questo worm, contattare il fornitore del software antivirus.

Per altre informazioni sui fornitori di software antivirus, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente:

49500 Elenco dei fornitori di software antivirus

Se si è utenti privati, visitare il seguente sito Web Microsoft per la procedura per proteggere il computer e per ripristinare se il computer è stato infettato dal worm Blaster:

Che cos'è Microsoft Security Essentials?

Nota

  • Il computer non è vulnerabile al worm Blaster se è stata installata la patch di sicurezza 823980 (MS03-026) prima dell'11 agosto 2003 (data di scoperta del worm). Non è necessario eseguire altre operazioni se è stata installata la patch di sicurezza 823980 (MS03-026) prima dell'11 agosto 2003.

  • Microsoft ha testato Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP e Windows Server 2003 per valutare se sono interessati dalle vulnerabilità affrontate dal Bollettino microsoft sulla sicurezza MS03-026 (823980). Windows Millennium Edition non include le funzionalità associate a queste vulnerabilità. Le versioni precedenti non sono più supportate e possono essere interessate o meno da queste vulnerabilità. Per altre informazioni sul ciclo di vita supporto tecnico Microsoft, visitare il seguente sito Web Microsoft:

    Cercare informazioni sul ciclo di vita di prodotti e servizi.

    Anche le funzionalità associate a queste vulnerabilità non sono incluse in Windows 95, Windows 98 o Windows 98 Second Edition, anche se DCOM è installato. Non è necessario eseguire alcuna operazione se si usa una di queste versioni di Windows.

  • Il computer non è vulnerabile al worm Blaster se è stato installato Windows XP Service Pack 2 o Update Rollup 1 per Windows 2000 Service Pack 4. L'aggiornamento della sicurezza 824146 è incluso in questi Service Pack. Non è necessario eseguire altre operazioni se sono stati installati questi Service Pack. Per altre informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

    322389 Come ottenere l'ultimo Service Pack di Windows XP.

Sintomi di infezione

Se il computer è infettato da questo worm, non si possono riscontrare sintomi o si può riscontrare uno dei seguenti sintomi:

  • È possibile che vengano visualizzati i messaggi di errore seguenti:

    Il servizio RPC (Remote Procedure Call) è terminato in modo imprevisto.
    Il sistema si sta arrestando. Salvare tutto il lavoro in corso e disconnettersi.
    Eventuali modifiche non salvate andranno perse.
    Questo arresto è stato avviato da NT AUTHORITY\SYSTEM.

  • Il computer può arrestarsi o riavviarlo ripetutamente a intervalli casuali.

  • In un computer basato su Windows XP o su un computer basato su Windows Server 2003, potrebbe essere visualizzata una finestra di dialogo che consente di segnalare il problema a Microsoft.

  • Se si usa Windows 2000 o Windows NT, è possibile che venga visualizzato un messaggio di errore Stop.

  • È possibile trovare un file denominato Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll o Yuetyutr.dll nella cartella Windows\System32.

  • Nel computer potrebbero essere presenti file TFTP* insoliti.

Dettagli tecnici

Per informazioni tecniche sulle modifiche apportate da questo worm al computer, contattare il fornitore del software antivirus.

Per rilevare questo virus, cercare un file denominato Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll o Yuetyutr.dll nella cartella Windows\System32 oppure scaricare la firma software antivirus più recente dal fornitore dell'antivirus e quindi analizzare il computer.

Per cercare questi file:

  1. Fare clic su Start, fare clic su Esegui, digitare cmd nella casella Apri e quindi fare clic su OK.

  2. Al prompt dei comandi digitare dir %systemroot%\system32\filename.ext /a /se quindi premere INVIO, dove filename.ext è Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll o Yuetyutr.dll.

    Nota

    Ripetere il passaggio 2 per ognuno di questi nomi di file: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll e Yuetyutr.dll. Se si trova uno di questi file, il computer potrebbe essere infettato con il worm. Se si trova uno di questi file, eliminare il file e quindi seguire la procedura descritta nella sezione "Ripristino" di questo articolo. Per eliminare il file, digitare del %systemroot%\system32\filename.ext /a al prompt dei comandi e quindi premere INVIO.

Prevenzione

Per impedire a questo virus di infettare il computer, seguire questa procedura:

  1. Attivare la funzionalità Firewall connessione Internet (ICF) in Windows XP, Windows Server 2003, Standard Edition e in Windows Server 2003, edizione Enterprise oppure usare Firewall di base, Microsoft Internet Security and Acceleration (ISA) Server 2000 o un firewall di terze parti per bloccare le porte TCP 135, 139, 445 e 593; Porte UDP 69 (TFTP), 135, 137 e 138; e la porta TCP 4444 per la shell dei comandi remoti.

