Virusvarning för masken Blaster med varianter

Sammanfattning

Den 11 augusti 2003 började Microsoft undersöka en mask som rapporterats av Microsoft Product Support Services (PSS). Microsoft PSS Security Team publicerade en varning om den nya masken. En mask är ett slags datavirus som i allmänhet sprids utan några åtgärder från användaren och som skickar fullständiga kopior (eventuellt modifierade) av sig själv via nätverk (som Internet). Denna nya mask, som vanligen kallas "Blaster", utnyttjar det säkerhetsproblem som beskrevs i säkerhetsbulletin MS03-026 (823980) för att sprida sig i nätverk med hjälp av öppna RPC-portar (Remote Procedure Call) på datorer med produkterna som nämns i början av denna artikel.

Denna artikel innehåller information för nätverksadministratörer och IT-proffs om förebyggande åtgärder samt åtgärder om datorn infekteras av masken Blaster med varianter. Masken och dess varianter går också under beteckningen W32.Blaster.Worm, W32.Blaster.C.Worm, W32.Blaster.B.Worm, W32.Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro) och Win32.Posa.Worm (Computer Associates). Ytterligare information om hur datorn återställs från denna mask kan erhållas från leverantören av antivirusprogrammet.
Om du vill veta mer om leverantörer av antivirusprogram klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
49500 Lista över leverantörer av antivirusprogram

På följande Microsoft-webbplats finns information för hemanvändare om hur du skyddar din dator och återställer den om den har infekterats av Blaster: Om du vill veta mer om en mask som liknar Blaster och utnyttjar säkerhetsproblemen som beskrivs i Microsoft-säkerhetsbulletinerna MS03-026 (823980) och MS03-007 (815021), klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
826234 Virusvarning för masken Nachi

Obs!

 • Datorn kan inte angripas av masken Blaster om säkerhetskorrigering 823980 (MS03-026) har installerats före den 11 augusti 2003 (det datum då masken upptäcktes). Du behöver inte göra någonting ytterligare om du har installerat säkerhetskorrigering 823980 (MS03-026) före den 11 augusti 2003.
 • Microsoft har kontrollerat om Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP och Windows Server 2003 berörs av säkerhetsproblemen som beskrivs i Microsoft-säkerhetsbulletin MS03-026 (823980). Funktionerna som berörs av säkerhetsproblemen finns inte i Windows Millennium Edition. Tidigare versioner stöds inte längre och kan eventuellt påverkas av dessa säkerhetsproblem. Ytterligare information om Microsofts supportlivscykel finns på följande Microsoft-webbplats: Funktionerna som berörs av dessa säkerhetsproblem ingår inte heller i Windows 95, Windows 98 eller Windows 98, andra utgåvan, även om DCOM är installerat. Du behöver inte göra någonting ytterligare om du använder någon av dessa Windows-versioner.
 • Datorn kan inte angripas av masken Blaster om om du har installerat Windows XP Service Pack 2 eller samlad uppdatering 1 för Windows 2000 Service Pack 4. Säkerhetsuppdateringen 824146 ingår i dessa Service Pack-uppdateringar. Du behöver inte vidta ytterligare åtgärder om du har installerat någon av dessa Service Pack-utgåvor.
  Om du vill veta mer klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
  322389 Skaffa den senaste Service Pack-versionen för Windows XP

  891861 Samlad uppdatering 1 för Windows 2000 SP4 och kända problem

Mer Information

Symptom

Om datorn har angripits av denna mask märker du kanske ingenting alls, eller så kan följande inträffa:
 • Följande felmeddelanden kan visas:
  RPC-tjänsten avslutades oväntat.
  Systemet håller på att stängas av. Spara allt som du för tillfället arbetar med och logga ut.
  Alla ändringar som inte sparas kommer att förloras.
  Avslutet initierades av NT AUTHORITY\SYSTEM.
 • Datorn stängs av, eller startar om upprepade gånger, med ojämna mellanrum.
 • På en dator med Windows XP eller Windows Server 2003 visas en dialogruta där du kan rapportera problemet till Microsoft.
 • I Windows 2000 och Windows NT visas ett meddelande om att det uppstått ett "Stoppfel".
 • Det finns en fil med namnet Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll eller Yuetyutr.dll i mappen Windows\System32.
 • Det finns ovanliga TFTP*-filer på datorn.

