Оповещение вируса о черве Blaster и его вариантах

Оповещение вируса о черве Blaster и его вариантах

В этой статье описывается вирусное оповещение о черве Blaster и его вариантах и содержится информация о том, как предотвратить и восстановить инфекцию от червя Blaster и его вариантов.

Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2 Исходный номер КБ: 826955

Сводка

11 августа 2003 г. корпорация Майкрософт начала расследование червя, о чем сообщили службы поддержки продуктов Майкрософт (PSS), и группа безопасности Microsoft PSS выпустила оповещение о новом черве. Червь — это тип компьютерного вируса, который обычно распространяется без действий пользователя и распространяет полные копии (возможно, измененные) самого себя по сетям (например, в Интернете). Известный как "Бластер", этот новый червь использует уязвимость, которая была устранена в Microsoft Security Bulletin MS03-026 (823980) для распространения по сетям с помощью открытых портов удаленного вызова процедуры (RPC) на компьютерах, которые работают любой из продуктов, перечисленных в начале этой статьи.

В этой статье содержатся сведения для сетевых администраторов и ИТ-специалистов о том, как предотвратить и как восстановиться после заражения от червя Blaster и его вариантов. Червь и его варианты также называются W32. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST. A (Trendmicro) и Win32.Posa.Worm (Computer Associates). Дополнительные сведения о восстановлении от этого червя обратитесь к поставщику антивирусного программного обеспечения.

Дополнительные сведения о поставщиках антивирусного программного обеспечения щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

Список поставщиков антивирусного программного обеспечения 49500

Если вы домашний пользователь, посетите следующий веб-сайт Microsoft для действий по защите компьютера и восстановлению, если компьютер заражен червем Blaster:

Ваш компьютер не уязвим для червя Blaster, если вы установили исправление безопасности 823980 (MS03-026) до 11 августа 2003 г. (дата обнаружения этого червя). Больше ничего не нужно делать, если установлено исправление безопасности 823980 (MS03-026) до 11 августа 2003 г.

Корпорация Майкрософт протестировали Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP и Windows Server 2003, чтобы оценить, затронуты ли они уязвимостями, которые устранены в Microsoft Security Bulletin MS03-026 ( 823980). Windows Издание Millennium Не включает функции, связанные с этими уязвимостями. Предыдущие версии больше не поддерживаются, и эти уязвимости могут быть затронуты или не затронуты. Дополнительные сведения о жизненном цикле поддержки Майкрософт можно получить на следующем веб-сайте Майкрософт:

Сведения о жизненномцикле продуктов и служб поиска.

Функции, связанные с этими уязвимостями, также не включаются в Windows 95, Windows 98 или Windows 98 Second Edition, даже если установлен DCOM. Вам не нужно ничего делать, если вы используете какие-либо из этих версий Windows.

Компьютер не уязвим для червя Blaster, если установлен Windows XP Пакет обновления 2 или обновление 1 для Windows 2000 Пакет обновления 4. Обновления безопасности 824146 включены в эти пакеты служб. Если вы установили эти пакеты служб, вам не нужно ничего делать. Дополнительные сведения можно получить по следующему номеру статьи, чтобы просмотреть статью в базе знаний Майкрософт:

322389 Получение последнего пакета Windows XP.

Симптомы инфекции

Если ваш компьютер заражен этим червем, у вас могут не возникнуть какие-либо симптомы, или вы можете испытывать какие-либо из следующих симптомов:

Вы можете получать следующие сообщения об ошибках:

Служба удаленного вызова процедур (RPC) неожиданно завершилась. Система закрывается. Сохраните все работы в процессе и отключите вход. Все несохраненные изменения будут потеряны. Это отключение было инициировано системой NT \ AUTHORITY.

Компьютер может отключиться или повторно перезапуститься через случайные промежутки времени.

На Windows xp или на компьютере Windows Server 2003 может появиться диалоговое окно, которое дает возможность сообщить о проблеме в Корпорацию Майкрософт.

Если вы используете Windows 2000 или Windows NT, вы можете получить сообщение об ошибке Stop.

Файл с именем Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll в папке Windows \ System32.

На компьютере могут находиться необычные * TFTP-файлы.

Технические подробности

Технические сведения об изменениях, которые этот червь вносит на компьютер, обратитесь к поставщику антивирусного программного обеспечения.

Чтобы обнаружить этот вирус, найди файл с именем Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll в папке Windows System32 или скачайте последнюю подпись антивирусного программного обеспечения от поставщика антивирусных программ, а затем сканируйте \ компьютер.

Для поиска этих файлов:

Нажмите кнопку Начните, нажмите кнопку Выполнить, введите cmd в поле Открыть, а затем нажмите кнопку ОК.

В командной подсказке введите и нажмите кнопку ENTER, где dir %systemroot%\system32\filename.ext /a /s filename.ext Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll.