    Per attivare l'ICF in Windows XP o Windows Server 2003, seguire questa procedura:

    1. Fare clic sul pulsante Start e quindi scegliere Pannello di controllo.
    2. In Pannello di controllo fare doppio clic su Rete e Connections Internet, quindi fare clic su Rete Connections.
    3. Fare clic con il pulsante destro del mouse sulla connessione in cui si vuole attivare Firewall connessione Internet e quindi scegliere Proprietà.
    4. Fare clic sulla scheda Avanzate e quindi selezionare la casella di controllo Proteggi il computer o la rete limitando o impedendo l'accesso al computer da Internet .

    Nota

    Alcune connessioni remote potrebbero non essere visualizzate nelle cartelle Connessione di rete. Ad esempio, le connessioni remote AOL e MSN potrebbero non essere visualizzate. In alcuni casi, è possibile usare la procedura seguente per attivare ICF per una connessione che non viene visualizzata nella cartella Connessione di rete. Se questi passaggi non funzionano, contattare il provider di servizi Internet (ISP) per informazioni su come eseguire il firewall della connessione Internet.

    1. Avviare Internet Explorer.
    2. Scegliere Opzioni Internet dal menu Strumenti.
    3. Fare clic sulla scheda Connections, fare clic sulla connessione di accesso automatico usata per connettersi a Internet e quindi fare clic su Impostazioni.
    4. Nell'area Impostazioni di accesso automatico fare clic su Proprietà.
    5. Fare clic sulla scheda Avanzate e quindi selezionare la casella di controllo Proteggi il computer o la rete limitando o impedendo l'accesso al computer da Internet .

    Per altre informazioni su come attivare Firewall connessione Internet in Windows XP o in Windows Server 2003, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente:

    283673 Come attivare o disattivare il firewall in Windows XP

    Nota

    ICF è disponibile solo in Windows XP, Windows Server 2003, Standard Edition e Windows Server 2003, edizione Enterprise. Firewall di base è un componente di Routing e Accesso remoto che è possibile abilitare per qualsiasi interfaccia pubblica in un computer che esegue sia Routing che Accesso remoto e un membro della famiglia Windows Server 2003.

  2. Questo worm usa una vulnerabilità annunciata in precedenza come parte del metodo di infezione. Per questo motivo, è necessario assicurarsi di aver installato la patch di sicurezza 823980 in tutti i computer per risolvere la vulnerabilità identificata nel Bollettino microsoft sulla sicurezza MS03-026. La patch di sicurezza 824146 sostituisce la patch di sicurezza 823980. Microsoft consiglia di installare la patch di sicurezza 824146 che include anche correzioni per i problemi risolti nel bollettino microsoft sulla sicurezza MS03-026 (823980).

  3. Usare la firma di rilevamento dei virus più recente del fornitore dell'antivirus per rilevare nuovi virus e le relative varianti.

Ripristino

Le procedure consigliate per la sicurezza suggeriscono di eseguire un'installazione "pulita" completa in un computer compromesso in precedenza per rimuovere eventuali exploit non individuati che possono portare a una futura compromissione. Per altre informazioni, visitare il sito Web Cert Advisory seguente:

Passaggi per il ripristino da una compromissione del sistema UNIX o NT.

Tuttavia, molte aziende antivirus hanno scritto strumenti per rimuovere l'exploit noto che è associato a questo particolare worm. Per scaricare lo strumento di rimozione dal fornitore dell'antivirus, usare le procedure seguenti a seconda del sistema operativo.

Ripristino per Windows XP, Windows Server 2003, Standard Edition e Windows Server 2003, edizione Enterprise

  1. Attivare la funzionalità Firewall connessione Internet (ICF) in Windows XP, Windows Server 2003, Standard Edition e Windows Server 2003, edizione Enterprise oppure usare Firewall di base, Microsoft Internet Security and Acceleration (ISA) Server 2000 o un firewall di terze parti.

    Per attivare ICF, seguire questa procedura:

    1. Fare clic sul pulsante Start e quindi scegliere Pannello di controllo.
    2. In Pannello di controllo fare doppio clic su Rete e Connections Internet, quindi fare clic su Rete Connections.
    3. Fare clic con il pulsante destro del mouse sulla connessione in cui si vuole attivare Firewall connessione Internet e quindi scegliere Proprietà.
    4. Fare clic sulla scheda Avanzate e quindi selezionare la casella di controllo Proteggi il computer o la rete limitando o impedendo l'accesso al computer da Internet .

