Alerta de vírus sobre o worm do Blaster e suas variantes

  • Artigo

Este artigo descreve o alerta de vírus sobre o worm do Blaster e suas variantes e contém informações sobre como prevenir e se recuperar de uma infecção do worm Blaster e suas variantes.

Aplica-se a: Windows 10 — todas as edições, Windows Server 2012 R2
Número de KB original: 826955

Resumo

Em 11 de agosto de 2003, a Microsoft começou a investigar um worm que foi relatado pelo Microsoft Product Support Services (PSS) e a Equipe de Segurança do Microsoft PSS emitiu um alerta para informar os clientes sobre o novo worm. Um worm é um tipo de vírus de computador que geralmente se espalha sem ação do usuário e que distribui cópias completas (possivelmente modificadas) de si mesmo em redes (como a Internet). Conhecido como "Blaster", este novo worm explora a vulnerabilidade que foi abordada pelo Boletim de Segurança da Microsoft MS03-026 (823980) para se espalhar pelas redes usando portas abertas de RPC (Chamada de Procedimento Remoto) em computadores que estão executando qualquer um dos produtos listados no início deste artigo.

Este artigo contém informações para administradores de rede e profissionais de TI sobre como prevenir e como se recuperar de uma infecção do worm do Blaster e suas variantes. O worm e suas variantes também são conhecidos como W32. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST. A (Trendmicro) e Win32.Posa.Worm (Associados de Computador). Para obter informações adicionais sobre a recuperação desse worm, entre em contato com o fornecedor de software antivírus.

Para obter informações adicionais sobre fornecedores de software antivírus, clique no número do artigo a seguir para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

49500 Lista de fornecedores de software antivírus

Se você for um usuário doméstico, visite o seguinte site da Microsoft para obter etapas para ajudá-lo a proteger seu computador e para recuperar se o computador foi infectado pelo worm do Blaster:

O que é o Microsoft Security Essentials?

Observação

  • Seu computador não estará vulnerável ao worm do Blaster se você instalou o patch de segurança 823980 (MS03-026) antes de 11 de agosto de 2003 (a data em que esse worm foi descoberto). Você não precisa fazer mais nada se instalou o patch de segurança 823980 (MS03-026) antes de 11 de agosto de 2003.

  • A Microsoft testou Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP e Windows Server 2003 para avaliar se eles são afetados pelas vulnerabilidades abordadas pelo Boletim de Segurança da Microsoft MS03-026 (823980). O Windows Millennium Edition não inclui os recursos associados a essas vulnerabilidades. As versões anteriores não têm mais suporte e podem ou não ser afetadas por essas vulnerabilidades. Para obter informações adicionais sobre o ciclo de vida Suporte da Microsoft, visite o seguinte site da Microsoft:

    Pesquise Informações sobre ciclo de vida de produtos e serviços.

    Os recursos associados a essas vulnerabilidades também não estão incluídos no Windows 95, Windows 98 ou Windows 98 Second Edition, mesmo que o DCOM esteja instalado. Você não precisa fazer nada se estiver usando nenhuma dessas versões do Windows.

  • Seu computador não estará vulnerável ao worm do Blaster se você instalou o Pacote de Serviços do Windows XP 2 ou Atualizar o Rollup 1 para o Windows 2000 Service Pack 4. A atualização de segurança 824146 está incluída nesses service packs. Você não precisa fazer mais nada se instalou esses service packs. Para obter mais informações, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

    322389 Como obter o pacote de serviços mais recente do Windows XP.

Sintomas de infecção

Se o computador estiver infectado com esse verme, você pode não ter sintomas ou pode ter qualquer um dos seguintes sintomas:

  • Você pode receber as seguintes mensagens de erro:

    O serviço RPC (Chamada de Procedimento Remoto) foi encerrado inesperadamente.
    O sistema está sendo desligado. Salve todo o trabalho em andamento e faça logon.
    Quaisquer alterações não salvas serão perdidas.
    Esse desligamento foi iniciado pelo NT AUTHORITY\SYSTEM.