Повторите шаг 2 для каждого из этих имен файлов: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll и Yuetyutr.dll. Если вы найдете любой из этих файлов, компьютер может быть заражен червем. Если вы найдете один из этих файлов, удалите файл и выполните действия в разделе "Восстановление" этой статьи. Чтобы удалить файл, del %systemroot%\system32\filename.ext /a введите в командной подсказке и нажмите кнопку ENTER.

Предотвращение

Чтобы предотвратить заражение компьютера этим вирусом, выполните следующие действия:

Включим функцию брандмауэра подключения к Интернету (ICF) в Windows XP, Windows Server 2003, выпуск Standard и Windows Server 2003 выпуск Enterprise; или используйте базовый брандмауэр, Microsoft Internet Security and Acceleration (ISA) Server 2000 или сторонний брандмауэр для блокировки портов TCP 135, 139, 445 и 593; порты UDP 69 (TFTP), 135, 137 и 138; и TCP-порт 4444 для удаленной командной оболочки.

Чтобы включить ICF в Windows XP или Windows Server 2003, выполните следующие действия:

  1. Нажмите кнопку Пуск и выберите Панель управления.
  2. В панели управления дважды нажмите кнопку "Подключение к сети" и "Подключение к Интернету", а затем нажмите кнопку Подключение к сети.
  3. Щелкните правой кнопкой мыши подключение, в котором необходимо включить брандмауэр подключения к Интернету, а затем нажмите кнопку Свойства.
  4. Щелкните вкладку Advanced, а затем нажмите кнопку "Защитите мой компьютер или сеть", ограничив или предотвращая доступ к этому компьютеру из интернет-окна.

Некоторые соединения с подключением к сети могут не отображаться в папках сетевого подключения. Например, может не отображаться подключение к диалогу AOL и MSN. В некоторых случаях можно использовать следующие действия, чтобы включить ICF для подключения, которое не появляется в папке Сетевое подключение. Если эти действия не работают, обратитесь к поставщику интернет-служб (ISP) для получения сведений о том, как брандмауэр подключения к Интернету.

  1. Запуск Internet Explorer.
  2. В меню Сервис выберите пункт Свойства обозревателя.
  3. Щелкните вкладку Подключения, щелкните подключение, используемое для подключения к Интернету, а затем нажмите кнопку Параметры.
  4. В области параметров dial-up нажмите кнопку Свойства.
  5. Щелкните вкладку Advanced, а затем нажмите кнопку "Защитите мой компьютер или сеть", ограничив или предотвращая доступ к этому компьютеру из интернет-окна.

Дополнительные сведения о том, как включить брандмауэр подключения к Интернету в Windows XP или в Windows Server 2003, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

283673 Как включить или отключить брандмауэр в Windows XP

ICF доступен только на Windows XP, Windows Server 2003, выпуск Standard и Windows Server 2003 выпуск Enterprise. Базовый брандмауэр является компонентом маршрутного и удаленного доступа, который можно включить для любого общего интерфейса на компьютере, который работает как маршруты, так и удаленный доступ, а также член семейства Windows Server 2003.

Этот червь использует ранее объявленную уязвимость в качестве части метода заражения. В связи с этим необходимо убедиться, что на всех компьютерах установлено исправление безопасности 823980 для устранения уязвимости, обнаруженной в microsoft Security Bulletin MS03-026. Исправление 824146 заменяет исправление безопасности 823980. Корпорация Майкрософт рекомендует установить исправление 824146 безопасности, которое также включает исправления проблем, которые устраняются в Microsoft Security Bulletin MS03-026 (823980).

Для обнаружения новых вирусов и их вариантов используйте последнюю подпись антивирусного поставщика.

Восстановление

Рекомендуемые методы обеспечения безопасности позволяют выполнить полную "чистую" установку на ранее скомпрометированном компьютере, чтобы удалить все нераскрытые эксплойты, которые могут привести к будущему компромиссу. Дополнительные сведения можно получить на следующем веб-сайте Cert Advisory:

Действия по восстановлению из UNIX или NT System Compromise.

Однако многие антивирусные компании имеют письменные средства для удаления известного эксплойта, связанного с этим червем. Чтобы скачать средство удаления из антивирусного поставщика, используйте следующие процедуры в зависимости от операционной системы.

Восстановление Windows XP, Windows Server 2003, выпуск Standard и Windows Server 2003, выпуск Enterprise

Включим функцию брандмауэра подключения к Интернету (ICF) в Windows XP, Windows Server 2003, выпуск Standard и Windows Server 2003, выпуск Enterprise; или используйте базовый брандмауэр, Microsoft Internet Security and Acceleration (ISA) Server 2000 или сторонний брандмауэр.