    Nota

    • Se il computer si arresta o si riavvia ripetutamente quando si tenta di seguire questa procedura, disconnettersi da Internet prima di attivare il firewall. Se ci si connette a Internet tramite una connessione a banda larga, individuare il cavo che viene eseguito dal DSL esterno o dal modem via cavo e quindi scollegare il cavo dal modem o dal jack del telefono. Se si utilizza una connessione dial-up, individuare il cavo telefonico che passa dal modem all'interno del computer al jack del telefono e quindi scollegare il cavo dal jack del telefono o dal computer. Se non è possibile disconnettersi da Internet, digitare la riga seguente al prompt dei comandi per configurare RPCSS per non riavviare il computer quando il servizio ha esito negativo: sc failure rpcss reset= 0 actions= restart.

      Per reimpostare l'impostazione di ripristino predefinita di RPCSS dopo aver completato questi passaggi, digitare la riga seguente al prompt dei comandi: sc failure rpcss reset= 0 actions= reboot/60000.

    • Se si dispone di più computer che condividono una connessione Internet, usare un firewall solo nel computer connesso direttamente a Internet. Non usare un firewall negli altri computer che condividono la connessione Internet. Se si esegue Windows XP, usare l'Installazione guidata rete per attivare ICF.

    • L'uso di un firewall non deve influire sul servizio di posta elettronica o sull'esplorazione Web, ma un firewall può disabilitare alcuni software, servizi o funzionalità Internet. Se si verifica questo comportamento, potrebbe essere necessario aprire alcune porte nel firewall per consentire il funzionamento di alcune funzionalità Internet. Vedere la documentazione inclusa nel servizio Internet che non funziona per determinare quali porte è necessario aprire. Vedere la documentazione inclusa nel firewall per determinare come aprire queste porte.

    • In alcuni casi, è possibile usare la procedura seguente per attivare ICF per una connessione che non viene visualizzata nella cartella Network Connections. Se questi passaggi non funzionano, contattare il provider di servizi Internet (ISP) per informazioni su come eseguire il firewall della connessione Internet.

      1. Avviare Internet Explorer.
      2. Scegliere Opzioni Internet dal menu Strumenti.
      3. Fare clic sulla scheda Connections, fare clic sulla connessione di accesso automatico usata per connettersi a Internet e quindi fare clic su Impostazioni.
      4. Nell'area Impostazioni di accesso automatico fare clic su Proprietà.
      5. Fare clic sulla scheda Avanzate e quindi selezionare la casella di controllo Proteggi il computer o la rete limitando o impedendo l'accesso al computer da Internet .

    Per altre informazioni su come attivare Firewall connessione Internet in Windows XP o in Windows Server 2003, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente:

    283673 Come attivare o disattivare il firewall in Windows XP

    Nota

    ICF è disponibile solo in Windows XP, Windows Server 2003, Standard Edition e Windows Server 2003, edizione Enterprise. Firewall di base è un componente di Routing e Accesso remoto che è possibile abilitare per qualsiasi interfaccia pubblica in un computer che esegue Routing e Accesso remoto ed è membro della famiglia Windows Server 2003.

  2. Scaricare la patch di sicurezza 824146 e quindi installarla in tutti i computer per risolvere la vulnerabilità identificata nei bollettini microsoft sulla sicurezza MS03-026 e MS03-039.

    Nota

    Che la patch di sicurezza 824146 sostituisce la patch di sicurezza 823980. Microsoft consiglia di installare la patch di sicurezza 824146 che include anche correzioni per i problemi risolti nel Bollettino microsoft sulla sicurezza MS03-026 (823980).

  3. Installare o aggiornare il software di firma antivirus ed eseguire un'analisi completa del sistema.

  4. Scaricare ed eseguire lo strumento di rimozione dei worm dal fornitore dell'antivirus.

Ripristino per Windows 2000 e Windows NT 4.0

La funzionalità Firewall connessione Internet non è disponibile in Windows 2000 o Windows NT 4.0. Se Microsoft Internet Security and Acceleration (ISA) Server 2000 o un firewall di terze parti non è disponibile per bloccare le porte TCP 135, 139, 445 e 593, le porte UDP 69 (TFTP), 135, 137 e 138 e la porta TCP 4444 per la shell dei comandi remota, seguire questa procedura per bloccare le porte interessate per le connessioni LAN (Local Area Network). Il filtro TCP/IP non è disponibile per le connessioni remote. Se si usa una connessione di accesso automatico per connettersi a Internet, è necessario abilitare un firewall.

  1. Configurare la sicurezza TCP/IP. A tale scopo, usare la procedura per il sistema operativo.

    Windows 2000

    1. In Pannello di controllo fare doppio clic su Rete e accesso Connections.

    2. Fare clic con il pulsante destro del mouse sull'interfaccia usata per accedere a Internet e quindi scegliere Proprietà.

    3. Nella casella Componenti selezionati vengono usati da questa connessione fare clic su Protocollo Internet (TCP/IP) e quindi fare clic su Proprietà.