  • O computador pode desligar ou reiniciar repetidamente em intervalos aleatórios.

  • Em um computador baseado no Windows XP ou em um computador baseado no Windows Server 2003, pode ser exibida uma caixa de diálogo que oferece a opção de relatar o problema à Microsoft.

  • Se você estiver usando o Windows 2000 ou Windows NT, poderá receber uma mensagem de erro Parar.

  • Você pode encontrar um arquivo chamado Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll na pasta Windows\System32.

  • Você pode encontrar arquivos TFTP* incomuns em seu computador.

Detalhes técnicos

Para obter detalhes técnicos sobre as alterações que esse worm faz no computador, entre em contato com o fornecedor de software antivírus.

Para detectar esse vírus, pesquise um arquivo chamado Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll na pasta Windows\System32 ou baixe a assinatura de software antivírus mais recente do fornecedor de antivírus e examine seu computador.

Para pesquisar esses arquivos:

  1. Clique em Iniciar, clique em Executar, digite cmd na caixa Abrir e clique em OK.

  2. No prompt de comando, digite dir %systemroot%\system32\filename.ext /a /se pressione ENTER, em que filename.ext está Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll.

    Observação

    Repita a etapa 2 para cada um desses nomes de arquivo: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll e Yuetyutr.dll. Se você encontrar algum desses arquivos, seu computador poderá estar infectado com o worm. Se você encontrar um desses arquivos, exclua o arquivo e siga as etapas na seção "Recuperação" deste artigo. Para excluir o arquivo, digite del %systemroot%\system32\filename.ext /a no prompt de comando e pressione ENTER.

Prevenção

Para evitar que esse vírus infecte seu computador, siga estas etapas:

  1. Ative o recurso de Firewall de Conexão da Internet (ICF) no Windows XP, Windows Server 2003, Standard Edition e no Windows Server 2003, Edição Enterprise; ou use Firewall Básico, ISA (Segurança e Aceleração da Internet) Microsoft (ISA) Server 2000 ou um firewall de terceiros para bloquear as portas TCP 135, 139, 445 e 593; Portas UDP 69 (TFTP), 135, 137 e 138; e a porta TCP 4444 para shell de comando remoto.

    Para ativar o ICF no Windows XP ou no Windows Server 2003, siga estas etapas:

    1. Clique em Iniciar e depois em Painel de Controle.
    2. Em Painel de Controle, clique duas vezes em Rede e Connections da Internet e clique em Rede Connections.
    3. Clique com o botão direito do mouse na conexão em que você deseja ativar o Firewall de Conexão da Internet e clique em Propriedades.
    4. Clique na guia Avançado e clique para selecionar a caixa Proteger meu computador ou rede limitando ou impedindo o acesso a esse computador na caixa marcar da Internet.

    Observação

    Algumas conexões discadas podem não aparecer nas pastas Conexão de Rede. Por exemplo, as conexões discadas AOL e MSN podem não aparecer. Em alguns casos, você pode usar as etapas a seguir para ativar o ICF para uma conexão que não aparece na pasta Conexão de Rede. Se essas etapas não funcionarem, entre em contato com seu PROVEDOR de Serviços de Internet (ISP) para obter informações sobre como fazer firewall da conexão com a Internet.

    1. Iniciar Explorer da Internet.
    2. No menu Ferramentas, clique em Opções da Internet.
    3. Clique na guia Connections, clique na conexão discada que você usa para se conectar à Internet e clique em Configurações.
    4. Na área Configurações de discagem , clique em Propriedades.
    5. Clique na guia Avançado e clique para selecionar a caixa Proteger meu computador ou rede limitando ou impedindo o acesso a esse computador na caixa marcar da Internet.