Teknisk information

Leverantören av antivirusprogrammet kan lämna ytterligare teknisk information om ändringarna som görs på datorn genom denna mask.

Identifiera detta virus genom att söka efter en fil med beteckningen Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll eller Yuetyutr.dll i mappen Windows\System32, eller hämta den senaste uppdateringen av antivirusprogrammet från leverantören, och sök sedan igenom datorn.


Så här söker du efter dessa filer:
 1. Klicka på Start, klicka på
  Kör, skriv cmd i rutan
  Öppna och klicka sedan på OK.
 2. Skriv dir %systemroot%\system32\filnamn.ändelse /a /s på kommandoraden och tryck sedan på RETUR, där
  filnamn.ändelse är Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll eller Yuetyutr.dll.

  Obs! Upprepa steg 2 för vart och ett av dessa filnamn: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll och Yuetyutr.dll. Om du hittar någon av dessa filer har datorn kanske angripits av masken. Ta bort filen och följ sedan anvisningarna i "Återställning" i denna artikel. Ta bort filen genom att skriva del %systemroot%\system32\filnamn.ändelse /a
  på kommandoraden, och tryck sedan på RETUR.

Förebyggande åtgärder

Så här förhindrar du att datorn angrips av detta virus:
 1. Aktivera funktionen Brandvägg för Internet-anslutning i Windows XP, Windows Server 2003, Standard Edition, och Windows Server 2003, Enterprise Edition, eller använd Basic Firewall, Microsoft Internet Security and Acceleration (ISA) Server 2000 eller en brandvägg från ett annat företag för att blockera TCP-portarna 135, 139, 445 och 593, UDP-portarna 69 (TFTP), 135, 137 och 138 samt TCP-porten 4444 för fjärrkommandogränssnitt.

  Så här aktiverar du Brandvägg för Internet-anslutning i Windows XP eller Windows Server 2003:
  1. Klicka på Start och sedan på
   Kontrollpanelen.
  2. Dubbelklicka på Nätverks- och Internet-inställningar på Kontrollpanelen, och klicka sedan på
   Nätverksanslutningar.
  3. Högerklicka på den anslutning där Brandvägg för Internet-anslutning ska aktiveras, och klicka sedan på
   Egenskaper.
  4. Klicka på fliken Avancerat, och markera sedan kryssrutan Skydda min dator och mitt nätverk genom att begränsa eller neka åtkomst till den här datorn från Internet.
  Obs! Vissa fjärranslutningar visas kanske inte i mapparna Nätverksanslutning. Detta kan exempelvis vara fallet för AOL- och MSN-fjärranslutningar. I vissa fall kan du aktivera Brandvägg för Internet-anslutning för en anslutning som inte visas i mappen Nätverksanslutning genom följande åtgärder. Om dessa åtgärder inte fungerar kan du kontakta Internet-leverantören för att få information om hur du skyddar Internet-anslutningen med en brandvägg.
  1. Starta Internet Explorer.
  2. Klicka på Internet-alternativ
   Verktyg-menyn.
  3. Klicka på fliken Anslutningar på fjärranslutningen du använder för att ansluta till Internet och sedan på
   Inställningar.
  4. Klicka på Egenskaper i området
   Uppringningsinställningar.
  5. Klicka på fliken Avancerat, och markera sedan kryssrutan Skydda min dator och mitt nätverk genom att begränsa eller neka åtkomst till den här datorn från Internet.
  Om du vill veta mer om hur du aktiverar Brandvägg för Internet-anslutning i Windows XP och Windows Server 2003, klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
  283673 Aktivera och inaktivera brandväggen i Windows XP

  Obs! Brandvägg för Internet-anslutning finns endast i Windows XP, Windows Server 2003, Standard Edition, och Windows Server 2003, Enterprise Edition. Basic Firewall är en del av Routning och fjärråtkomst som kan aktiveras för alla offentliga gränssnitt på en dator med både Routning och fjärråtkomst och Windows Server 2003.
 2. Denna mask utnyttjar ett tidigare beskrivet säkerhetsproblem för att sprida sig. Kontrollera därför att du har installerat säkerhetskorrigering 823980 på alla datorer för att korrigera säkerhetsproblemet som beskrivs i Microsoft-säkerhetsbulletin MS03-026. Säkerhetskorrigering 824146 ersätter säkerhetskorrigering 823980. Microsoft rekommenderar att du installerar säkerhetskorrigering 824146, som också innehåller korrigeringar för problemen som beskrivs i Microsoft-säkerhetsbulletin MS03-026 (823980). Om du vill veta mer om säkerhetskorrigering 824146 klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
  824146 MS03-039: Buffertöverskridning i RPCSS möjliggör körning av skadliga program