Чтобы включить ICF, выполните следующие действия:

  1. Нажмите кнопку Пуск и выберите Панель управления.
  2. В панели управления дважды нажмите кнопку "Подключение к сети" и "Подключение к Интернету", а затем нажмите кнопку Подключение к сети.
  3. Щелкните правой кнопкой мыши подключение, в котором необходимо включить брандмауэр подключения к Интернету, а затем нажмите кнопку Свойства.
  4. Щелкните вкладку Advanced, а затем нажмите кнопку "Защитите мой компьютер или сеть", ограничив или предотвращая доступ к этому компьютеру из интернет-окна.

Если компьютер несколько раз отключается или перезапускается при попытке следовать этим шагам, отсоединяйтесь от Интернета, прежде чем включить брандмауэр. При подключении к Интернету через широкополосное подключение найдите кабель, который выполняется из внешнего DSL или кабельного модема, а затем отключите этот кабель либо из модема, либо из телефонного разъема. Если вы используете подключение к телефону, найдите телефонный кабель, который проходит от модема внутри компьютера до телефонного разъема, а затем отключите этот кабель либо с телефонного разъема, либо с компьютера. Если вы не можете отключиться от Интернета, введите следующую строку в командной строке, чтобы настроить RPCSS, чтобы не перезапустить компьютер при сбой службы: sc failure rpcss reset= 0 actions= restart .

Чтобы сбросить RPCSS в параметр восстановления по умолчанию после выполнения этих действий, введите следующую строку в командной строке: sc failure rpcss reset= 0 actions= reboot/60000 .

Если у вас есть несколько компьютеров с подключением к Интернету, используйте брандмауэр только на компьютере, непосредственно подключенного к Интернету. Не используйте брандмауэр на других компьютерах с подключением к Интернету. Если вы работаете Windows XP, используйте мастер сетевой установки, чтобы включить ICF.

Использование брандмауэра не должно влиять на службу электронной почты или веб-просмотр, но брандмауэр может отключить некоторые программы, службы или функции Интернета. Если такое поведение происходит, возможно, вам придется открыть некоторые порты на брандмауэре для работы некоторых функций Интернета. См. документацию, включенную в службу Интернета, которая не работает, чтобы определить, какие порты необходимо открыть. Чтобы определить, как открыть эти порты, см. документацию, включенную в брандмауэр.

В некоторых случаях можно использовать следующие действия, чтобы включить ICF для подключения, которое не появляется в папке Сетевые подключения. Если эти действия не работают, обратитесь к поставщику интернет-служб (ISP) для получения сведений о том, как брандмауэр подключения к Интернету.

  1. Запуск Internet Explorer.
  2. В меню Сервис выберите пункт Свойства обозревателя.
  3. Щелкните вкладку Подключения, щелкните подключение, используемое для подключения к Интернету, а затем нажмите кнопку Параметры.
  4. В области параметров dial-up нажмите кнопку Свойства.
  5. Щелкните вкладку Advanced, а затем нажмите кнопку "Защитите мой компьютер или сеть", ограничив или предотвращая доступ к этому компьютеру из интернет-окна.

Дополнительные сведения о том, как включить брандмауэр подключения к Интернету в Windows XP или в Windows Server 2003, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

283673 Как включить или отключить брандмауэр в Windows XP

ICF доступен только на Windows XP, Windows Server 2003, выпуск Standard и Windows Server 2003 выпуск Enterprise. Базовый брандмауэр является компонентом маршрутного и удаленного доступа, который можно включить для любого общего интерфейса на компьютере, на компьютере с маршрутивным и удаленным доступом, а также является членом семейства Windows Server 2003.

Скачайте исправление 824146 безопасности, а затем установите его на все компьютеры для устранения уязвимости, которая обнаружена в бюллетенях безопасности Microsoft MS03-026 и MS03-039.

Исправление 824146 безопасности заменяет исправление безопасности 823980. Корпорация Майкрософт рекомендует установить исправление 824146 безопасности, которое также включает исправления проблем, рассмотренных в Microsoft Security Bulletin MS03-026 (823980).

Установите или обновите программное обеспечение антивирусной подписи, а затем выполните полное сканирование системы.

Скачайте и запустите средство удаления червей из антивирусного поставщика.

Восстановление Windows 2000 и Windows NT 4.0

Функция брандмауэра подключения к Интернету недоступна в Windows 2000 или Windows NT 4.0. Если microsoft Internet Security and Acceleration (ISA) Server 2000 или сторонний брандмауэр недоступны для блокировки TCP-портов 135, 139, 445 и 593 порты UDP 69 (TFTP), 135, 137 и 138 и порт TCP 4444 для удаленной командной оболочки выполните следующие действия, чтобы помочь заблокировать затронутые порты для подключений локальной сети (LAN). Фильтрация TCP/IP недоступна для подключений с подключением к диалогу. Если для подключения к Интернету используется подключение dial-up, необходимо включить брандмауэр.