    4. Nella finestra di dialogo Proprietà protocollo Internet (TCP/IP) fare clic su Avanzate.

    5. Fare clic sulla scheda Opzioni .

    6. Fare clic su Filtro TCP/IP e quindi su Proprietà.

    7. Fare clic per selezionare la casella di controllo Abilita filtro TCP/IP (tutte le schede).

    8. Sono disponibili tre colonne con le etichette seguenti:

      • Porte TCP
      • Porte UDP
      • Protocolli IP

      In ogni colonna fare clic sull'opzione Consenti solo .

    9. Fare clic su OK.

    Nota

    • Se il computer si arresta o si riavvia ripetutamente quando si tenta di seguire questa procedura, disconnettersi da Internet prima di attivare il firewall. Se ci si connette a Internet tramite una connessione a banda larga, individuare il cavo che viene eseguito dal DSL esterno o dal modem via cavo e quindi scollegare il cavo dal modem o dal jack del telefono. Se si utilizza una connessione dial-up, individuare il cavo telefonico che passa dal modem all'interno del computer al jack del telefono e quindi scollegare il cavo dal jack del telefono o dal computer.
    • Se si dispone di più computer che condividono una connessione Internet, usare un firewall solo nel computer connesso direttamente a Internet. Non usare un firewall negli altri computer che condividono la connessione Internet.
    • L'uso di un firewall non deve influire sul servizio di posta elettronica o sull'esplorazione Web, ma un firewall può disabilitare alcuni software, servizi o funzionalità Internet. Se si verifica questo comportamento, potrebbe essere necessario aprire alcune porte nel firewall per consentire il funzionamento di alcune funzionalità Internet. Vedere la documentazione inclusa nel servizio Internet che non funziona per determinare quali porte è necessario aprire. Vedere la documentazione inclusa nel firewall per determinare come aprire queste porte.
    • Questi passaggi sono basati su un estratto modificato dell'articolo della Microsoft Knowledge Base 309798.

    Windows NT 4.0

    1. In Pannello di controllo fare doppio clic su Rete.
    2. Fare clic sulla scheda Protocollo , scegliere Protocollo TCP/IP e quindi fare clic su Proprietà.
    3. Fare clic sulla scheda Indirizzo IP e quindi su Avanzate.
    4. Fare clic per selezionare la casella di controllo Abilita sicurezza e quindi fare clic su Configura.
    5. Nelle colonne Porte TCP, Porte UDP e Protocolli IP fare clic per selezionare l'impostazione Consenti solo .
    6. Fare clic su OK e quindi chiudere lo strumento Rete.

  2. Scaricare la patch di sicurezza 824146 e quindi installarla in tutti i computer per risolvere la vulnerabilità identificata nei bollettini microsoft sulla sicurezza MS03-026 e MS03-039.

    La patch di sicurezza 824146 sostituisce la patch di sicurezza 823980. Microsoft consiglia di installare la patch di sicurezza 824146 che include anche correzioni per i problemi risolti nel Bollettino microsoft sulla sicurezza MS03-026 (823980).

  3. Installare o aggiornare il software di firma antivirus ed eseguire un'analisi completa del sistema.

  4. Scaricare ed eseguire lo strumento di rimozione dei worm dal fornitore dell'antivirus.

Per ulteriori dettagli tecnici sul worm Blaster dai fornitori di software antivirus che partecipano a Microsoft Virus Information Alliance (VIA), visitare uno dei seguenti siti Web di terze parti:

Nota

Se non è necessario usare il filtro TCP, potrebbe essere necessario disabilitare il filtro TCP dopo aver applicato la correzione descritta in questo articolo e aver verificato di aver rimosso correttamente il worm.

Per altri dettagli tecnici sulle varianti note del worm Blaster, visitare i seguenti siti Web Symantec:

W32. Randex.E: Nstask32.exe, Winlogin.exe, Win32sockdrv.dll e Yyuetyutr.dll

Centro sicurezza Symantec.

Per altre informazioni su Microsoft Virus Information Alliance, visitare il seguente sito Web Microsoft:

Microsoft Security Response Center.

Per altre informazioni su come eseguire il ripristino da questo worm, contattare il fornitore dell'antivirus.

Microsoft fornisce informazioni di contatto di terze parti allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce la precisione delle informazioni di contatto di terzi.

Riferimenti

Per le informazioni più aggiornate di Microsoft su questo worm, visitare Intelligence di sicurezza Microsoft per le risorse e gli strumenti per mantenere il PC sicuro e integro. Se si verificano problemi con l'installazione dell'aggiornamento stesso, visitare supporto per Microsoft Update per risorse e strumenti per mantenere aggiornato il PC con gli aggiornamenti più recenti.