  Om du vill veta mer om säkerhetskorrigering 823980 och dess förutsättningar (till exempel en Service Pack-uppdatering för den aktuella Windows-versionen), klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
  823980 MS03-026: Buffertöverskridning i RPC möjliggör körning av kod

  Hämta säkerhetskorrigering 824146 genom att klicka på länken för ditt operativsystem:
 3. Använd den senaste uppdateringen av antivirusprogrammet för att identifiera nya virus och deras varianter.

Återställning

Höga säkerhetsnormer kräver att du genomför en fullständig, "ren" installation på en tidigare påverkad dator för att ta bort all oupptäckt skadlig kod som kan smitta datorn i framtiden. Ytterligare information finns på följande Cert Advisory-webbplats: Många antivirusföretag har skapat verktyg för borttagning av denna mask. Hämta borttagningsverktyget från leverantören av antivirusprogrammet genom följande åtgärder.

Återställning för Windows XP, Windows Server 2003, Standard Edition och Windows Server 2003, Enterprise Edition

 1. Aktivera Brandvägg för Internet-anslutning i Windows XP, Windows Server 2003, Standard Edition, och Windows Server 2003, Enterprise Edition, använd Basic Firewall, Microsoft Internet Security and Acceleration (ISA) Server 2000 eller använd en brandvägg från ett annat företag.

  Så här aktiverar du Brandvägg för Internet-anslutning:
  1. Klicka på Start och sedan på
   Kontrollpanelen.
  2. Dubbelklicka på Nätverks- och Internet-inställningar på Kontrollpanelen, och klicka sedan på
   Nätverksanslutningar.
  3. Högerklicka på den anslutning där Brandvägg för Internet-anslutning ska aktiveras, och klicka sedan på
   Egenskaper.
  4. Klicka på fliken Avancerat, och markera sedan kryssrutan Skydda min dator och mitt nätverk genom att begränsa eller neka åtkomst till den här datorn från Internet.
  Obs!
  • Om datorn stängs av eller startar om upprepade gånger när du försöker utföra dessa åtgärder, kopplar du från Internet-anslutningen innan du aktiverar brandväggen. Om du ansluter till Internet med en bredbandsanslutning letar du upp kabeln från det externa DSL- eller kabelmodemet, och drar sedan ut denna kabel från modemet eller telefonjacket. Om du använder en fjärranslutning letar du upp telefonkabeln som går från modemet inuti datorn till telefonjacket, och drar sedan ut denna kabel från telefonjacket eller datorn. Om det inte går att koppla från Internet skriver du följande kommando i Kommandotolken för att konfigurera RPCSS så att datorn inte startas om när tjänsten inte fungerar:
   sc failure rpcss reset= 0 actions= restart
   Skriv följande kommando vid kommandotolken för att återställa RPCSS till standardinställningen för återställning efter dessa åtgärder:
   sc failure rpcss reset= 0 actions= reboot/60000
  • Om flera datorer delar en Internet-anslutning använder du en brandvägg endast på datorn som är direkt ansluten till Internet. Använd inte en brandvägg på andra datorer som delar Internet-anslutningen. I Windows XP använder du guiden Konfigurera nätverk för att aktivera Brandvägg för Internet-anslutning.
  • Brandväggen bör inte påverka e-post eller Internet-surfning, men den kan inaktivera vissa program, tjänster eller funktioner på Internet. I sådana fall måste du kanske öppna vissa portar i brandväggen för att de aktuella Internet-funktionerna ska fungera. I dokumentationen till Internet-tjänsten som inte fungerar anges vilka portar som måste öppnas. I dokumentationen till brandväggen anges hur dessa portar öppnas.

   Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
   308127 Öppna portar manuellt i Brandvägg för Internet-anslutning i Windows XP

  • I vissa fall kan du med följande åtgärder aktivera Brandvägg för Internet-anslutning för en anslutning som inte visas i mappen Nätverksanslutningar. Om dessa åtgärder inte fungerar kan du kontakta Internet-leverantören för att få information om hur du skyddar Internet-anslutningen med en brandvägg.
   1. Starta Internet Explorer.
   2. Klicka på Internet-alternativ
    Verktyg-menyn.
   3. Klicka på fliken Anslutningar på fjärranslutningen du använder för att ansluta till Internet och sedan på
    Inställningar.
   4. Klicka på Egenskaper i området
    Uppringningsinställningar.
   5. Klicka på fliken Avancerat, och markera sedan kryssrutan Skydda min dator och mitt nätverk genom att begränsa eller neka åtkomst till den här datorn från Internet.
  Om du vill veta mer om hur du aktiverar Brandvägg för Internet-anslutning i Windows XP och Windows Server 2003, klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
  283673 Aktivera och inaktivera brandväggen i Windows XP

  Obs! Brandvägg för Internet-anslutning finns endast i Windows XP, Windows Server 2003, Standard Edition, och Windows Server 2003, Enterprise Edition. Basic Firewall är en komponent i Routning och fjärråtkomst som kan aktiveras för valfritt offentligt gränssnitt på en dator där Routning och fjärråtkomst körs i Windows Server 2003.
 2. Hämta säkerhetskorrigering 824146 och installera den på samtliga datorer för att korrigera säkerhetsproblemet som beskrivs i Microsoft-säkerhetsbulletinerna MS03-026 och MS03-039. Hämta säkerhetskorrigering 824146 genom att klicka på lämplig länk:

  Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition och Windows XP Media Center EditionWindows XP 64-bitarsversion 2002Observera att säkerhetskorrigering 824146 ersätter säkerhetskorrigering 823980. Microsoft rekommenderar att du installerar säkerhetskorrigering 824146, som också innehåller korrigeringar för problemen som beskrivs i Microsoft-säkerhetsbulletin MS03-026 (823980). Om du vill veta mer om säkerhetskorrigering 824146 klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
  824146 MS03-039: Buffertöverskridning i RPCSS möjliggör körning av skadliga program

  Om du vill veta mer om säkerhetskorrigering 823980 klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
  823980 MS03-026: Buffertöverskridning i RPC möjliggör körning av kod

 3. Installera eller uppdatera antivirusprogrammet, och gör sedan en fullständig genomsökning av datorn.
 4. Hämta och kör verktyget för maskborttagning från leverantören av antivirusprogrammet.

Återställning för Windows 2000 och Windows NT 4.0

Funktionen Brandvägg för Internet-anslutning finns inte i Windows 2000 eller Windows NT 4.0. Om du inte har tillgång till Microsoft Internet Security and Acceleration (ISA) Server 2000 eller en brandvägg från ett annat företag för att blockera TCP-portarna 135, 139, 445 och 593, UDP-portarna 69 (TFTP), 135, 137 och 138 samt TCP-port 4444 för fjärrkommandogränssnitt, blockerar du de aktuella portarna för anslutningar till det lokala nätverket. TCP/IP-filtrering är inte tillgängligt för fjärranslutningar. Om du ansluter till Internet med en fjärranslutning bör du aktivera en brandvägg.
 1. Konfigurera TCP/IP-säkerhet. Gör så här:

  Windows 2000
  1. Dubbelklicka på Nätverks- och fjärranslutningar på Kontrollpanelen.
  2. Högerklicka gränssnittet du använder för Internet-åtkomst, och klicka sedan på Egenskaper.
  3. Klicka på Internet Protocol (TCP/IP) i rutan Markerade komponenter används av anslutningen, och klicka sedan på Egenskaper.
  4. Klicka på Avancerat i dialogrutan
   Egenskaper för Internet Protocol (TCP/IP).
  5. Klicka på fliken Alternativ.
  6. Klicka på TCP/IP-filtrering och sedan på Egenskaper.
  7. Markera kryssrutan Aktivera TCP/IP-filtrering (alla kort).
  8. Det finns tre kolumner med följande etiketter:
   • TCP-portar
   • UDP-portar
   • IP-protokoll
   Markera alternativet Tillåt endast.
  9. Klicka på OK.