    Para obter mais informações sobre como ativar o Firewall de Conexão da Internet no Windows XP ou no Windows Server 2003, clique no número do artigo a seguir para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

    283673 Como ativar ou desativar o firewall no Windows XP

    Observação

    O ICF só está disponível no Windows XP, Windows Server 2003, Standard Edition e Windows Server 2003, Edição Enterprise. O Firewall Básico é um componente do Roteamento e do Acesso Remoto que você pode habilitar para qualquer interface pública em um computador que esteja executando o Roteamento e o Acesso Remoto e um membro da família Windows Server 2003.

  2. Esse worm usa uma vulnerabilidade anunciada anteriormente como parte de seu método de infecção. Por isso, você deve ter certeza de que instalou o patch de segurança 823980 em todos os computadores para resolver a vulnerabilidade identificada no Boletim de Segurança da Microsoft MS03-026. O patch de segurança 824146 substitui o patch de segurança 823980. A Microsoft recomenda que você instale o patch de segurança 824146 que também inclui correções para os problemas que são resolvidos no Boletim de Segurança da Microsoft MS03-026 (823980).

  3. Use a assinatura mais recente de detecção de vírus do fornecedor antivírus para detectar novos vírus e suas variantes.

Recuperação

As melhores práticas de segurança sugerem que você executa uma instalação completa de "limpo" em um computador previamente comprometido para remover quaisquer explorações desconhecidas que possam levar a um compromisso futuro. Para obter informações adicionais, visite o seguinte site da Consultoria do Cert:

Etapas para recuperação de um compromisso do sistema UNIX ou NT.

No entanto, muitas empresas antivírus escreveram ferramentas para remover a exploração conhecida associada a esse worm específico. Para baixar a ferramenta de remoção do fornecedor de antivírus, use os procedimentos a seguir, dependendo do sistema operacional.

Recuperação para Windows XP, Windows Server 2003, Standard Edition e Windows Server 2003, Edição Enterprise

  1. Ative o recurso de Firewall de Conexão da Internet (ICF) no Windows XP, Windows Server 2003, Standard Edition e Windows Server 2003, Edição Enterprise; ou use Firewall Básico, ISA (Segurança e Aceleração da Internet) Microsoft Server 2000 ou um firewall de terceiros.

    Para ativar o ICF, siga estas etapas:

    1. Clique em Iniciar e depois em Painel de Controle.
    2. Em Painel de Controle, clique duas vezes em Rede e Connections da Internet e clique em Rede Connections.
    3. Clique com o botão direito do mouse na conexão em que você deseja ativar o Firewall de Conexão da Internet e clique em Propriedades.
    4. Clique na guia Avançado e clique para selecionar a caixa Proteger meu computador ou rede limitando ou impedindo o acesso a esse computador na caixa marcar da Internet.

    Observação

    • Se o computador desligar ou reiniciar repetidamente quando você tentar seguir essas etapas, desconecte-se da Internet antes de ativar o firewall. Se você se conectar à Internet por meio de uma conexão de banda larga, localize o cabo que é executado do DSL externo ou do modem de cabo e desconecte esse cabo do modem ou da tomada telefônica. Se você usar uma conexão discada, localize o cabo telefônico que é executado do modem dentro do computador até a tomada telefônica e desconecte esse cabo da tomada telefônica ou do computador. Se você não puder se desconectar da Internet, digite a seguinte linha no prompt de comando para configurar o RPCSS para não reiniciar seu computador quando o serviço falhar: sc failure rpcss reset= 0 actions= restart.

      Para redefinir o RPCSS para a configuração de recuperação padrão depois de concluir estas etapas, digite a seguinte linha no prompt de comando: sc failure rpcss reset= 0 actions= reboot/60000.

    • Se você tiver mais de um computador compartilhando uma conexão com a Internet, use um firewall somente no computador que esteja diretamente conectado à Internet. Não use um firewall nos outros computadores que compartilham a conexão com a Internet. Se você estiver executando o Windows XP, use o Assistente de Instalação de Rede para ativar o ICF.