Настройка безопасности TCP/IP. Для этого используйте процедуру для операционной системы.

В панели управления дважды щелкните подключение к сети и диалогу.

Щелкните правой кнопкой мыши интерфейс, который используется для доступа к Интернету, а затем нажмите кнопку Свойства.

В проверенных компонентах, используемых этим полем подключения, щелкните Протокол Интернета (TCP/IP) и нажмите кнопку Свойства.

В диалоговом окне Свойства Протокола Интернета (TCP/IP) нажмите кнопку Advanced.

Щелкните вкладку Параметры.

Щелкните фильтр TCP/IP, а затем нажмите кнопку Свойства.

Щелкните, чтобы выбрать поле Включить TCP/IP Filtering (Все адаптеры).

Существует три столбца со следующими метами:

  • Порты TCP
  • Порты UDP
  • Протоколы IP

В каждом столбце щелкните параметр Разрешить только.

Нажмите кнопку ОК.

  • Если компьютер несколько раз отключается или перезапускается при попытке следовать этим шагам, отсоединяйтесь от Интернета, прежде чем включить брандмауэр. При подключении к Интернету через широкополосное подключение найдите кабель, который выполняется из внешнего DSL или кабельного модема, а затем отключите этот кабель либо из модема, либо из телефонного разъема. Если вы используете подключение к телефону, найдите телефонный кабель, который проходит от модема внутри компьютера до телефонного разъема, а затем отключите этот кабель либо с телефонного разъема, либо с компьютера.
  • Если у вас есть несколько компьютеров с подключением к Интернету, используйте брандмауэр только на компьютере, непосредственно подключенного к Интернету. Не используйте брандмауэр на других компьютерах с подключением к Интернету.
  • Использование брандмауэра не должно влиять на службу электронной почты или веб-просмотр, но брандмауэр может отключить некоторые программы, службы или функции Интернета. Если такое поведение происходит, возможно, вам придется открыть некоторые порты на брандмауэре для работы некоторых функций Интернета. См. документацию, включенную в службу Интернета, которая не работает, чтобы определить, какие порты необходимо открыть. Чтобы определить, как открыть эти порты, см. документацию, включенную в брандмауэр.
  • Эти действия основаны на измененном отрывке из статьи Microsoft Knowledge Base 309798.
  1. В панели управления дважды щелкните Сеть.
  2. Щелкните вкладку Протокол,нажмите TCP/IP-протокол и нажмите кнопку Свойства.
  3. Щелкните вкладку IP-адрес и нажмите кнопку Advanced.
  4. Нажмите кнопку "Включить безопасность" и нажмите кнопку Настройка.
  5. В столбцах TCP Ports,UDP Ports и IP Protocols щелкните, чтобы выбрать только параметр Разрешить.
  6. Нажмите кнопку ОК, а затем закроем средство Network.

Скачайте исправление 824146 безопасности, а затем установите его на все компьютеры для устранения уязвимости, которая обнаружена в бюллетенях безопасности Microsoft MS03-026 и MS03-039.

Исправление 824146 заменяет исправление безопасности 823980. Корпорация Майкрософт рекомендует установить исправление 824146 безопасности, которое также включает исправления проблем, рассмотренных в Microsoft Security Bulletin MS03-026 (823980).

Установите или обновите программное обеспечение антивирусной подписи, а затем выполните полное сканирование системы.

Скачайте и запустите средство удаления червей из антивирусного поставщика.

Дополнительные технические сведения о черве Blaster от поставщиков антивирусного программного обеспечения, участвующих в Microsoft Virus Information Alliance (VIA), посетите любой из следующих сторонних веб-сайтов:

Если вам не нужно использовать фильтрацию TCP, может потребоваться отключить фильтрацию TCP после применения исправления, описанного в этой статье, и вы убедились, что успешно удалили червя.

Дополнительные технические сведения о известных вариантах червя Blaster посетите следующие веб-сайты Symantec:

W32. Randex.E: Nstask32.exe, Winlogin.exe, Win32sockdrv.dll и Yyuetyutr.dll

Дополнительные сведения о Альянсе информации о вирусе Майкрософт можно получить на следующем веб-сайте Microsoft:

Дополнительные сведения о том, как восстановиться после этого червя, обратитесь к поставщику антивирусов.

Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.

Ссылки

Для получения наиболее актуальных сведений от Корпорации Майкрософт об этом черве посетите Центр решения вирусов и безопасности Microsoft для ресурсов и средств, чтобы сохранить компьютер безопасным и здоровым. Если у вас возникли проблемы с установкой самого обновления, посетите службу поддержки обновления Майкрософт для ресурсов и средств, чтобы компьютер обновлялся с помощью последних обновлений.

📎📎📎📎📎📎📎📎📎📎