   Obs!
   • Om datorn stängs av eller startar om upprepade gånger när du försöker utföra dessa åtgärder, kopplar du från Internet-anslutningen innan du aktiverar brandväggen. Om du ansluter till Internet med en bredbandsanslutning letar du upp kabeln från det externa DSL- eller kabelmodemet, och drar sedan ut denna kabel från modemet eller telefonjacket. Om du använder en fjärranslutning letar du upp telefonkabeln som går från modemet inuti datorn till telefonjacket, och drar sedan ut denna kabel från telefonjacket eller datorn.
   • Om flera datorer delar en Internet-anslutning använder du en brandvägg endast på datorn som är direkt ansluten till Internet. Använd inte en brandvägg på andra datorer som delar Internet-anslutningen.
   • Brandväggen bör inte påverka e-post eller Internet-surfning, men den kan inaktivera vissa program, tjänster eller funktioner på Internet. I sådana fall måste du kanske öppna vissa portar i brandväggen för att de aktuella Internet-funktionerna ska fungera. I dokumentationen till Internet-tjänsten som inte fungerar anges vilka portar som måste öppnas. I dokumentationen till brandväggen anges hur dessa portar öppnas.
   • Åtgärderna bygger på ett modifierat utdrag från artikel 309798 i Microsoft Knowledge Base.
    Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    309798 Konfigurera TCP/IP-filtrering i Windows 2000 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

  Windows NT 4.0
  1. Dubbelklicka på Nätverk på Kontrollpanelen.
  2. Klicka på fliken Protokoll,
   TCP/IP Protocol och Egenskaper.
  3. Klicka på fliken IP-adress och sedan på Avancerat.
  4. Markera kryssrutan Aktivera säkerhet och klicka på Konfigurera.
  5. Markera Tillåt endast i kolumnerna
   TCP-portar, UDP-portar och
   IP-protokoll.
  6. Klicka på OK och stäng Nätverk.
 2. Hämta säkerhetskorrigering 824146 och installera den på samtliga datorer för att korrigera säkerhetsproblemet som beskrivs i Microsoft-säkerhetsbulletinerna MS03-026 och MS03-039. Hämta säkerhetskorrigering 824146 genom att klicka på lämplig länk: Windows NT Server 4.0Windows NT Server 4.0, Terminal Server EditionWindows 2000Observera att säkerhetskorrigering 824146 ersätter säkerhetskorrigering 823980. Microsoft rekommenderar att du installerar säkerhetskorrigering 824146, som också innehåller korrigeringar för problemen som beskrivs i Microsoft-säkerhetsbulletin MS03-026 (823980). Om du vill veta mer om säkerhetskorrigering 824146 klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
  824146 MS03-039: Buffertöverskridning i RPCSS möjliggör körning av skadliga program

  Om du vill veta mer om säkerhetskorrigering 823980 och dess förutsättningar (till exempel ett Service Pack för den aktuella Windows-versionen), klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
  823980 MS03-026: Buffertöverskridning i RPC möjliggör körning av kod

 3. Installera eller uppdatera antivirusprogrammet, och gör sedan en fullständig genomsökning av datorn.
 4. Hämta och kör verktyget för maskborttagning från leverantören av antivirusprogrammet.
Ytterligare teknisk information om masken Blaster från leverantörerna av antivirusprogram som deltar i Microsoft Virus Information Alliance (VIA) kan fås på följande webbplatser för andra företag:
Obs! Om du inte behöver använda TCP-filtrering kan du inaktivera TCP-filtrering, när du har installerat korrigeringsfilen som beskrivs i denna artikel och kontrollerat att masken är borta.

Ytterligare teknisk information om kända varianter av masken Blaster finns på följande Symantec-webbplatser:
Ytterligare information om Microsoft Virus Information Alliance finns på följande Microsoft-webbplats: Ytterligare information om återställning från denna mask kan fås från leverantören av antivirusprogrammet.

Kontaktinformationen för andra företag som lämnas i denna artikel kan hjälpa dig att hitta den tekniska support du behöver. Denna information kan ändras utan föregående meddelande. Microsoft garanterar inte på något sätt att kontaktinformationen är korrekt.

Referenser

Den senaste informationen från Microsoft om denna mask finns på följande Microsoft-webbplats: Kontakta Microsofts kundtjänst om du har några frågor om denna varning. Du kan få hjälp med virusproblem på följande webbplats för Microsoft Virus Support Newsgroup: Ytterligare säkerhetsrelaterad information om Microsoft-produkter finns på följande Microsoft-webbplats: Ytterligare säkerhetsrelaterad information om Microsoft-säkerhetsbulletinerna MS03-026 och MS03-039 finns på följande Microsoft-webbplats:
Egenskaper

Artikel-id: 826955 – senaste granskning 21 maj 2009 – revision: 1

Feedback