    • O uso de um firewall não deve afetar seu serviço de email ou navegação na Web, mas um firewall pode desabilitar alguns softwares, serviços ou recursos da Internet. Se esse comportamento ocorrer, talvez seja necessário abrir algumas portas no firewall para que algum recurso da Internet funcione. Confira a documentação incluída no serviço de Internet que não está funcionando para determinar quais portas você deve abrir. Consulte a documentação incluída no firewall para determinar como abrir essas portas.

    • Em alguns casos, você pode usar as etapas a seguir para ativar o ICF para uma conexão que não aparece na pasta Rede Connections. Se essas etapas não funcionarem, entre em contato com seu PROVEDOR de Serviços de Internet (ISP) para obter informações sobre como fazer firewall da conexão com a Internet.

      1. Iniciar Explorer da Internet.
      2. No menu Ferramentas, clique em Opções da Internet.
      3. Clique na guia Connections, clique na conexão discada que você usa para se conectar à Internet e clique em Configurações.
      4. Na área Configurações de discagem , clique em Propriedades.
      5. Clique na guia Avançado e clique para selecionar a caixa Proteger meu computador ou rede limitando ou impedindo o acesso a esse computador na caixa marcar da Internet.

    Para obter mais informações sobre como ativar o Firewall de Conexão da Internet no Windows XP ou no Windows Server 2003, clique no número do artigo a seguir para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

    283673 Como ativar ou desativar o firewall no Windows XP

    Observação

    O ICF só está disponível no Windows XP, Windows Server 2003, Standard Edition e Windows Server 2003, Edição Enterprise. O Firewall Básico é um componente de Roteamento e Acesso Remoto que você pode habilitar para qualquer interface pública em um computador que está executando Roteamento e Acesso Remoto e é membro da família Windows Server 2003.

  2. Baixe o patch de segurança 824146 e instale-o em todos os computadores para resolver a vulnerabilidade identificada nos Boletins de Segurança da Microsoft MS03-026 e MS03-039.

    Observação

    Que o patch de segurança 824146 substitui o patch de segurança 823980. A Microsoft recomenda que você instale o patch de segurança 824146 que também inclui correções para os problemas resolvidos no Boletim de Segurança da Microsoft MS03-026 (823980).

  3. Instale ou atualize seu software de assinatura antivírus e execute uma verificação completa do sistema.

  4. Baixe e execute a ferramenta de remoção de vermes do fornecedor de antivírus.

Recuperação para Windows 2000 e Windows NT 4.0

O recurso Firewall de Conexão da Internet não está disponível no Windows 2000 ou Windows NT 4.0. Se o ISA (Microsoft Internet Security and Acceleration) Server 2000 ou um firewall de terceiros não estiver disponível para bloquear as portas TCP 135, 139, 445 e 593, portas UDP 69 (TFTP), 135, 137 e 138 e porta TCP 4444 para shell de comando remoto, siga estas etapas para ajudar a bloquear as portas afetadas para conexões LAN (rede de área local). A filtragem TCP/IP não está disponível para conexões discadas. Se você estiver usando uma conexão Discada para se conectar à Internet, você deverá habilitar um firewall.

  1. Configurar a segurança TCP/IP. Para fazer isso, use o procedimento para seu sistema operacional.

    Windows 2000

    1. Em Painel de Controle, clique duas vezes em Rede e discar Connections.

    2. Clique com o botão direito do mouse na interface que você usa para acessar a Internet e clique em Propriedades.

    3. Na caixa Componentes verificados, clique emProtocolo de Internet (TCP/IP) e clique em Propriedades.

    4. Na caixa de diálogo Propriedades do Protocolo de Internet (TCP/IP), clique em Avançado.

    5. Clique na guia Opções .

    6. Clique em Filtragem de TCP/IP e clique em Propriedades.

    7. Clique para selecionar a caixa Habilitar filtragem TCP/IP (Todos os adaptadores) marcar.

    8. Há três colunas com os seguintes rótulos:

      • Portas TCP
      • Portas UDP
      • Protocolos IP

      Em cada coluna, clique na opção Permitir Somente .

    9. Clique em OK.

    Observação

    • Se o computador desligar ou reiniciar repetidamente quando você tentar seguir essas etapas, desconecte-se da Internet antes de ativar o firewall. Se você se conectar à Internet por meio de uma conexão de banda larga, localize o cabo que é executado do DSL externo ou do modem de cabo e desconecte esse cabo do modem ou da tomada telefônica. Se você usar uma conexão discada, localize o cabo telefônico que é executado do modem dentro do computador até a tomada telefônica e desconecte esse cabo da tomada telefônica ou do computador.
    • Se você tiver mais de um computador compartilhando uma conexão com a Internet, use um firewall somente no computador que esteja diretamente conectado à Internet. Não use um firewall nos outros computadores que compartilham a conexão com a Internet.
    • O uso de um firewall não deve afetar seu serviço de email ou navegação na Web, mas um firewall pode desabilitar alguns softwares, serviços ou recursos da Internet. Se esse comportamento ocorrer, talvez seja necessário abrir algumas portas no firewall para que algum recurso da Internet funcione. Confira a documentação incluída no serviço de Internet que não está funcionando para determinar quais portas você deve abrir. Consulte a documentação incluída no firewall para determinar como abrir essas portas.
    • Essas etapas são baseadas em um trecho modificado do artigo da Base de Dados de Conhecimento da Microsoft 309798.

    Windows NT 4.0

    1. Em Painel de Controle, clique duas vezes em Rede.
    2. Clique na guia Protocolo , clique em Protocolo TCP/IP e clique em Propriedades.
    3. Clique na guia Endereço IP e clique em Avançado.
    4. Clique para selecionar a caixa Habilitar segurança marcar e clique em Configurar.
    5. Nas colunas Portas TCP, Portas UDP e Protocolos IP , clique para selecionar a configuração Somente Permissão .
    6. Clique em OK e feche a ferramenta Rede.

  2. Baixe o patch de segurança 824146 e instale-o em todos os computadores para resolver a vulnerabilidade identificada nos Boletins de Segurança da Microsoft MS03-026 e MS03-039.

    O patch de segurança 824146 substitui o patch de segurança 823980. A Microsoft recomenda que você instale o patch de segurança 824146 que também inclui correções para os problemas resolvidos no Boletim de Segurança da Microsoft MS03-026 (823980).

  3. Instale ou atualize seu software de assinatura antivírus e execute uma verificação completa do sistema.

  4. Baixe e execute a ferramenta de remoção de vermes do fornecedor de antivírus.

Para obter detalhes técnicos adicionais sobre o worm do Blaster de fornecedores de software antivírus que estão participando da Microsoft Virus Information Alliance (VIA), visite qualquer um dos seguintes sites de terceiros:

Observação

Se você não precisar usar a filtragem TCP, talvez queira desabilitar a filtragem TCP depois de aplicar a correção descrita neste artigo e verificar se você removeu o worm com êxito.

Para obter detalhes técnicos adicionais sobre variantes conhecidas do worm do Blaster, visite os seguintes sites da Symantec:

W32. Randex.E: Nstask32.exe, Winlogin.exe, Win32sockdrv.dll e Yyuetyutr.dll

Central de Segurança Symantec.

Para obter mais informações sobre a Microsoft Virus Information Alliance, visite o seguinte site da Microsoft:

Centro de Resposta à Segurança da Microsoft.

Para obter informações adicionais sobre como se recuperar desse worm, entre em contato com o fornecedor de antivírus.

A Microsoft fornece informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações para contato com outras empresas.

Referências

Para obter as informações mais atuais da Microsoft sobre esse worm, visite Inteligência de Segurança da Microsoft para obter recursos e ferramentas para manter seu computador seguro e saudável. Se você estiver tendo problemas com a instalação da atualização em si, visite Suporte ao Microsoft Update para obter recursos e ferramentas para manter seu computador atualizado com as atualizações mais recentes.